Hallo,

ich wollte heute Ordner mit Fotos von meinem PC auf die externe Festplatte kopieren. Irgendwann habe ich gesehen, dass da eine Fehlermeldung kam. Ich hab mich gewundert und angefangen, Ordner für Ordner zu verschieben und es gab keine Probleme, bis auf den einen, der wurde nur teilweise kopiert. Ich habe versucht, ihn auszuschneiden und zu verschieben, das ging wieder bis zu diesem einem Bild (also ein Teil der Bilder wurde verschoben, der Rest nicht). Seitdem stürzt der PC immer ab, nur wenn ich den Ordner öffne (also der auf dem PC), es geht gar nichts mehr.
Ich habe es dann auch im abgesicherten Modus probiert, geht auch nicht.
Das nervt mich extrem, denn ausgerechnet da sind die Geburtstagsbilder von meinem Sohn drin und ich will nicht, dass die verloren gehen.

Ich hab dann überlegt, ob das an dieser Fehlermeldung liegen könnte, die immer beim Starten kommt: RUNDLL Fehler beim Laden von D:\DOKUME~1\SM26D2~1.B\LOKALE~1\Temp\wpbt0.dll
Das angegebene Modul wurde nicht gefunden.
Beim Googlen habe ich gesehen, dass das ein Virus sein könnte? Dann habe ich mich erinnert, dass vor einiger Zeit dieser "Polizei"-Virus auf dem PC war. Leider kann ich euch nicht genau sagen, wie der entfernt wurde, mein Freund hat das nach irgendeiner Internetanleitung gemacht. Seitdem kommt jedenfalls diese RUNDLL-Meldung.

Ich hab zwar ein bisschen gelesen, aber bin trotzdem planlos, was und wie ich jetzt machen soll, deshalb wäre ich total glücklich, wenn mir jemand helfen könnte!

Liebe Grüße,

Zephyrine

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Wir schauen uns deinen Rechner einmal etwas genauer an und entfernen ggf. noch Reste der Malware, die dein Freund nicht entfernt hat.




Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
msconfig
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von DeFogger,
• die Logdatei von GMER.

Hallo Matthias,

vielen Dank für deine schnelle Antwort!

Ich hoffe, ich habe alles richtig gemacht.
Nur mit dem GMER hat es irgendwie nicht funktioniert. Ich habe es seit gestern abend bis heute morgen 10 Uhr laufen lassen und es hat immer noch an dieser einen Stelle gehangen und ging nicht weiter (so lange kann das doch nicht dauern oder?). Ich kopiere dir mal den Text bis dahin ein, der da zu sehen war (bin auf Copy gegangen). Danach habe ich es im abgesicherten Modus probiert, aber es blieb wieder an der einen Stelle stehen.

Inhalt aus OTL.txt
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 12.05.2013 00:37:08 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = D:\Dokumente und Einstellungen\S.m.b\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,98 Gb Available Physical Memory | 65,52% Memory free
2,86 Gb Paging File | 2,20 Gb Available in Paging File | 76,99% Paging File free
Paging file location(s): D:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive D: | 74,52 Gb Total Space | 26,11 Gb Free Space | 35,04% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT-B65928AA | User Name: S.m.b | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.05.12 00:25:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
PRC - [2013.03.19 15:01:00 | 001,151,152 | ---- | M] () -- D:\Programme\AVG Secure Search\vprot.exe
PRC - [2013.03.19 15:01:00 | 000,968,880 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
PRC - [2012.12.11 04:52:44 | 003,147,384 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgui.exe
PRC - [2012.10.22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgwdsvc.exe
PRC - [2010.09.06 03:19:58 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) -- D:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe
PRC - [2010.03.18 19:17:48 | 000,019,456 | ---- | M] (Creative Technology Ltd) -- D:\WINDOWS\system32\CtHelper.exe
PRC - [2010.02.12 10:23:12 | 000,286,720 | ---- | M] (Creative Technology Ltd) -- D:\Programme\Creative\Shared Files\CTAudSvc.exe
PRC - [2009.09.18 01:08:02 | 000,546,312 | ---- | M] (Eugene Gavrilov) -- D:\Programme\kX Audio Driver\3550\kxmixer.exe
PRC - [2009.05.08 10:35:50 | 002,780,432 | ---- | M] () -- D:\Programme\Logitech\Logitech WebCam Software\LWS.exe
PRC - [2009.05.08 10:34:08 | 000,559,888 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
PRC - [2009.04.30 16:01:10 | 000,154,136 | ---- | M] (Logitech Inc.) -- D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.07.02 03:15:22 | 001,035,264 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.19 15:01:00 | 001,151,152 | ---- | M] () -- D:\Programme\AVG Secure Search\vprot.exe
MOD - [2013.03.19 15:01:00 | 000,968,880 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
MOD - [2013.03.19 15:01:00 | 000,156,848 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\AVG Secure Search\SiteSafetyInstaller\14.2.0\SiteSafety.dll
MOD - [2011.11.05 19:02:00 | 000,311,296 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2011.11.05 19:01:54 | 000,430,080 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll
MOD - [2011.10.29 11:42:01 | 011,797,504 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\d987cf1de4ba688da92e212a374232c2\System.Web.ni.dll
MOD - [2011.10.29 11:41:10 | 000,971,264 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\631b3eba1ba5bd3c3f027f34011cadeb\System.Configuration.ni.dll
MOD - [2011.10.29 11:27:04 | 005,450,752 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\563a54b98adb70fae862974042298348\System.Xml.ni.dll
MOD - [2011.10.29 11:26:48 | 012,430,848 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\2dfe045e4b1577fdea9a2f456db0afc2\System.Windows.Forms.ni.dll
MOD - [2011.10.29 11:26:15 | 001,587,200 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\f3440ea00eb3c40dc073b2fe03843638\System.Drawing.ni.dll
MOD - [2011.10.29 11:23:29 | 007,949,824 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\37217abe2c5164e59aba251860f4c79e\System.ni.dll
MOD - [2011.10.29 11:22:48 | 011,486,720 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\7124a40b9998f7b63c86bd1a2125ce26\mscorlib.ni.dll
MOD - [2011.10.29 02:18:20 | 000,372,736 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
MOD - [2011.10.29 02:18:17 | 000,303,104 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
MOD - [2009.05.08 10:35:50 | 002,780,432 | ---- | M] () -- D:\Programme\Logitech\Logitech WebCam Software\LWS.exe
MOD - [2009.05.08 10:34:08 | 000,559,888 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
MOD - [2005.10.19 10:17:58 | 000,073,728 | ---- | M] () -- D:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2013.03.19 15:01:00 | 000,968,880 | ---- | M] () [Auto | Running] -- D:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
SRV - [2013.03.13 13:32:33 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.11.16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Stopped] -- D:\Programme\AVG\AVG2013\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012.10.22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- D:\Programme\AVG\AVG2013\avgwdsvc.exe -- (avgwd)
SRV - [2011.10.26 21:56:45 | 000,079,360 | ---- | M] (Creative Labs) [On_Demand | Stopped] -- D:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe -- (Creative Audio Engine Licensing Service)
SRV - [2010.09.06 03:19:58 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- D:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor9.0)
SRV - [2010.02.12 10:23:12 | 000,286,720 | ---- | M] (Creative Technology Ltd) [Auto | Running] -- D:\Programme\Creative\Shared Files\CTAudSvc.exe -- (CTAudSvcService)
SRV - [2009.04.30 16:01:10 | 000,154,136 | ---- | M] (Logitech Inc.) [Auto | Running] -- D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2005.10.06 18:13:10 | 000,856,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- D:\Programme\Windows Media Connect 2\wmccds.exe -- (WMConnectCDS)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.03.19 15:01:00 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012.11.16 00:33:26 | 000,094,048 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- D:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2012.10.22 14:02:46 | 000,179,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2012.10.15 04:48:52 | 000,055,776 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012.10.02 04:30:38 | 000,159,712 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012.09.21 04:46:06 | 000,164,832 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012.09.21 04:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx)
DRV - [2012.09.21 04:45:54 | 000,019,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2012.09.14 04:05:20 | 000,035,552 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- D:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2010.03.18 20:50:12 | 000,189,528 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\haP17v2k.sys -- (hap17v2k)
DRV - [2010.03.18 20:50:04 | 000,162,904 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\haP16v2k.sys -- (hap16v2k)
DRV - [2010.03.18 20:49:56 | 000,798,808 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ha10kx2k.sys -- (ha10kx2k)
DRV - [2010.03.18 20:45:42 | 000,092,760 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\emupia2k.sys -- (emupia)
DRV - [2010.03.18 20:45:28 | 000,157,272 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2010.03.18 20:45:20 | 000,014,424 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctprxy2k.sys -- (ctprxy2k)
DRV - [2010.03.18 20:45:12 | 000,127,576 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2010.03.18 20:40:48 | 000,347,144 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctdvda2k.sys -- (ctdvda2k)
DRV - [2010.03.18 20:40:40 | 000,528,472 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctaud2k.sys -- (ctaud2k)
DRV - [2010.03.18 20:40:32 | 000,511,064 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctac32k.sys -- (ctac32k)
DRV - [2010.03.18 20:39:36 | 000,100,952 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTERFXFX.sys -- (CTERFXFX.SYS)
DRV - [2010.03.18 20:39:36 | 000,100,952 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTERFXFX.sys -- (CTERFXFX)
DRV - [2010.03.18 20:39:28 | 000,566,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTSBLFX.sys -- (CTSBLFX.SYS)
DRV - [2010.03.18 20:39:28 | 000,566,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTSBLFX.sys -- (CTSBLFX)
DRV - [2010.03.18 20:39:18 | 000,555,096 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTAUDFX.sys -- (CTAUDFX.SYS)
DRV - [2010.03.18 20:39:18 | 000,555,096 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTAUDFX.sys -- (CTAUDFX)
DRV - [2010.03.18 20:39:10 | 000,099,416 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\COMMONFX.sys -- (COMMONFX.SYS)
DRV - [2010.03.18 20:39:10 | 000,099,416 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\COMMONFX.sys -- (COMMONFX)
DRV - [2009.09.18 01:08:00 | 000,607,496 | ---- | M] (Eugene Gavrilov) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\kx.sys -- (kxwdmdrv)
DRV - [2009.05.01 01:03:30 | 000,023,832 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2009.05.01 01:03:08 | 006,754,712 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC)
DRV - [2009.05.01 01:01:36 | 000,265,496 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009.04.30 16:00:12 | 000,025,624 | ---- | M] () [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2006.05.03 18:50:42 | 001,540,608 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004.08.03 21:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139)
DRV - [2004.08.03 21:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2001.08.17 13:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.live.com/sphome.aspx
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.live.com
IE - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = hxxp://isearch.avg.com/search?cid={8D4E29A2-8D58-48E2-83B1-C04129F33D78}&mid=72a256e0361c47d1b484d1498d86f34c-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=de&ds=AVG&pr=fr&d=2013-01-22 21:58:39&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
IE - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7B20a82645-c095-46ed-80e3-08825760534b%7D:0.0.0
FF - prefs.js..extensions.enabledAddons: %7BEEE6C361-6118-11DC-9C72-001320C79847%7D:1.9.0.0
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.1
FF - prefs.js..keyword.URL: "hxxp://isearch.avg.com/search?cid={8D4E29A2-8D58-48E2-83B1-C04129F33D78}&mid=72a256e0361c47d1b484d1498d86f34c-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=de&ds=AVG&pr=fr&d=2013-01-22 21:58:39&pid=avg&sg=&v=14.0.0.14&sap=ku&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: D:\WINDOWS\system32\Adobe\Director\np32dsw_1202122.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: D:\Programme\Gemeinsame Dateien\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: D:\Programme\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Programme\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: D:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\ff\ [2012.12.25 18:13:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG Secure Search\FireFoxExt\14.2.0.1 [2013.03.19 15:01:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Components: D:\Programme\Mozilla Firefox\components [2013.01.19 15:57:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2013.01.19 15:57:04 | 000,000,000 | ---D | M]
 
[2011.10.26 20:46:47 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Extensions
[2013.01.07 00:43:41 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions
[2013.01.07 00:43:41 | 000,190,000 | ---- | M] () (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.12.11 13:55:32 | 000,003,915 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\searchplugins\sweetim.xml
[2013.01.19 15:57:02 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.10.29 02:09:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- D:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2013.01.19 15:57:22 | 000,262,552 | ---- | M] (Mozilla Foundation) -- D:\Programme\mozilla firefox\components\browsercomps.dll
[2013.01.04 19:46:08 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.03.19 15:01:23 | 000,003,714 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\avg-secure-search.xml
[2013.01.04 19:46:08 | 000,002,465 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\bing.xml
[2013.01.04 19:46:08 | 000,001,153 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2013.01.04 19:46:08 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.01.04 19:46:08 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.01.04 19:46:08 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 15:00:00 | 000,000,820 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVG\AVG2012\avgssie.dll File not found
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - D:\Programme\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - D:\Programme\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll ()
O3 - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] D:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [AVG_UI] D:\Programme\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [CTHelper] D:\WINDOWS\System32\CtHelper.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [kX Mixer] D:\Programme\kX Audio Driver\3550\kxmixer.exe (Eugene Gavrilov)
O4 - HKLM..\Run: [LogitechQuickCamRibbon] D:\Programme\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [vProt] D:\Programme\AVG Secure Search\vprot.exe ()
O4 - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003..\Run: [SetDefaultMIDI] D:\WINDOWS\System32\MIDIDEF.EXE (Creative Technology Ltd)
O4 - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003..\Run: [uTorrent] "D:\Programme\uTorrent\uTorrent.exe"  /MINIMIZED File not found
O4 - HKU\.DEFAULT..\RunOnce: [TSClientMSIUninstaller] D:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [TSClientMSIUninstaller] D:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [TSClientMSIUninstaller] D:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [TSClientMSIUninstaller] D:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1454471165-1060284298-1708537768-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to MP3 Converter - D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programme\AVG\AVG2012\avgpp.dll File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - D:\Programme\Gemeinsame Dateien\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll ()
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) - D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - D:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{1b328ed0-ffc0-11e0-973b-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{1b328ed0-ffc0-11e0-973b-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1b328ed0-ffc0-11e0-973b-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.EXE /AUTORUN
O33 - MountPoints2\{1b328ed0-ffc0-11e0-973b-806d6172696f}\Shell\configure\command - "" = F:\setup.EXE
O33 - MountPoints2\{1b328ed0-ffc0-11e0-973b-806d6172696f}\Shell\install\command - "" = F:\setup.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (D:\PROGRA~1\AVG\AVG2013\avgrsx.exe /sync /restart)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - D:\WINDOWS\system32\Rundll32.exe D:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - D:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.12 00:25:39 | 000,602,112 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
[2013.05.11 18:24:42 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\bdayfotostest
[2013.05.11 18:24:01 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Neuer Ordner
[2013.05.11 17:37:32 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\bdayfotos
[2013.05.11 16:00:26 | 000,000,000 | -HSD | C] -- D:\Config.Msi
[2013.05.10 18:21:24 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Skype
[2013.05.10 18:20:13 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
[2013.04.29 12:15:56 | 000,000,000 | ---D | C] -- D:\new beat 2013
[2013.04.22 23:01:39 | 000,000,000 | ---D | C] -- D:\Chill beatt
[2013.04.21 11:27:56 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\Adobe
[116 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.12 00:32:00 | 000,000,884 | ---- | M] () -- D:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.05.12 00:27:54 | 000,377,856 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\gmer_2.1.19163.exe
[2013.05.12 00:26:42 | 000,050,477 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Defogger.exe
[2013.05.12 00:25:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
[2013.05.11 18:35:44 | 000,000,260 | ---- | M] () -- D:\WINDOWS\tasks\WGASetup.job
[2013.05.11 18:34:30 | 000,000,282 | ---- | M] () -- D:\WINDOWS\tasks\Express FilesUpdate.job
[2013.05.11 18:34:22 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2013.05.11 18:34:19 | 1610,125,312 | -HS- | M] () -- D:\hiberfil.sys
[2013.05.11 18:34:07 | 000,000,000 | ---- | M] () -- D:\WINDOWS\System32\drivers\lvuvc.hs
[2013.05.11 18:34:04 | 000,000,000 | ---- | M] () -- D:\WINDOWS\System32\drivers\logiflt.iad
[2013.05.10 22:31:52 | 000,063,528 | ---- | M] () -- D:\llllll.flp
[2013.05.10 17:11:35 | 000,001,186 | ---- | M] () -- D:\SAXOPHONE.ksd
[2013.05.10 15:52:44 | 000,002,206 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2013.04.27 22:38:51 | 000,084,395 | ---- | M] () -- D:\south side.flp
[2013.04.27 17:27:59 | 000,715,406 | ---- | M] () -- D:\chilll beat south site.mp3
[2013.04.27 17:12:25 | 000,095,013 | ---- | M] () -- D:\new beattttttttttttt.flp
[2013.04.26 20:52:47 | 000,087,253 | ---- | M] () -- D:\yeahh senixx.flp
[2013.04.26 20:44:40 | 001,354,256 | ---- | M] () -- D:\S.B.M beatz records gagnstar beat 2013.mp3
[2013.04.26 18:21:17 | 010,207,278 | ---- | M] () -- D:\S.B.M beatz records gangstar beat 2ß.wav
[2013.04.14 20:33:54 | 000,121,336 | ---- | M] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2013.04.13 14:37:18 | 000,144,892 | ---- | M] () -- D:\balthasar 111.mp3
[2013.04.13 14:36:44 | 000,886,560 | ---- | M] () -- D:\south side beat.mp3
[2013.04.13 14:23:25 | 000,079,244 | ---- | M] () -- D:\balthasar 111.flp
[116 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.05.12 00:27:54 | 000,377,856 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\gmer_2.1.19163.exe
[2013.05.12 00:26:42 | 000,050,477 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Defogger.exe
[2013.05.11 18:34:19 | 1610,125,312 | -HS- | C] () -- D:\hiberfil.sys
[2013.05.10 17:11:35 | 000,001,186 | ---- | C] () -- D:\SAXOPHONE.ksd
[2013.05.09 18:05:25 | 000,063,528 | ---- | C] () -- D:\llllll.flp
[2013.04.27 17:26:45 | 000,715,406 | ---- | C] () -- D:\chilll beat south site.mp3
[2013.04.26 18:25:58 | 001,354,256 | ---- | C] () -- D:\S.B.M beatz records gagnstar beat 2013.mp3
[2013.04.26 18:19:45 | 010,207,278 | ---- | C] () -- D:\S.B.M beatz records gangstar beat 2ß.wav
[2013.04.13 14:37:12 | 000,144,892 | ---- | C] () -- D:\balthasar 111.mp3
[2013.04.13 14:27:21 | 000,886,560 | ---- | C] () -- D:\south side beat.mp3
[2013.04.13 14:16:44 | 000,079,244 | ---- | C] () -- D:\balthasar 111.flp
[2013.02.28 19:03:30 | 000,018,073 | ---- | C] () -- D:\WINDOWS\CSTBox.INI
[2012.12.19 23:22:27 | 095,023,320 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.12.15 15:42:11 | 002,544,238 | ---- | C] () -- D:\Programme\Nexus 2 Manual English.pdf
[2012.12.15 15:42:11 | 000,120,128 | -H-- | C] () -- D:\Programme\Autorun.exe
[2012.12.15 15:42:11 | 000,000,139 | -H-- | C] () -- D:\Programme\Autorun.inf
[2011.11.12 15:07:53 | 000,009,216 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.11.11 15:48:34 | 000,007,680 | ---- | C] () -- D:\WINDOWS\System32\CNMVS64.DLL
[2011.11.05 19:48:22 | 000,000,403 | ---- | C] () -- D:\WINDOWS\ODBC.INI
[2011.11.05 10:58:24 | 000,520,192 | ---- | C] () -- D:\WINDOWS\System32\ati2sgag.exe
[2011.11.05 10:35:24 | 000,000,010 | ---- | C] () -- D:\WINDOWS\WININIT.INI
[2011.10.27 21:54:22 | 000,082,289 | R--- | C] () -- D:\WINDOWS\System32\lvcoinst.ini
[2011.10.25 22:50:28 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI
[2011.10.25 22:49:22 | 000,002,048 | --S- | C] () -- D:\WINDOWS\bootstat.dat
[2011.10.25 22:49:06 | 000,121,336 | ---- | C] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2011.10.25 22:28:04 | 000,021,740 | ---- | C] () -- D:\WINDOWS\System32\emptyregdb.dat
 
========== ZeroAccess Check ==========
 
[2011.10.26 22:14:33 | 000,000,227 | RHS- | M] () -- D:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:20:25 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = D:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:00:58 | 000,473,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = D:\WINDOWS\system32\wbem\wbemess.dll -- [2004.08.04 01:57:38 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
         

--- --- ---


Inhalt aus Extra.txt
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 12.05.2013 00:37:08 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = D:\Dokumente und Einstellungen\S.m.b\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,98 Gb Available Physical Memory | 65,52% Memory free
2,86 Gb Paging File | 2,20 Gb Available in Paging File | 76,99% Paging File free
Paging file location(s): D:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive D: | 74,52 Gb Total Space | 26,11 Gb Free Space | 35,04% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT-B65928AA | User Name: S.m.b | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-1454471165-1060284298-1708537768-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Digital Photo Professional] -- D:\Programme\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"D:\Programme\AVG\AVG2012\avgmfapx.exe" = D:\Programme\AVG\AVG2012\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
"D:\WINDOWS\system32\msiexec.exe" = D:\WINDOWS\system32\msiexec.exe:*:Enabled:UpdateManagerSetup -- (Microsoft Corporation)
"D:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe" = D:\Programme\SweetIM\Communicator\SweetPacksUpdateManager.exe:*:Enabled:SweetPacksUpdateManager
"D:\Programme\AVG\AVG2013\avgmfapx.exe" = D:\Programme\AVG\AVG2013\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\ExpressFiles\expressdl.exe" = D:\Programme\ExpressFiles\expressdl.exe:*:Enabled:Express Files
"D:\Programme\ExpressFiles\ExpressFiles.exe" = D:\Programme\ExpressFiles\ExpressFiles.exe:*:Enabled:Express Files
"D:\Programme\AVG\AVG2013\avgnsx.exe" = D:\Programme\AVG\AVG2013\avgnsx.exe:*:Enabled:Online Shield -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\AVG\AVG2013\avgdiagex.exe" = D:\Programme\AVG\AVG2013\avgdiagex.exe:*:Enabled:AVG-Diagnose 2013 -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\AVG\AVG2013\avgemcx.exe" = D:\Programme\AVG\AVG2013\avgemcx.exe:*:Enabled:Personal E-Mail-Scanner -- (AVG Technologies CZ, s.r.o.)
"D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Spotify\spotify.exe" = D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Spotify\spotify.exe:*:Enabled:Spotify
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{007F778D-F15C-4EAB-AE92-071D21FAF632}" = Adobe Photoshop Elements 9
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{241DBC8D-14E3-4240-8EE5-3AC35086B638}" = AVG 2013
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{433EACD8-4747-4A6A-826A-FFA9F39B0D40}" = Elements 9 Organizer
"{48A5AB54-6327-43DC-A376-4AC74C5D40B0}" = AVG 2013
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{77DCDCE3-2DED-62F3-8154-05E745472D07}" = Acrobat.com
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"{AC96671C-2001-432C-9826-5266D84EF1DC}" = Logitech Webcam Software
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E2AE009D-37E5-4724-A6B8-0ED6A6BA4F68}" = Elements STI Installer
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F302F4F0-588D-6501-1ACF-BE3FDCC9135D}" = Adobe Community Help
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 9" = Adobe Photoshop Elements 9
"Adobe Shockwave Player" = Adobe Shockwave Player 12.0
"All ATI Software" = ATI - Software Uninstall Utility
"ASIO4ALL" = ASIO4ALL
"ATI Display Driver" = ATI Display Driver
"AudioCS" = Creative-Audiokonsole
"AVG" = AVG 2013
"AVG Secure Search" = AVG Security Toolbar
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CANONBJ_Deinstall_CNMCP64.DLL" = Canon PIXMA iP4000
"CANONIJINBOXADDON100" = Canon Inkjet Printer Driver Add-On Module
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"DPP" = Canon Utilities Digital Photo Professional 3.8
"EOS Utility" = Canon Utilities EOS Utility
"FL Studio 10" = FL Studio 10
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.37.1212
"IL Shared Libraries" = IL Shared Libraries
"lvdrivers_12.0" = Logitech Webcam Software-Treiberpaket
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox 18.0.1 (x86 de)" = Mozilla Firefox 18.0.1 (x86 de)
"Native Instruments FM8 v1.0.1.002 VSTi DXi RTAS" = Native Instruments FM8 v1.0.1.002 VSTi DXi RTAS
"Original Data Security Tools" = Canon Utilities Original Data Security Tools
"PhotoStitch" = Canon Utilities PhotoStitch
"Picture Style Editor" = Canon Utilities Picture Style Editor
"reFX Nexus_is1" = reFX Nexus VSTi RTAS v2.2.0
"VLC media player" = VLC media player 1.1.11
"WFTK" = Canon Utilities WFT Utility
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR 4.20 (32-Bit)
"WMCSetup" = Windows Media Connect
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 13.03.2013 10:49:52 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 13.03.2013 10:49:54 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 13.03.2013 10:49:54 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 13.03.2013 10:49:56 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 17.03.2013 09:45:54 | Computer Name = PRIVAT-B65928AA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung MCULauncher.exe, Version 1.3.0.4, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.03.2013 13:19:25 | Computer Name = PRIVAT-B65928AA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.1.4764, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.03.2013 17:49:11 | Computer Name = PRIVAT-B65928AA | Source = ESENT | ID = 490
Description = svchost (1268) Versuch, Datei "D:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 27.03.2013 15:24:22 | Computer Name = PRIVAT-B65928AA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.1.4764, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.04.2013 18:54:52 | Computer Name = PRIVAT-B65928AA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung FL.exe, Version 0.0.0.0, Stillstandmodul hungapp,
 Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.04.2013 15:51:27 | Computer Name = PRIVAT-B65928AA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.1.4764, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 11.05.2013 12:34:38 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 11.05.2013 12:34:38 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 11.05.2013 12:34:55 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7006
Description = Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden
 Fehlers fehlgeschlagen:   %%5
 
Error - 11.05.2013 12:34:55 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 11.05.2013 12:34:55 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7006
Description = Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden
 Fehlers fehlgeschlagen:   %%5
 
Error - 11.05.2013 14:32:59 | Computer Name = PRIVAT-B65928AA | Source = ultra | ID = 262153
Description = Das Gerät \Device\Scsi\ultra1 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 11.05.2013 14:32:59 | Computer Name = PRIVAT-B65928AA | Source = ultra | ID = 262153
Description = Das Gerät \Device\Scsi\ultra1 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 11.05.2013 14:33:40 | Computer Name = PRIVAT-B65928AA | Source = ultra | ID = 262153
Description = Das Gerät \Device\Scsi\ultra1 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 11.05.2013 14:37:51 | Computer Name = PRIVAT-B65928AA | Source = ultra | ID = 262153
Description = Das Gerät \Device\Scsi\ultra1 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 11.05.2013 14:37:51 | Computer Name = PRIVAT-B65928AA | Source = ultra | ID = 262153
Description = Das Gerät \Device\Scsi\ultra1 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
 
< End of report >
         

--- --- ---


Inhalt von defogger_disable

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:02 on 12/05/2013 (S.m.b)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Das was bei GMER kam, bis zu dieser einen Stelle

Zitat:

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-05-12 10:17:06
Windows 5.1.2600 Service Pack 2
Running: gmer_2.1.19163.exe; Driver: D:\DOKUME~1\SM26D2~1.B\LOKALE~1\Temp\ugaiqfog.sys


---- System - GMER 2.1 ----

SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeKey [0xB612214A]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeMultipleKeys [0xB612221A]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwOpenProcess [0xB6121D7C]
SSDT \??\D:\WINDOWS\system32\drivers\avgtpx86.sys ZwQueryValueKey [0xB95791AE]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendProcess [0xB6121F6A]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendThread [0xB6122000]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateProcess [0xB6121E32]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateThread [0xB6121ECE]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwWriteVirtualMemory [0xB612209C]

---- Kernel code sections - GMER 2.1 ----

.text ntoskrnl.exe!_abnormal_termination + 311 804E297D 3 Bytes [91, 57, B9]

---- Devices - GMER 2.1 ----

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys

Darf ich fragen, was das jetzt alles zu bedeuten hat? Ich kenne mich gar nicht aus, aber sehe nur total oft "Error", das klingt ja nicht gut. Auch bei den Programmen habe ich gar keinen Überblick mehr (eigentlich benutze ich fast nur meine Bildbearbeitungsprogramme oder Word, und gehe ins Internet für meine Mails, um was zu googlen oder in Foren zu lesen), mein Freund hat mir immer geholfen, Treiber (für Audio-/Grafikkarte, Drucker, Scanner..) herunterzuladen, aber auch einfach dann noch irgendwelchen Müll (dieses "Torrent") heruntergeladen. Das hat mich immer geärgert und ich habe solche Sachen gelöscht, kann mir aber vorstellen, dass ich nicht alles entdeckt habe...

Jetzt warte ich einfach mal deine Antwort ab.

Liebe Grüße,

Zephyrine

Servus,



Schritt 1

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
• Suche in der Liste Software mit dem folgenden Namen
  • AVG Security Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
• Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.

Schritt 2
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix.

Hallo,

die Toolbar habe ich gelöscht.

Das mit dem Combofix hat irgendwie nicht geklappt.

Es hat angefangen, diese Wiederherstellungskonsole heruntergeladen und installiert, dann stand da "Suche nach infizierten Dateien... Das kann (...) 10 Minuten dauern (...)".
Nach einer halben Stunde bin ich dann schlafen gegangen und habe heute morgen nochmal geguckt, es hat sich nichts geändert. Ich glaube, der PC ist abgestürzt, ich konnte das Programm nicht schließen, es ging nichts mehr, dann habe ich den PC ausgemacht und neugestartet.

Soll ich es nochmal im abgesicherten Modus versuchen?

Zitat:

Zitat von zephyrine

Soll ich es nochmal im abgesicherten Modus versuchen?

Ja bitte.

Hallo,

das hat auch nicht funktioniert. Und was soll ich jetzt machen?

Zitat:

Zitat von zephyrine

das hat auch nicht funktioniert. Und was soll ich jetzt machen?

Gehe in den abgesicherten Modus, benenne ComboFix in NoMBR.exe um und versuchs ein letztes Mal.


Danach bitte MBAR ausführen:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Matthias,

endlich hab ichs geschafft.
Musste nur das Combofix erneut runterladen, das "alte" war abgelaufen, stand da.

Hier die Logdatei:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-05-18.02 - S.m.b 18.05.2013  15:45:51.1.1 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1535.1173 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\S.m.b\Desktop\NoMBR.exe
AV: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.pad
d:\dokumente und einstellungen\S.m.b\WINDOWS
D:\SystemData
d:\windows\IsUn0407.exe
d:\windows\system32\Cache
d:\windows\system32\Cache\26c630d098e22dd5.fb
d:\windows\system32\Cache\272512937d9e61a4.fb
d:\windows\system32\Cache\287204568329e189.fb
d:\windows\system32\Cache\28bc8f716fd76a47.fb
d:\windows\system32\Cache\31a0997e9a5b5eb3.fb
d:\windows\system32\Cache\32c84fe32bb74d60.fb
d:\windows\system32\Cache\3917078cb68ec657.fb
d:\windows\system32\Cache\590ba23ce359fd0c.fb
d:\windows\system32\Cache\610289e025a3ee9a.fb
d:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
d:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
d:\windows\system32\Cache\6d03dad1035885d3.fb
d:\windows\system32\Cache\95f567698be8a182.fb
d:\windows\system32\Cache\ad10a52aff5e038d.fb
d:\windows\system32\Cache\c1fa887b03019701.fb
d:\windows\system32\Cache\c4d28dca2e7648be.fb
d:\windows\system32\Cache\c84b8c43783260fa.fb
d:\windows\system32\Cache\d201ef9910cd39de.fb
d:\windows\system32\Cache\d2e94710a5708128.fb
d:\windows\system32\Cache\d3b4996ed66aeea5.fb
d:\windows\system32\Cache\d79b9dfe81484ec4.fb
d:\windows\system32\Cache\f998975c9cc711ee.fb
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-18 bis 2013-05-18  ))))))))))))))))))))))))))))))
.
.
2013-05-14 10:36 . 2000-06-26 08:45	106496	----a-w-	d:\windows\system32\TwnLib20.dll
2013-05-14 10:36 . 2004-07-26 14:16	476320	------w-	d:\windows\system32\ImagXpr7.dll
2013-05-14 10:36 . 2004-07-26 14:16	471040	------w-	d:\windows\system32\ImagXRA7.dll
2013-05-14 10:36 . 2004-07-26 14:16	262144	------w-	d:\windows\system32\ImagXR7.dll
2013-05-14 10:36 . 2004-07-26 14:16	1568768	------w-	d:\windows\system32\ImagX7.dll
2013-05-14 10:36 . 2013-05-14 10:36	--------	d-----w-	d:\programme\Gemeinsame Dateien\Ahead
2013-05-14 10:36 . 2001-07-09 08:50	155648	----a-w-	d:\windows\system32\NeroCheck.exe
2013-05-14 10:35 . 2013-05-14 10:36	--------	d-----w-	d:\programme\Ahead
2013-05-11 16:13 . 2013-05-11 16:13	--------	d-----w-	d:\dokumente und einstellungen\Administrator
2013-05-10 16:21 . 2013-05-11 13:57	--------	d-----w-	d:\dokumente und einstellungen\S.m.b\Anwendungsdaten\Skype
2013-05-10 16:20 . 2013-05-11 13:57	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2013-04-29 10:15 . 2013-05-17 11:52	--------	d-----w-	D:\new beat 2013
2013-04-22 21:01 . 2013-05-14 11:10	--------	d-----w-	D:\Chill beatt
2013-04-21 09:27 . 2013-04-21 09:28	--------	d-----w-	d:\windows\system32\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 18:33 . 2012-10-12 22:49	692104	----a-w-	d:\windows\system32\FlashPlayerApp.exe
2013-05-15 18:33 . 2011-10-26 19:24	71048	----a-w-	d:\windows\system32\FlashPlayerCPLApp.cpl
2009-10-26 11:58 . 2012-12-15 13:42	120128	---ha-w-	d:\programme\Autorun.exe
2013-01-19 13:57 . 2013-01-19 13:57	262552	----a-w-	d:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetDefaultMIDI"="MIDIDef.exe" [2010-03-18 28672]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"CTHelper"="CTHELPER.EXE" [2010-03-18 19456]
"kX Mixer"="d:\programme\kX Audio Driver\3550\kxmixer.exe" [2009-09-17 546312]
"LogitechQuickCamRibbon"="d:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
"ATICCC"="d:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"AdobeAAMUpdater-1.0"="d:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-07-29 497648]
"AVG_UI"="d:\programme\AVG\AVG2013\avgui.exe" [2012-12-11 3147384]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="d:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2006-11-07 12451]
.
d:\dokumente und einstellungen\S.m.b\Startmenü\Programme\Autostart\
runctf.lnk - d:\windows\system32\rundll32.exe [2004-8-4 33792]
.
d:\dokumente und einstellungen\S.m.b\Startmenü\Programme\Autostart\
runctf.lnk - d:\windows\system32\rundll32.exe [2004-8-4 33792]
.
d:\dokumente und einstellungen\S.m.b\Startmenü\Programme\Autostart\
runctf.lnk - d:\windows\system32\rundll32.exe [2004-8-4 33792]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
d:\dokumente und einstellungen\S.m.b\Startmenü\Programme\Autostart\
runctf.lnk - d:\windows\system32\rundll32.exe [2004-8-4 33792]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0d:\progra~1\AVG\AVG2013\avgrsx.exe /sync /restart
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"d:\\WINDOWS\\system32\\msiexec.exe"=
"d:\\Programme\\AVG\\AVG2013\\avgmfapx.exe"=
"d:\\Programme\\AVG\\AVG2013\\avgnsx.exe"=
"d:\\Programme\\AVG\\AVG2013\\avgdiagex.exe"=
"d:\\Programme\\AVG\\AVG2013\\avgemcx.exe"=
.
R0 AVGIDSHX;AVGIDSHX;d:\windows\system32\drivers\avgidshx.sys [19.04.2012 04:50 55776]
R0 Avglogx;AVG Logging Driver;d:\windows\system32\drivers\avglogx.sys [21.09.2012 04:46 177376]
R0 Avgrkx86;AVG Anti-Rootkit Driver;d:\windows\system32\drivers\avgrkx86.sys [13.09.2011 06:30 35552]
S1 AVGIDSDriver;AVGIDSDriver;d:\windows\system32\drivers\avgidsdriverx.sys [23.12.2011 13:32 179936]
S1 AVGIDSShim;AVGIDSShim;d:\windows\system32\drivers\avgidsshimx.sys [23.12.2011 13:32 19936]
S1 Avgldx86;AVG AVI Loader Driver;d:\windows\system32\drivers\avgldx86.sys [11.07.2011 01:13 159712]
S1 Avgtdix;AVG TDI Driver;d:\windows\system32\drivers\avgtdix.sys [11.07.2011 01:14 164832]
S2 AdobeActiveFileMonitor9.0;Adobe Active File Monitor V9;d:\programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe [06.09.2010 03:19 169408]
S2 AVGIDSAgent;AVGIDSAgent;d:\programme\AVG\AVG2013\avgidsagent.exe [16.11.2012 00:34 5814904]
S2 avgwd;AVG WatchDog;d:\programme\AVG\AVG2013\avgwdsvc.exe [22.10.2012 14:05 196664]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;d:\windows\system32\drivers\avmwan.sys [25.10.2011 23:22 37568]
S3 COMMONFX.SYS;COMMONFX.SYS;d:\windows\system32\drivers\COMMONFX.sys [18.03.2010 20:39 99416]
S3 COMMONFX;COMMONFX;d:\windows\system32\drivers\COMMONFX.sys [18.03.2010 20:39 99416]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;d:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [26.10.2011 21:56 79360]
S3 CTAUDFX.SYS;CTAUDFX.SYS;d:\windows\system32\drivers\CTAUDFX.sys [18.03.2010 20:39 555096]
S3 CTAUDFX;CTAUDFX;d:\windows\system32\drivers\CTAUDFX.sys [18.03.2010 20:39 555096]
S3 CTERFXFX.SYS;CTERFXFX.SYS;d:\windows\system32\drivers\CTERFXFX.sys [18.03.2010 20:39 100952]
S3 CTERFXFX;CTERFXFX;d:\windows\system32\drivers\CTERFXFX.sys [18.03.2010 20:39 100952]
S3 CTSBLFX.SYS;CTSBLFX.SYS;d:\windows\system32\drivers\CTSBLFX.sys [18.03.2010 20:39 566360]
S3 CTSBLFX;CTSBLFX;d:\windows\system32\drivers\CTSBLFX.sys [18.03.2010 20:39 566360]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;d:\windows\system32\drivers\fpcibase.sys [25.10.2011 23:22 444416]
S3 kxwdmdrv;kX WDM Driver Service;d:\windows\system32\drivers\kx.sys [18.09.2009 01:08 607496]
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-18 d:\windows\Tasks\Adobe Flash Player Updater.job
- d:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-12 18:33]
.
2013-05-18 d:\windows\Tasks\WGASetup.job
- d:\windows\system32\KB905474\wgasetup.exe [2011-10-27 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Free YouTube to MP3 Converter - d:\dokumente und einstellungen\S.m.b\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - d:\dokumente und einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-uTorrent - d:\programme\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2013-05-18 15:55
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTHelper = CTHELPER.EXE? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(256)
d:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2013-05-18  15:57:26
ComboFix-quarantined-files.txt  2013-05-18 13:57
.
Vor Suchlauf: 21 Verzeichnis(se), 28.660.117.504 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 38.204.686.336 Bytes frei
.
- - End Of File - - 94ED2BDC9331FF1D584186E1BD228DA1
         

--- --- ---


Hoffe, ich habe alles richtig gemacht.

Eine Frage: Sollte ich das Malwarebytes jetzt auch noch runterladen, oder war das nur, falls das Combofix gar nicht mehr funktioniert?

Liebe Grüße,

Zephyrine

Servus,



gut gemacht.

Zitat:

Zitat von zephyrine

Eine Frage: Sollte ich das Malwarebytes jetzt auch noch runterladen, oder war das nur, falls das Combofix gar nicht mehr funktioniert?

Ja, MBAR runterladen und ausführen.

Hallo,

die Logfile:

Zitat:

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
Malwarebytes : Free Anti-Malware download

Database version: v2013.05.18.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
S.m.b :: PRIVAT-B65928AA [administrator]

18.05.2013 19:52:58
mbar-log-2013-05-18 (19-52-58).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25091
Time elapsed: 35 minute(s), 29 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
d:\Dokumente und Einstellungen\S.m.b\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Delete on reboot.

(end)

Und die vom zweiten Durchlauf:

Zitat:

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.18.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
S.m.b :: PRIVAT-B65928AA [administrator]

18.05.2013 20:45:59
mbar-log-2013-05-18 (20-45-59).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25106
Time elapsed: 39 minute(s), 40 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Liebe Grüße,

Zephyrine

Servus,


kommt immer noch die "RUNDLL-Fehlermeldung"?



Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Hallo,

nein, die Fehlermeldung kommt nicht mehr.

OTL.txt:
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 20.05.2013 14:47:26 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = D:\Dokumente und Einstellungen\S.m.b\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,91 Gb Available Physical Memory | 60,60% Memory free
2,86 Gb Paging File | 2,33 Gb Available in Paging File | 81,46% Paging File free
Paging file location(s): D:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive D: | 74,52 Gb Total Space | 34,03 Gb Free Space | 45,66% Space Free | Partition Type: NTFS
Drive E: | 4,33 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: PRIVAT-B65928AA | User Name: S.m.b | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.05.12 00:25:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
PRC - [2012.12.11 04:52:44 | 003,147,384 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgui.exe
PRC - [2012.11.16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgidsagent.exe
PRC - [2012.10.30 05:59:56 | 000,726,648 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgrsx.exe
PRC - [2012.10.22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgwdsvc.exe
PRC - [2012.10.22 14:04:32 | 001,116,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgnsx.exe
PRC - [2012.10.22 14:03:52 | 000,796,792 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgemcx.exe
PRC - [2012.10.22 14:03:46 | 000,440,440 | ---- | M] (AVG Technologies CZ, s.r.o.) -- D:\Programme\AVG\AVG2013\avgcsrvx.exe
PRC - [2010.09.06 03:19:58 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) -- D:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe
PRC - [2010.03.18 19:17:48 | 000,019,456 | ---- | M] (Creative Technology Ltd) -- D:\WINDOWS\system32\CtHelper.exe
PRC - [2010.02.12 10:23:12 | 000,286,720 | ---- | M] (Creative Technology Ltd) -- D:\Programme\Creative\Shared Files\CTAudSvc.exe
PRC - [2009.09.18 01:08:02 | 000,546,312 | ---- | M] (Eugene Gavrilov) -- D:\Programme\kX Audio Driver\3550\kxmixer.exe
PRC - [2009.05.08 10:35:50 | 002,780,432 | ---- | M] () -- D:\Programme\Logitech\Logitech WebCam Software\LWS.exe
PRC - [2009.05.08 10:34:08 | 000,559,888 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
PRC - [2009.04.30 16:01:10 | 000,154,136 | ---- | M] (Logitech Inc.) -- D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- D:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.07.02 03:15:22 | 001,035,264 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.11.05 19:02:00 | 000,311,296 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2011.11.05 19:01:54 | 000,430,080 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms.resources\2.0.0.0_de_b77a5c561934e089\System.Windows.Forms.resources.dll
MOD - [2011.10.29 11:42:01 | 011,797,504 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\d987cf1de4ba688da92e212a374232c2\System.Web.ni.dll
MOD - [2011.10.29 11:41:10 | 000,971,264 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\631b3eba1ba5bd3c3f027f34011cadeb\System.Configuration.ni.dll
MOD - [2011.10.29 11:27:04 | 005,450,752 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\563a54b98adb70fae862974042298348\System.Xml.ni.dll
MOD - [2011.10.29 11:26:48 | 012,430,848 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\2dfe045e4b1577fdea9a2f456db0afc2\System.Windows.Forms.ni.dll
MOD - [2011.10.29 11:26:15 | 001,587,200 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\f3440ea00eb3c40dc073b2fe03843638\System.Drawing.ni.dll
MOD - [2011.10.29 11:23:29 | 007,949,824 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\37217abe2c5164e59aba251860f4c79e\System.ni.dll
MOD - [2011.10.29 11:22:48 | 011,486,720 | ---- | M] () -- D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\7124a40b9998f7b63c86bd1a2125ce26\mscorlib.ni.dll
MOD - [2011.10.29 02:18:20 | 000,372,736 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Management\2.0.0.0__b03f5f7f11d50a3a\System.Management.dll
MOD - [2011.10.29 02:18:17 | 000,303,104 | ---- | M] () -- D:\WINDOWS\assembly\GAC_MSIL\System.Runtime.Remoting\2.0.0.0__b77a5c561934e089\System.Runtime.Remoting.dll
MOD - [2009.05.08 10:35:50 | 002,780,432 | ---- | M] () -- D:\Programme\Logitech\Logitech WebCam Software\LWS.exe
MOD - [2009.05.08 10:34:08 | 000,559,888 | ---- | M] () -- D:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2013.05.15 20:33:43 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.11.16 00:34:30 | 005,814,904 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- D:\Programme\AVG\AVG2013\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012.10.22 14:05:08 | 000,196,664 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto | Running] -- D:\Programme\AVG\AVG2013\avgwdsvc.exe -- (avgwd)
SRV - [2011.10.26 21:56:45 | 000,079,360 | ---- | M] (Creative Labs) [On_Demand | Stopped] -- D:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe -- (Creative Audio Engine Licensing Service)
SRV - [2010.09.06 03:19:58 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- D:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor9.0)
SRV - [2010.02.12 10:23:12 | 000,286,720 | ---- | M] (Creative Technology Ltd) [Auto | Running] -- D:\Programme\Creative\Shared Files\CTAudSvc.exe -- (CTAudSvcService)
SRV - [2009.04.30 16:01:10 | 000,154,136 | ---- | M] (Logitech Inc.) [Auto | Running] -- D:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2005.10.06 18:13:10 | 000,856,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- D:\Programme\Windows Media Connect 2\wmccds.exe -- (WMConnectCDS)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOKUME~1\SM26D2~1.B\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2012.11.16 00:33:26 | 000,094,048 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- D:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2012.10.22 14:02:46 | 000,179,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2012.10.15 04:48:52 | 000,055,776 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012.10.02 04:30:38 | 000,159,712 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012.09.21 04:46:06 | 000,164,832 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012.09.21 04:46:00 | 000,177,376 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\avglogx.sys -- (Avglogx)
DRV - [2012.09.21 04:45:54 | 000,019,936 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2012.09.14 04:05:20 | 000,035,552 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot | Running] -- D:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2010.03.18 20:50:12 | 000,189,528 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\haP17v2k.sys -- (hap17v2k)
DRV - [2010.03.18 20:50:04 | 000,162,904 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\haP16v2k.sys -- (hap16v2k)
DRV - [2010.03.18 20:49:56 | 000,798,808 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ha10kx2k.sys -- (ha10kx2k)
DRV - [2010.03.18 20:45:42 | 000,092,760 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\emupia2k.sys -- (emupia)
DRV - [2010.03.18 20:45:28 | 000,157,272 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2010.03.18 20:45:20 | 000,014,424 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctprxy2k.sys -- (ctprxy2k)
DRV - [2010.03.18 20:45:12 | 000,127,576 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2010.03.18 20:40:48 | 000,347,144 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctdvda2k.sys -- (ctdvda2k)
DRV - [2010.03.18 20:40:40 | 000,528,472 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctaud2k.sys -- (ctaud2k)
DRV - [2010.03.18 20:40:32 | 000,511,064 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ctac32k.sys -- (ctac32k)
DRV - [2010.03.18 20:39:36 | 000,100,952 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTERFXFX.sys -- (CTERFXFX.SYS)
DRV - [2010.03.18 20:39:36 | 000,100,952 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTERFXFX.sys -- (CTERFXFX)
DRV - [2010.03.18 20:39:28 | 000,566,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTSBLFX.sys -- (CTSBLFX.SYS)
DRV - [2010.03.18 20:39:28 | 000,566,360 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTSBLFX.sys -- (CTSBLFX)
DRV - [2010.03.18 20:39:18 | 000,555,096 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTAUDFX.sys -- (CTAUDFX.SYS)
DRV - [2010.03.18 20:39:18 | 000,555,096 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CTAUDFX.sys -- (CTAUDFX)
DRV - [2010.03.18 20:39:10 | 000,099,416 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\COMMONFX.sys -- (COMMONFX.SYS)
DRV - [2010.03.18 20:39:10 | 000,099,416 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\COMMONFX.sys -- (COMMONFX)
DRV - [2009.09.18 01:08:00 | 000,607,496 | ---- | M] (Eugene Gavrilov) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\kx.sys -- (kxwdmdrv)
DRV - [2009.05.01 01:03:30 | 000,023,832 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2009.05.01 01:03:08 | 006,754,712 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC)
DRV - [2009.05.01 01:01:36 | 000,265,496 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009.04.30 16:00:12 | 000,025,624 | ---- | M] () [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2006.05.03 18:50:42 | 001,540,608 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004.08.03 21:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139)
DRV - [2004.08.03 21:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2001.08.17 13:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7B20a82645-c095-46ed-80e3-08825760534b%7D:0.0.0
FF - prefs.js..extensions.enabledAddons: %7BEEE6C361-6118-11DC-9C72-001320C79847%7D:1.9.0.0
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.1
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: D:\WINDOWS\system32\Adobe\Director\np32dsw_1202122.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: D:\Programme\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Programme\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: D:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\ff\ [2012.12.25 18:13:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Components: D:\Programme\Mozilla Firefox\components [2013.01.19 15:57:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2013.01.19 15:57:04 | 000,000,000 | ---D | M]
 
[2011.10.26 20:46:47 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Extensions
[2013.01.07 00:43:41 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions
[2013.01.07 00:43:41 | 000,190,000 | ---- | M] () (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.12.11 13:55:32 | 000,003,915 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\searchplugins\sweetim.xml
[2013.01.19 15:57:02 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions
[2011.10.29 02:09:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- D:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2013.01.19 15:57:22 | 000,262,552 | ---- | M] (Mozilla Foundation) -- D:\Programme\mozilla firefox\components\browsercomps.dll
[2013.01.04 19:46:08 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.01.04 19:46:08 | 000,002,465 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\bing.xml
[2013.01.04 19:46:08 | 000,001,153 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2013.01.04 19:46:08 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.01.04 19:46:08 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.01.04 19:46:08 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013.05.18 15:55:32 | 000,000,027 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVG\AVG2012\avgssie.dll File not found
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] D:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [AVG_UI] D:\Programme\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [CTHelper] D:\WINDOWS\System32\CtHelper.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [kX Mixer] D:\Programme\kX Audio Driver\3550\kxmixer.exe (Eugene Gavrilov)
O4 - HKLM..\Run: [LogitechQuickCamRibbon] D:\Programme\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKCU..\Run: [SetDefaultMIDI] D:\WINDOWS\System32\MIDIDEF.EXE (Creative Technology Ltd)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Free YouTube to MP3 Converter - D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A351158C-9D13-4C09-90E8-DFE867877938}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programme\AVG\AVG2012\avgpp.dll File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) - D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - D:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (D:\PROGRA~1\AVG\AVG2013\avgrsx.exe /sync /restart)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.18 19:16:22 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.05.18 19:16:06 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\mbar
[2013.05.18 19:11:49 | 000,000,000 | -HSD | C] -- D:\RECYCLER
[2013.05.18 19:09:13 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Local Settings
[2013.05.18 19:09:12 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2013.05.18 19:09:11 | 000,000,000 | ---D | C] -- D:\Programme\7-Zip
[2013.05.18 15:57:28 | 000,000,000 | ---D | C] -- D:\WINDOWS\temp
[2013.05.18 15:44:00 | 000,518,144 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWREG.exe
[2013.05.18 15:44:00 | 000,406,528 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWSC.exe
[2013.05.18 15:44:00 | 000,212,480 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWXCACLS.exe
[2013.05.18 15:44:00 | 000,060,416 | ---- | C] (NirSoft) -- D:\WINDOWS\NIRCMD.exe
[2013.05.14 12:37:36 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Nero
[2013.05.14 12:36:15 | 000,106,496 | ---- | C] (Pegasus Software) -- D:\WINDOWS\System32\TwnLib20.dll
[2013.05.14 12:36:08 | 001,568,768 | ---- | C] (Pegasus Imaging Corp.) -- D:\WINDOWS\System32\ImagX7.dll
[2013.05.14 12:36:08 | 000,476,320 | ---- | C] (Pegasus Imaging Corp.) -- D:\WINDOWS\System32\ImagXpr7.dll
[2013.05.14 12:36:08 | 000,471,040 | ---- | C] (Pegasus Imaging Corp.) -- D:\WINDOWS\System32\ImagXRA7.dll
[2013.05.14 12:36:08 | 000,262,144 | ---- | C] (Pegasus Imaging Corp.) -- D:\WINDOWS\System32\ImagXR7.dll
[2013.05.14 12:36:04 | 000,000,000 | ---D | C] -- D:\Programme\Gemeinsame Dateien\Ahead
[2013.05.14 12:36:03 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- D:\WINDOWS\System32\NeroCheck.exe
[2013.05.14 12:35:58 | 000,000,000 | ---D | C] -- D:\Programme\Ahead
[2013.05.12 23:31:54 | 000,000,000 | RHSD | C] -- D:\cmdcons
[2013.05.12 23:29:47 | 000,000,000 | ---D | C] -- D:\Qoobox
[2013.05.12 23:29:42 | 000,000,000 | R--D | C] -- D:\Dokumente und Einstellungen\S.m.b\Startmenü\Programme\Verwaltung
[2013.05.12 23:29:29 | 000,000,000 | ---D | C] -- D:\WINDOWS\erdnt
[2013.05.12 21:27:03 | 005,066,820 | R--- | C] (Swearware) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\NoMBR.exe
[2013.05.12 00:25:39 | 000,602,112 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
[2013.05.11 18:24:42 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\bdayfotostest
[2013.05.11 18:24:01 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Neuer Ordner
[2013.05.11 17:37:32 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Desktop\bdayfotos
[2013.05.11 16:00:26 | 000,000,000 | ---D | C] -- D:\Config.Msi
[2013.05.10 18:21:24 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Skype
[2013.05.10 18:20:13 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
[2013.04.29 12:15:56 | 000,000,000 | ---D | C] -- D:\new beat 2013
[2013.04.22 23:01:39 | 000,000,000 | ---D | C] -- D:\Chill beatt
[2013.04.21 11:27:56 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\Adobe
[116 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.20 14:44:40 | 000,000,260 | ---- | M] () -- D:\WINDOWS\tasks\WGASetup.job
[2013.05.20 14:44:26 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2013.05.20 14:44:23 | 1610,125,312 | -HS- | M] () -- D:\hiberfil.sys
[2013.05.20 14:44:07 | 000,000,000 | ---- | M] () -- D:\WINDOWS\System32\drivers\lvuvc.hs
[2013.05.20 14:44:04 | 000,000,000 | ---- | M] () -- D:\WINDOWS\System32\drivers\logiflt.iad
[2013.05.20 14:32:03 | 000,000,884 | ---- | M] () -- D:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.05.20 12:58:57 | 000,002,206 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2013.05.18 19:13:45 | 012,917,756 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\mbar-1.05.0.1001.zip
[2013.05.18 15:55:32 | 000,000,027 | ---- | M] () -- D:\WINDOWS\System32\drivers\etc\hosts
[2013.05.18 15:39:17 | 005,066,820 | R--- | M] (Swearware) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\NoMBR.exe
[2013.05.17 14:04:37 | 000,063,510 | ---- | M] () -- D:\llllll.flp
[2013.05.15 20:33:43 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- D:\WINDOWS\System32\FlashPlayerApp.exe
[2013.05.15 20:33:43 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- D:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.05.14 13:09:09 | 000,095,019 | ---- | M] () -- D:\new beattttttttttttt.flp
[2013.05.14 12:42:21 | 000,000,069 | ---- | M] () -- D:\WINDOWS\NeroDigital.ini
[2013.05.14 12:38:25 | 000,001,307 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2013.05.14 12:37:31 | 000,316,640 | ---- | M] () -- D:\WINDOWS\WMSysPr9.prx
[2013.05.12 23:32:00 | 000,000,327 | RHS- | M] () -- D:\boot.ini
[2013.05.12 01:02:35 | 000,000,000 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\defogger_reenable
[2013.05.12 00:27:54 | 000,377,856 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\gmer_2.1.19163.exe
[2013.05.12 00:26:42 | 000,050,477 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Defogger.exe
[2013.05.12 00:25:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\S.m.b\Desktop\OTL.exe
[2013.05.10 17:11:35 | 000,001,186 | ---- | M] () -- D:\SAXOPHONE.ksd
[2013.04.27 22:38:51 | 000,084,395 | ---- | M] () -- D:\south side.flp
[2013.04.27 17:27:59 | 000,715,406 | ---- | M] () -- D:\chilll beat south site.mp3
[2013.04.26 20:52:47 | 000,087,253 | ---- | M] () -- D:\yeahh senixx.flp
[2013.04.26 20:44:40 | 001,354,256 | ---- | M] () -- D:\S.B.M beatz records gagnstar beat 2013.mp3
[2013.04.26 18:21:17 | 010,207,278 | ---- | M] () -- D:\S.B.M beatz records gangstar beat 2ß.wav
[116 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.05.18 19:13:15 | 012,917,756 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\mbar-1.05.0.1001.zip
[2013.05.18 16:04:06 | 1610,125,312 | -HS- | C] () -- D:\hiberfil.sys
[2013.05.18 15:44:00 | 000,256,000 | ---- | C] () -- D:\WINDOWS\PEV.exe
[2013.05.18 15:44:00 | 000,208,896 | ---- | C] () -- D:\WINDOWS\MBR.exe
[2013.05.18 15:44:00 | 000,098,816 | ---- | C] () -- D:\WINDOWS\sed.exe
[2013.05.18 15:44:00 | 000,080,412 | ---- | C] () -- D:\WINDOWS\grep.exe
[2013.05.18 15:44:00 | 000,068,096 | ---- | C] () -- D:\WINDOWS\zip.exe
[2013.05.14 12:40:52 | 000,000,069 | ---- | C] () -- D:\WINDOWS\NeroDigital.ini
[2013.05.14 12:38:25 | 000,001,307 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2013.05.12 23:32:00 | 000,000,210 | ---- | C] () -- D:\Boot.bak
[2013.05.12 23:31:56 | 000,262,448 | RHS- | C] () -- D:\cmldr
[2013.05.12 01:02:35 | 000,000,000 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\defogger_reenable
[2013.05.12 00:27:54 | 000,377,856 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\gmer_2.1.19163.exe
[2013.05.12 00:26:42 | 000,050,477 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Desktop\Defogger.exe
[2013.05.10 17:11:35 | 000,001,186 | ---- | C] () -- D:\SAXOPHONE.ksd
[2013.05.09 18:05:25 | 000,063,510 | ---- | C] () -- D:\llllll.flp
[2013.04.27 17:26:45 | 000,715,406 | ---- | C] () -- D:\chilll beat south site.mp3
[2013.04.26 18:25:58 | 001,354,256 | ---- | C] () -- D:\S.B.M beatz records gagnstar beat 2013.mp3
[2013.04.26 18:19:45 | 010,207,278 | ---- | C] () -- D:\S.B.M beatz records gangstar beat 2ß.wav
[2013.02.28 19:03:30 | 000,018,073 | ---- | C] () -- D:\WINDOWS\CSTBox.INI
[2012.12.15 15:42:11 | 002,544,238 | ---- | C] () -- D:\Programme\Nexus 2 Manual English.pdf
[2012.12.15 15:42:11 | 000,120,128 | -H-- | C] () -- D:\Programme\Autorun.exe
[2012.12.15 15:42:11 | 000,000,139 | -H-- | C] () -- D:\Programme\Autorun.inf
[2011.11.12 15:07:53 | 000,009,216 | ---- | C] () -- D:\Dokumente und Einstellungen\S.m.b\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.11.11 15:48:34 | 000,007,680 | ---- | C] () -- D:\WINDOWS\System32\CNMVS64.DLL
[2011.11.05 19:48:22 | 000,000,403 | ---- | C] () -- D:\WINDOWS\ODBC.INI
[2011.11.05 10:58:24 | 000,520,192 | ---- | C] () -- D:\WINDOWS\System32\ati2sgag.exe
[2011.11.05 10:35:24 | 000,000,010 | ---- | C] () -- D:\WINDOWS\WININIT.INI
[2011.10.27 21:54:22 | 000,082,289 | R--- | C] () -- D:\WINDOWS\System32\lvcoinst.ini
[2011.10.25 22:50:28 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI
[2011.10.25 22:49:22 | 000,002,048 | --S- | C] () -- D:\WINDOWS\bootstat.dat
[2011.10.25 22:49:06 | 000,121,336 | ---- | C] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2011.10.25 22:28:04 | 000,021,740 | ---- | C] () -- D:\WINDOWS\System32\emptyregdb.dat
 
========== ZeroAccess Check ==========
 
[2011.10.26 22:14:33 | 000,000,227 | RHS- | M] () -- D:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2010.04.16 17:20:25 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:00:58 | 000,473,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2004.08.04 01:57:38 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
         

--- --- ---



Extras.txt:
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 20.05.2013 14:47:26 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = D:\Dokumente und Einstellungen\S.m.b\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,91 Gb Available Physical Memory | 60,60% Memory free
2,86 Gb Paging File | 2,33 Gb Available in Paging File | 81,46% Paging File free
Paging file location(s): D:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive D: | 74,52 Gb Total Space | 34,03 Gb Free Space | 45,66% Space Free | Partition Type: NTFS
Drive E: | 4,33 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: PRIVAT-B65928AA | User Name: S.m.b | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Digital Photo Professional] -- D:\Programme\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\explorer.exe" = %windir%\explorer.exe -- (Microsoft Corporation)
"D:\WINDOWS\system32\msiexec.exe" = D:\WINDOWS\system32\msiexec.exe:*:Enabled:UpdateManagerSetup -- (Microsoft Corporation)
"D:\Programme\AVG\AVG2013\avgmfapx.exe" = D:\Programme\AVG\AVG2013\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\AVG\AVG2013\avgnsx.exe" = D:\Programme\AVG\AVG2013\avgnsx.exe:*:Enabled:Online Shield -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\AVG\AVG2013\avgdiagex.exe" = D:\Programme\AVG\AVG2013\avgdiagex.exe:*:Enabled:AVG-Diagnose 2013 -- (AVG Technologies CZ, s.r.o.)
"D:\Programme\AVG\AVG2013\avgemcx.exe" = D:\Programme\AVG\AVG2013\avgemcx.exe:*:Enabled:Personal E-Mail-Scanner -- (AVG Technologies CZ, s.r.o.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{007F778D-F15C-4EAB-AE92-071D21FAF632}" = Adobe Photoshop Elements 9
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{241DBC8D-14E3-4240-8EE5-3AC35086B638}" = AVG 2013
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{433EACD8-4747-4A6A-826A-FFA9F39B0D40}" = Elements 9 Organizer
"{48A5AB54-6327-43DC-A376-4AC74C5D40B0}" = AVG 2013
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{77DCDCE3-2DED-62F3-8154-05E745472D07}" = Acrobat.com
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"{AC96671C-2001-432C-9826-5266D84EF1DC}" = Logitech Webcam Software
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E2AE009D-37E5-4724-A6B8-0ED6A6BA4F68}" = Elements STI Installer
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F302F4F0-588D-6501-1ACF-BE3FDCC9135D}" = Adobe Community Help
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 9.20
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 9" = Adobe Photoshop Elements 9
"Adobe Shockwave Player" = Adobe Shockwave Player 12.0
"All ATI Software" = ATI - Software Uninstall Utility
"ASIO4ALL" = ASIO4ALL
"ATI Display Driver" = ATI Display Driver
"AudioCS" = Creative-Audiokonsole
"AVG" = AVG 2013
"bi_uninstaller" = Bundled software uninstaller
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CANONBJ_Deinstall_CNMCP64.DLL" = Canon PIXMA iP4000
"CANONIJINBOXADDON100" = Canon Inkjet Printer Driver Add-On Module
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"DPP" = Canon Utilities Digital Photo Professional 3.8
"EOS Utility" = Canon Utilities EOS Utility
"FL Studio 10" = FL Studio 10
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.37.1212
"IL Shared Libraries" = IL Shared Libraries
"lvdrivers_12.0" = Logitech Webcam Software-Treiberpaket
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox 18.0.1 (x86 de)" = Mozilla Firefox 18.0.1 (x86 de)
"Native Instruments FM8 v1.0.1.002 VSTi DXi RTAS" = Native Instruments FM8 v1.0.1.002 VSTi DXi RTAS
"NeroMultiInstaller!UninstallKey" = Nero Suite
"Original Data Security Tools" = Canon Utilities Original Data Security Tools
"PhotoStitch" = Canon Utilities PhotoStitch
"Picture Style Editor" = Canon Utilities Picture Style Editor
"reFX Nexus_is1" = reFX Nexus VSTi RTAS v2.2.0
"VLC media player" = VLC media player 1.1.11
"WFTK" = Canon Utilities WFT Utility
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinRAR archiver" = WinRAR 4.20 (32-Bit)
"WMCSetup" = Windows Media Connect
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 12.05.2013 05:02:35 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 12.05.2013 05:02:35 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 12.05.2013 05:04:48 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 12.05.2013 05:04:48 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 12.05.2013 05:36:56 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 12.05.2013 05:36:56 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 18.05.2013 09:52:00 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 18.05.2013 09:52:00 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 18.05.2013 09:52:00 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 18.05.2013 09:52:00 | Computer Name = PRIVAT-B65928AA | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:39 | Computer Name = PRIVAT-B65928AA | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk1\D.
 
Error - 20.05.2013 08:44:43 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7006
Description = Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden
 Fehlers fehlgeschlagen:   %%5
 
Error - 20.05.2013 08:44:43 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 20.05.2013 08:44:43 | Computer Name = PRIVAT-B65928AA | Source = Service Control Manager | ID = 7006
Description = Der Aufruf "ScRegSetValueExW" ist für "FailureActions" aufgrund folgenden
 Fehlers fehlgeschlagen:   %%5
 
 
< End of report >
         

--- --- ---

Servus,



ok.


Wir entfernen jetzt noch die letzten Reste und kontrollieren nochmal alles:






Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..extensions.enabledAddons: %7BEEE6C361-6118-11DC-9C72-001320C79847%7D:1.9.0.0
[2013.01.07 00:43:41 | 000,190,000 | ---- | M] () (No name found) -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.12.11 13:55:32 | 000,003,915 | ---- | M] () -- D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\searchplugins\sweetim.xml
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVG\AVG2012\avgssie.dll File not found

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  
  Code: Alles auswählenAufklappen

  ATTFilter

  D:\Programme\Autorun.exe
           

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 5
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• den Link zu VirusTotal,
• die Logdatei von SecurityCheck.

Hallo,

OTL:

Zitat:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Prefs.js: "AVG Secure Search" removed from browser.search.defaultenginename
Prefs.js: %7BEEE6C361-6118-11DC-9C72-001320C79847%7D:1.9.0.0 removed from extensions.enabledAddons
D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi moved successfully.
D:\Dokumente und Einstellungen\S.m.b\Anwendungsdaten\Mozilla\Firefox\Profiles\al9fkc5a.default\searchplugins\sweetim.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41620 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: S.m.b
->Temp folder emptied: 4065478 bytes
->Temporary Internet Files folder emptied: 211238 bytes
->FireFox cache emptied: 355180899 bytes
->Flash cache emptied: 114913 bytes

User: SM26D2~1~B

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3600670 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109388 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 347,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05202013_214923

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

MBAM:

Zitat:

Malwarebytes Anti-Malware 1.75.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.05.20.07

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
S.m.b :: PRIVAT-B65928AA [Administrator]

20.05.2013 22:30:05
mbam-log-2013-05-20 (22-30-05).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222313
Laufzeit: 9 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=5cab0994939fd54b9991b580eecd3a93
# engine=13875
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-20 11:46:10
# local_time=2013-05-21 01:46:10 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1039 16777213 100 99 15889 56227554 0 0
# scanned=106077
# found=1
# cleaned=0
# scan_time=9960
sh=209E4F6CC01058CB5A5FC159F7CCC77DC418095E ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="D:\System Volume Information\_restore{595C1A54-C400-4EA9-A78F-17BEEC4F95F0}\RP198\A0060059.lnk"

VirusTotal:

https://www.virustotal.com/de/file/64d9ab588b3aae9a8af2e26cff3e10e9f83fa681c57ccd3b8e24a63a8eca3c1e/analysis/1369125625/

SecurityCheck:

Zitat:

Results of screen317's Security Check version 0.99.63
Windows XP Service Pack 2 x86
Out of date service pack!!
Internet Explorer 6 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Warten Sie, w„hrend WMIC installiert wird.d
i
s
p
l
a
y
N
a
m
e
ECHO ist ausgeschaltet (OFF).
A
V
G
ECHO ist ausgeschaltet (OFF).
A
n
t
i
V
i
r
u
s
ECHO ist ausgeschaltet (OFF).
F
r
e
ECHO ist ausgeschaltet (OFF).
E
d
i
t
i
o
n
ECHO ist ausgeschaltet (OFF).
2
0
1
3
ECHO ist ausgeschaltet (OFF).
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Adobe Flash Player 11.7.700.202
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 18.0.1 Firefox out of Date!
````````Process Check: objlist.exe by Laurent````````
AVG avgwdsvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive D::
````````````````````End of Log``````````````````````