Bundespolizei Trojaner

Redwulf · 23.05.2013, 12:59

Hallo liebe Helfer

Jetzt hats auch mich erwischt...

Der Bundestrojaner hat meinen Rechner gesperrt. Da ich hier nicht neu bin, jedoch eine geraume Zeit nicht mehr hier war, habe ich in Anlehnung einiger Beiträge zunächst versucht in den Abgesicherten Modus zu gelangen, was nach geraumer Zeit auch gelang

Ich habe mir ComboFix auf einen Stick geladen und mittels abgesichertem Modus und Eingabeaufforderung ComboFix vom Stick gestartet. Meine Eingaben hier mache ich zur Zeit auf einem Netbook.

Zur Zeit läuft Combofix. Der Durchlauf scheint gleich beendet zu sein.

Ich brauche Hilfe bei den nächsten Schritten, bitte.....

hier das ComboFix Logfile

[Code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 13-05-23.01 - Klaus Bohnen 23.05.2013  14:02:57.1.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1771 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
AV: Bitdefender Virenschutz *Enabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *Disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790197.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790250.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790301.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790473.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790516.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314790780.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314791089.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314791240.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314791340.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1314797199.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1319651447.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\1319651449.bdinstall.bin
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\2433f433
c:\programme\Internet Explorer\SET10A.tmp
c:\programme\Internet Explorer\SET10B.tmp
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\Cache
c:\windows\system32\frapsvid.dll
c:\windows\system32\ntdll.TMP
c:\windows\system32\SET100.tmp
c:\windows\system32\SET101.tmp
c:\windows\system32\SET105.tmp
c:\windows\system32\SET106.tmp
c:\windows\system32\SET107.tmp
c:\windows\system32\SET5D.tmp
c:\windows\system32\SET61.tmp
c:\windows\system32\SET68.tmp
c:\windows\system32\SET69.tmp
c:\windows\system32\SET6B.tmp
c:\windows\system32\SET78.tmp
c:\windows\system32\SET82.tmp
c:\windows\system32\SETF9.tmp
c:\windows\system32\SETFA.tmp
c:\windows\system32\SETFB.tmp
c:\windows\system32\SETFF.tmp
c:\windows\system32\System32\MASetupCleaner.exe
c:\windows\system32\System32\muzapp.exe
c:\windows\system32\URTTemp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-23 bis 2013-05-23  ))))))))))))))))))))))))))))))
.
.
2013-05-23 11:17 . 2013-05-23 11:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator.KLAUS
2013-05-10 07:57 . 2013-05-10 07:57	187456	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2013-05-10 07:57 . 2013-05-10 07:57	187456	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-16 22:16 . 2006-02-28 12:00	920064	----a-w-	c:\windows\system32\wininet.dll
2013-04-16 22:16 . 2006-02-28 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2013-04-16 22:16 . 2006-02-28 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-04-12 23:28 . 2006-02-28 12:00	385024	------w-	c:\windows\system32\html.iec
2013-04-12 14:00 . 2006-02-28 12:00	1876480	----a-w-	c:\windows\system32\win32k.sys
2013-04-04 12:50 . 2012-09-13 18:23	22856	------w-	c:\windows\system32\drivers\mbam.sys
2013-03-21 16:27 . 2013-03-21 16:27	12441	----a-w-	C:\Zulu-Clock.zip
2013-03-08 08:36 . 2006-02-28 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2004-08-04 00:50	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-07 15:56 . 2006-02-28 12:00	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-02-27 07:56 . 2010-02-02 18:44	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-08-30 22:59 . 2011-09-01 14:34	134104	------w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-02-18 09:02 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2010-02-18 09:02 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[7] 2006-02-28 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDAgent"="c:\programme\Bitdefender\Bitdefender 2012\bdagent.exe" [2012-12-22 1199344]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-02-18 24064]
.
c:\dokumente und einstellungen\Klaus Bohnen.KLAUS\Startmenü\Programme\Autostart\
utcClock.lnk - C:\utcClock.exe [N/A]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Secunia Update Agent"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"gupdatem"=3 (0x3)
"gupdate"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Adelby Development\\Eagles Lair 2.0\\EaglesLair.exe"=
"c:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\WINDOWS\\system32\\muzapp.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\PFPortChecker\\PFPortChecker.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\HyperLobby client\\hyperlobby.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23003:TCP"= 23003:TCP:EL comms
"23003:UDP"= 23003:UDP:EL Comms
"21000:TCP"= 21000:TCP:IL2
"21000:UDP"= 21000:UDP:IL2
"1033:TCP"= 1033:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
"62124:TCP"= 62124:TCP:Utorrent
"62124:UDP"= 62124:UDP:uTottent UDP
"82:TCP"= 82:TCP:MSI Afterburner Remote Server
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R3 avchv;avchv Function Driver;c:\windows\system32\drivers\avchv.sys [15.07.2011 16:11 242504]
R3 SaiH075C;SaiH075C;c:\windows\system32\drivers\SaiH075C.sys [02.02.2010 22:23 132232]
S0 avc3;avc3;c:\windows\system32\drivers\avc3.sys [16.04.2012 17:49 622616]
S1 BDVEDISK;BDVEDISK;c:\windows\system32\drivers\bdvedisk.sys [19.01.2010 19:32 85128]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 13:22 185472]
S2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [15.09.2010 14:41 187456]
S2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [13.09.2012 20:23 418376]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.09.2012 20:23 701512]
S2 UPDATESRV;BitDefender Desktop Update Service;c:\programme\Bitdefender\Bitdefender 2012\updatesrv.exe [06.10.2011 20:32 55032]
S3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\drivers\ssadadb.sys [07.11.2012 20:35 30312]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [02.02.2010 21:11 34944]
S3 avckf;avckf;c:\windows\system32\drivers\avckf.sys [15.07.2011 16:11 481464]
S3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [29.09.2011 16:09 63056]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [13.05.2011 11:56 20032]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [15.02.2011 15:57 36608]
S3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [01.01.2013 15:10 35144]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.09.2012 20:23 22856]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544]
S3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\drivers\ssadbus.sys [07.11.2012 20:35 121064]
S3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\drivers\ssadmdfl.sys [07.11.2012 20:35 12776]
S3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\drivers\ssadmdm.sys [07.11.2012 20:35 136808]
S3 Update Server;BitDefender Update Server v2;c:\programme\Gemeinsame Dateien\BitDefender\Bitdefender Arrakis Server\bin\arrakis3.exe [06.10.2011 18:19 307544]
S4 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 17:35 128296]
S4 Secunia PSI Agent;Secunia PSI Agent;c:\programme\Secunia\PSI\PSIA.exe --start-service --> c:\programme\Secunia\PSI\PSIA.exe --start-service [?]
S4 Secunia Update Agent;Secunia Update Agent;c:\programme\Secunia\PSI\sua.exe --start-service --> c:\programme\Secunia\PSI\sua.exe --start-service [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WUAUSERV
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-23 c:\windows\Tasks\User_Feed_Synchronization-{2CBF90BF-30CB-454E-9A36-BB3D349A76AA}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: google.de\www
Trusted Zone: telekom.de\kundencenter
FF - ProfilePath - c:\dokumente und einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mozilla\Firefox\Profiles\j6jaxnst.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: !HIDDEN! 2011-01-21 20:24; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - ExtSQL: !HIDDEN! 2011-01-23 14:47; smartwebprinting@hp.com; c:\programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
AddRemove-01_Simmental - c:\programme\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\programme\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\programme\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\programme\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\programme\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\programme\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\programme\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\programme\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\programme\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\programme\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\program files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - c:\programme\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\programme\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\programme\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\programme\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\programme\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\programme\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\programme\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\programme\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\programme\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-26_VIA_driver2 - c:\programme\Samsung\USB Drivers\26_VIA_driver2\Uninstall.exe
AddRemove-TeamSpeak 3 Client - f:\ts3\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-05-23 14:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-73586283-1844237615-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,40,b2,b5,c6,b1,25,3d,7a,55,fa,ba,ea,e6,22,b1,21,2f,1e,22,ef,dd,21,
   44,9e,8c,cd,19,cf,93,8c,83,6b,7d,72,85,f5,0c,4e,9b,a8,d3,91,a0,14,41,cd,57,\
"??"=hex:c3,34,2f,85,1f,34,3e,73,46,22,7f,c6,4c,5c,30,d6
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2013-05-23  14:19:14
ComboFix-quarantined-files.txt  2013-05-23 12:19
.
Vor Suchlauf: 28 Verzeichnis(se), 21.970.821.120 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 22.293.770.240 Bytes frei
.
- - End Of File - - 72E496BADA1A83E8325DE05510D148FF

--- --- ---

Ich habe desweiteren aswmbr laufen lassen, ohne Probleme, der Bootsektor ist ok.

Zur Zeit läuft Malwarebytes durch, dass wird aufgrund der Größe der Festplatte einige Zeit in Anspruch nehmen....

t'john · 23.05.2013, 13:58

CF auszufuehren ohne Anweisung ist nicht gern gesehen.

Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Redwulf · 23.05.2013, 14:06

Hallo t´john

Danke für deine Hilfe

Malwarebytes läuft noch. Zu meiner Entschuldigung muss ich sagen, dass ich hier auch mal als Helfer unterwegs war. Aber lang ists her...... Ich bitte um Nachsicht und werde die benötigten Logfiles dann posten

Habe einen MBAM Quickscan vorgenommen, nachdem du geantwortet hast. Der Vollscan hätte mehrere Stunden gedauert.

Code:

ATTFilter

 Malwarebytes Anti-Malware  (PRO) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.23.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Klaus Bohnen :: KLAUS [Administrator]

Schutz: Aktiviert

23.05.2013 15:12:04
mbam-log-2013-05-23 (15-12-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 480567
Laufzeit: 12 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bin übringens wieder auf dem gesperrten Rechner ... CF hat den Zugang wieder ermöglicht

OTL läuft......

OTL Logfile:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 23.05.2013 15:33:37 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,77% Memory free
6,34 Gb Paging File | 5,68 Gb Available in Paging File | 89,59% Paging File free
Paging file location(s): C:\pagefile.sys 4603 4603 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 189,91 Gb Total Space | 20,29 Gb Free Space | 10,68% Space Free | Partition Type: NTFS
Drive D: | 4,38 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive G: | 232,88 Gb Total Space | 23,15 Gb Free Space | 9,94% Space Free | Partition Type: NTFS
 
Computer Name: KLAUS | User Name: Klaus Bohnen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Programme\Bitdefender\Bitdefender 2012\vsserv.exe (Bitdefender)
PRC - C:\Programme\Bitdefender\Bitdefender 2012\bdagent.exe (Bitdefender)
PRC - C:\Programme\Bitdefender\Bitdefender 2012\updatesrv.exe (Bitdefender)
PRC - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\bdmetrics.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\avc3al.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\asimf.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\ashttprbl.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\ashttpph.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\ashttpf.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\asimdsp.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\ashttpdsp.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\asimbr.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\as2core\ashttpbr.mdl ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\UI\imsecurityal.ui ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\UI\accessl.ui ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\framework.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\procinfo.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\bdmltusrsrv.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\connector.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\excludemgr.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\strdecoder.dll ()
MOD - C:\Programme\Bitdefender\Bitdefender 2012\txmlutil.dll ()
MOD - \\?\C:\Programme\Gemeinsame Dateien\Bitdefender\Bitdefender Threat Scanner\trufos.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\WINDOWS\system32\pdfcmnnt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (VSSERV) -- C:\Programme\Bitdefender\Bitdefender 2012\vsserv.exe (Bitdefender)
SRV - (UPDATESRV) -- C:\Programme\Bitdefender\Bitdefender 2012\updatesrv.exe (Bitdefender)
SRV - (Secunia PSI Agent) -- C:\Programme\Secunia\PSI\psia.exe (Secunia)
SRV - (Secunia Update Agent) -- C:\Programme\Secunia\PSI\sua.exe (Secunia)
SRV - (Update Server) -- C:\Programme\Gemeinsame Dateien\BitDefender\Bitdefender Arrakis Server\bin\arrakis3.exe (BitDefender)
SRV - (DBService) -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG)
SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (PCIDump) --  File not found
DRV - (catchme) -- C:\DOKUME~1\KLAUSB~1.KLA\LOKALE~1\Temp\catchme.sys File not found
DRV - (adfs) --  File not found
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (mbamchameleon) -- C:\WINDOWS\system32\drivers\mbamchameleon.sys ()
DRV - (avc3) -- C:\WINDOWS\system32\drivers\avc3.sys (BitDefender)
DRV - (avchv) -- C:\WINDOWS\system32\drivers\avchv.sys (BitDefender)
DRV - (avckf) -- C:\WINDOWS\system32\drivers\avckf.sys (BitDefender)
DRV - (bdselfpr) -- C:\Programme\Bitdefender\Bitdefender 2012\bdselfpr.sys (BitDefender LLC)
DRV - (dgderdrv) -- C:\WINDOWS\system32\drivers\dgderdrv.sys (Devguru Co., Ltd)
DRV - (ssadmdm) -- C:\WINDOWS\system32\drivers\ssadmdm.sys (MCCI Corporation)
DRV - (sscdmdm) -- C:\WINDOWS\system32\drivers\sscdmdm.sys (MCCI Corporation)
DRV - (ssadbus) -- C:\WINDOWS\system32\drivers\ssadbus.sys (MCCI Corporation)
DRV - (sscdbus) -- C:\WINDOWS\system32\drivers\sscdbus.sys (MCCI Corporation)
DRV - (androidusb) -- C:\WINDOWS\system32\drivers\ssadadb.sys (Google Inc)
DRV - (sscdmdfl) -- C:\WINDOWS\system32\drivers\sscdmdfl.sys (MCCI Corporation)
DRV - (ssadmdfl) -- C:\WINDOWS\system32\drivers\ssadmdfl.sys (MCCI Corporation)
DRV - (bdsandbox) -- C:\WINDOWS\system32\drivers\bdsandbox.sys (BitDefender SRL)
DRV - (bdfsfltr) -- C:\WINDOWS\system32\drivers\bdfsfltr.sys (BitDefender)
DRV - (bdftdif) -- C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Firewall\bdftdif.sys (BitDefender LLC)
DRV - (trufos) -- C:\WINDOWS\system32\drivers\trufos.sys (BitDefender S.R.L.)
DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (SaiNtBus) -- C:\WINDOWS\system32\drivers\SaiBus.sys (Saitek)
DRV - (SaiMini) -- C:\WINDOWS\system32\drivers\SaiMini.sys (Saitek)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation)
DRV - (BDVEDISK) -- C:\WINDOWS\system32\drivers\bdvedisk.sys (BitDefender)
DRV - (RT73) -- C:\WINDOWS\system32\drivers\rt73.sys (Ralink Technology, Corp.)
DRV - (SaiH075C) -- C:\WINDOWS\system32\drivers\SaiH075C.sys (Saitek)
DRV - (WinUSB) -- C:\WINDOWS\system32\drivers\winusb.sys (Microsoft Corporation)
DRV - (JRAID) -- C:\WINDOWS\system32\drivers\jraid.sys (JMicron Technology Corp.)
DRV - (AtcL001) -- C:\WINDOWS\system32\drivers\atl01_xp.sys (Attansic Technology corporation.)
DRV - (SenFiltService) -- C:\WINDOWS\system32\drivers\senfilt.sys (Sensaura)
DRV - (JGOGO) -- C:\WINDOWS\system32\drivers\JGOGO.sys (JMicron )
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (GVCplDrv) -- C:\WINDOWS\System32\drivers\GVCplDrv.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 60 A3 CC 76 A5 0D CD 01  [binary data]
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\..\SearchScopes,DefaultScope = {CFA911E9-80D1-4DBB-AEB3-EDA026094DF7}
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\..\SearchScopes\{CFA911E9-80D1-4DBB-AEB3-EDA026094DF7}: "URL" = hxxp://www.google.com/search?q={searchTerms}&amp;sourceid=ie7&amp;rls=com.microsoft:{language}:{referrer:source}&amp;ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-73586283-1844237615-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: {0acc29cc-4382-dd6a-7644-09d6b21fe8c7}:4.6.7.7
FF - prefs.js..extensions.enabledAddons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledAddons: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledAddons: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.2.145
FF - prefs.js..extensions.enabledItems: {0acc29cc-4382-dd6a-7644-09d6b21fe8c7}:4.6.7.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.647: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.647: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.647: c:\programme\real\realplayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@protectdisc.com/NPPDLicenseHelper: C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll ( )
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2011.01.23 15:47:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.04.27 11:44:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.09.18 12:07:42 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\daplinkchecker@speedbit.com: C:\Programme\DAP\daplinkchecker
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.09.26 06:59:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.05.20 20:57:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\bdThunderbird@bitdefender.com: C:\Programme\Bitdefender\Bitdefender 2012\bdtbext\
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2011.01.23 15:47:49 | 000,000,000 | ---D | M]
 
[2011.01.21 20:49:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mozilla\Extensions
[2012.07.05 15:10:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mozilla\Firefox\Profiles\j6jaxnst.default\extensions
[2011.01.21 20:49:20 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mozilla\Firefox\Profiles\j6jaxnst.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.07.05 15:10:41 | 000,634,964 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mozilla\Firefox\Profiles\j6jaxnst.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.12.23 15:42:58 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.04.27 21:56:52 | 000,000,000 | ---D | M] (z) -- C:\Programme\Mozilla Firefox\extensions\{0acc29cc-4382-dd6a-7644-09d6b21fe8c7}
[2011.01.21 21:07:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2012.12.23 15:42:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2012.09.18 12:07:42 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 &lt;video&gt;) -- C:\PROGRAMME\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5
[2012.12.23 15:42:33 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.08.31 00:59:04 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.08.30 21:41:02 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.de/
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = hxxp://www.google.de/search?q={searchTerms}
CHR - default_search_provider: suggest_url = 
CHR - homepage: hxxp://www.google.de/
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\24.0.1312.56\gcswf32.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: Java Deployment Toolkit 6.0.240.7 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U24 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
CHR - plugin: DivX Web Player (Enabled) = C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Programme\Mozilla Firefox\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
CHR - plugin: RealNetworks(tm) RealPlayer Chrome Background Extension Plug-In (32-bit)  (Enabled) = C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll
CHR - plugin: RealPlayer(tm) HTML5VideoShim Plug-In (32-bit)  (Enabled) = C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\24.0.1312.56\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\24.0.1312.56\pdf.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprjplug.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Protect Disc License Acquisition Plugin (Enabled) = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll
CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.69\npGoogleUpdate3.dll
CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Programme\DivX\DivX OVS Helper\npovshelper.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Picasa (Enabled) = G:\Programme\Picasa3\npPicasa3.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: Google Drive = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.4_0\
CHR - Extension: Mehr Leistung und Videoformate f\u00FCr dein HTML5 \u003Cvideo\u003E = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2013.05.23 14:16:06 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [BDAgent] C:\Programme\Bitdefender\Bitdefender 2012\bdagent.exe (Bitdefender)
O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager)
O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager)
O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager)
O4 - Startup: C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Startmenü\Programme\Autostart\utcClock.lnk =  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll (Eltima)
O9 - Extra 'Tools' menuitem : Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Programme\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll (Eltima)
O15 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\..Trusted Domains: google.de ([www] http in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-73586283-1844237615-839522115-1003\..Trusted Domains: telekom.de ([kundencenter] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266480374906 (WUWebControl Class)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1347479271671 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-0015-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_22-windows-i586.cab (Java Plug-in 1.5.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{24685B65-5D13-4D34-8A97-996D4A51A7D2}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.07 22:33:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.23 15:31:05 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\OTL.exe
[2013.05.23 15:06:41 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\tdsskiller.exe
[2013.05.23 14:19:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2013.05.23 13:51:32 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.05.23 13:51:32 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.05.23 13:51:32 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.05.23 13:51:32 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.05.23 13:50:57 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.05.23 13:50:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.05.14 12:38:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Malwarebytes' Anti-Malware
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.23 15:31:06 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\OTL.exe
[2013.05.23 15:06:49 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\tdsskiller.exe
[2013.05.23 14:59:03 | 000,000,432 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{2CBF90BF-30CB-454E-9A36-BB3D349A76AA}.job
[2013.05.23 14:56:47 | 000,013,760 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.05.23 14:55:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.05.23 14:16:06 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.05.23 12:51:05 | 000,163,031 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013.05.22 14:41:22 | 000,341,032 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.05.20 23:32:26 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.05.20 20:50:25 | 000,217,228 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\RyanairBoardingPass2013Malaga.pdf
[2013.05.14 13:35:35 | 001,072,544 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.05.14 13:35:35 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.05.14 13:35:28 | 001,072,544 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.05.07 19:38:20 | 000,003,680 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\.recently-used.xbel
[2013.05.07 06:27:17 | 006,015,488 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.05.23 13:51:32 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.05.23 13:51:32 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.05.23 13:51:32 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.05.23 13:51:32 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.05.23 13:51:32 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.05.23 12:51:05 | 000,163,031 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013.05.23 12:51:02 | 000,038,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\139d2e78.dll
[2013.05.20 20:57:50 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader X.lnk
[2013.05.20 20:50:25 | 000,217,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\RyanairBoardingPass2013Malaga.pdf
[2013.05.07 19:38:20 | 000,003,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\.recently-used.xbel
[2013.01.01 15:10:08 | 000,035,144 | ---- | C] () -- C:\WINDOWS\System32\drivers\mbamchameleon.sys
[2012.11.23 11:28:22 | 000,004,224 | ---- | C] () -- C:\WINDOWS\System32\drivers\NVStrap.sys
[2012.09.28 17:45:16 | 000,246,272 | ---- | C] () -- C:\WINDOWS\System32\rtvcvfw64.dll
[2012.09.28 17:45:06 | 000,247,296 | ---- | C] () -- C:\WINDOWS\System32\rtvcvfw32.dll
[2012.09.26 20:17:30 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE
[2012.09.26 10:06:02 | 000,109,256 | ---- | C] () -- C:\WINDOWS\System32\EasyHook64.dll
[2012.09.26 10:06:02 | 000,090,824 | ---- | C] () -- C:\WINDOWS\System32\EasyHook32.dll
[2012.09.12 16:01:33 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2012.09.12 16:01:33 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2012.09.12 16:01:33 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2012.09.12 16:00:58 | 002,816,504 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012.04.16 17:44:11 | 000,711,240 | ---- | C] () -- C:\WINDOWS\is-FN974.exe
[2012.02.28 20:13:33 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2012.02.16 17:32:02 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.31 14:32:47 | 000,709,968 | ---- | C] () -- C:\WINDOWS\is-74U7F.exe
[2011.05.13 11:36:19 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\$_hpcst$.hpc
[2010.02.18 08:40:20 | 000,003,074 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\FASTWiz.html
[2010.02.14 15:02:45 | 000,000,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdatenprivacy.xml
[2010.02.11 10:31:24 | 000,000,850 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\AnwendungsdatenProductTweaks.xml
[2010.02.11 10:31:24 | 000,000,385 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdatenuser_gensett.xml
[2010.02.03 03:10:44 | 000,027,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2010.02.03 02:17:27 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.12.22 07:07:57 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 08:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.01.21 20:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ascentive
[2011.01.21 20:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2011.01.21 20:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Banner Maker Pro 7
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.01.27 20:14:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\explauncher
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2011.01.21 20:27:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMSIDesign
[2011.01.21 20:27:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Movavi Video Converter 6
[2011.01.21 20:27:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
[2011.01.21 20:27:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nHancer
[2011.01.21 20:27:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2011.01.21 20:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2011.01.21 20:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Saitek
[2011.01.21 20:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2011.01.21 20:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SWiSHMax2WorkFolder
[2011.01.21 20:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2011.01.21 20:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.01.21 20:28:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2011.04.09 00:24:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AAV
[2011.01.21 20:28:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ashampoo
[2011.05.27 15:45:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avery
[2012.12.26 17:12:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\bdch
[2012.02.12 16:47:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BDLogging
[2011.08.31 15:46:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Bitdefender
[2011.01.21 20:28:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Caphyon
[2010.09.15 14:42:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DATA BECKER Downloads
[2011.03.17 19:33:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\elsterformular
[2011.01.21 20:28:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MSScanAppDataDir
[2012.11.29 16:18:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nHancer
[2011.07.25 18:14:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PassMark
[2011.04.29 12:16:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Saitek
[2012.09.18 09:24:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Samsung
[2012.09.26 20:15:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SpeedBit
[2011.01.21 20:28:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SSScanAppDataDir
[2011.01.21 20:28:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WinZip
[2012.03.17 16:22:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kirsten Beeck\Anwendungsdaten\Bitdefender
[2011.03.17 19:34:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kirsten Beeck\Anwendungsdaten\elsterformular
[2011.06.07 13:20:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\ALK Technologies
[2011.05.12 07:52:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Amazon
[2011.01.21 20:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\AnvSoft
[2011.01.21 20:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Any Video Converter
[2011.01.21 20:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Ashampoo
[2011.03.26 14:03:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Audio Record Edit Toolbox Pro
[2012.02.16 19:22:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Avery
[2011.10.26 20:10:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Bitdefender
[2011.09.25 21:05:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Blender Foundation
[2012.01.11 10:53:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\com.adobe.ExMan
[2013.01.29 17:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\FileZilla
[2013.05.07 19:35:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\gtk-2.0
[2011.01.25 10:39:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\HyperLobby
[2011.01.21 20:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\IBP
[2011.02.16 13:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\innoPlus
[2011.01.21 20:49:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\KSE
[2011.01.21 20:49:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Leadertech
[2013.01.29 17:01:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Mumble
[2012.11.29 18:34:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\nHancer
[2011.02.18 09:10:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Online Solutions
[2012.02.28 20:13:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\pdfforge
[2011.01.21 20:49:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Pegasys Inc
[2013.02.01 09:41:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\ProtectDisc
[2011.08.31 15:27:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\QuickScan
[2012.11.07 20:26:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Samsung
[2011.01.21 20:49:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\STOIK
[2012.09.12 20:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\Temp
[2012.09.26 20:24:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Anwendungsdaten\uTorrent
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 188 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:98781370
@Alternate Data Stream - 16 bytes -> C:\WINDOWS\WindowsUpdate.log:BDU
@Alternate Data Stream - 16 bytes -> C:\WINDOWS\Sti_Trace.log:BDU
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\SUPERAntiSpyware.exe:BDU
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\aswMBR.exe:BDU
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D0F286CA
@Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:08948D52

< End of report >

--- --- ---

--- --- ---

OTL Extras:

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 23.05.2013 15:33:37 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,77% Memory free
6,34 Gb Paging File | 5,68 Gb Available in Paging File | 89,59% Paging File free
Paging file location(s): C:\pagefile.sys 4603 4603 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 189,91 Gb Total Space | 20,29 Gb Free Space | 10,68% Space Free | Partition Type: NTFS
Drive D: | 4,38 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive G: | 232,88 Gb Total Space | 23,15 Gb Free Space | 9,94% Space Free | Partition Type: NTFS
 
Computer Name: KLAUS | User Name: Klaus Bohnen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP
"427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"23003:TCP" = 23003:TCP:*:Enabled:EL comms
"23003:UDP" = 23003:UDP:*:Enabled:EL Comms
"21000:TCP" = 21000:TCP:*:Enabled:IL2
"21000:UDP" = 21000:UDP:*:Enabled:IL2
"1033:TCP" = 1033:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP
"427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP
"62124:TCP" = 62124:TCP:*:Enabled:Utorrent
"62124:UDP" = 62124:UDP:*:Enabled:uTottent UDP
"82:TCP" = 82:TCP:*:Enabled:MSI Afterburner Remote Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"D:\setup\hpznui01.exe" = D:\setup\hpznui01.exe:*:Enabled:hpznui01.exe
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqcopy2.exe" = C:\Programme\HP\Digital Imaging\bin\hpqcopy2.exe:*:Enabled:hpqcopy2.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe -- (Hewlett-Packard Co.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Adelby Development\Eagles Lair 2.0\EaglesLair.exe" = C:\Programme\Adelby Development\Eagles Lair 2.0\EaglesLair.exe:*:Enabled:Eagles Lair -- (Adelby Develpoment)
"C:\Programme\FileZilla FTP Client\filezilla.exe" = C:\Programme\FileZilla FTP Client\filezilla.exe:*:Enabled:FileZilla FTP Client -- (FileZilla Project)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\WINDOWS\system32\dxdiag.exe" = C:\WINDOWS\system32\dxdiag.exe:*:Enabled:Microsoft DirectX-Diagnoseprogramm -- (Microsoft Corporation)
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server -- (Microsoft Corporation)
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqcopy2.exe" = C:\Programme\HP\Digital Imaging\bin\hpqcopy2.exe:*:Enabled:hpqcopy2.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe -- (Hewlett-Packard)
"C:\WINDOWS\system32\muzapp.exe" = C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player -- (Musiccity Co.Ltd.)
"C:\Programme\Microsoft Games\Microsoft Flight Simulator X\fsx.exe" = C:\Programme\Microsoft Games\Microsoft Flight Simulator X\fsx.exe:*:Enabled:Microsoft Flight Simulator® -- (Microsoft Corp.)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Disabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\PFPortChecker\PFPortChecker.exe" = C:\Programme\PFPortChecker\PFPortChecker.exe:*:Disabled:PFPortchecker by portforward.com helps check if your ports are properly forwarded. -- (portforward.com)
"C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"C:\Programme\HyperLobby client\hyperlobby.exe" = C:\Programme\HyperLobby client\hyperlobby.exe:*:Enabled:HyperLobby client -- (Jiri Fojtasek)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{0B7C79A5-5CB2-4ABD-A9C1-92A6213CE8DD}_is1" = MSI Kombustor 2.4.2
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery
"{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{19B2FBFE-27D2-458C-9C75-5280C831E49C}" = CoPilot Central 2.0
"{1F698102-5739-441E-96F0-74F4EA540F06}" = Attansic Giga Ethernet Utility
"{2376AAB2-F4D9-48D7-A42B-4E80B8967A8B}" = F4500
"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java(TM) 6 Update 37
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{2AB9289D-6432-4CC0-8869-A195C3F0CFCC}" = Bitdefender Antivirus Plus 2012
"{2FB9EA69-51D4-4913-9AD5-762C034DE811}" = Status
"{3248F0A8-6813-11D6-A77B-00B0D0150220}" = J2SE Runtime Environment 5.0 Update 22
"{32A3A4F4-B792-11D6-A78A-00B0D0150220}" = J2SE Development Kit 5.0 Update 22
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = JRAID
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{55718B4B90B54F7EADC5621C750A14E6}" = DivX Author 1.5
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate
"{5DCF0E4B-F8EA-4229-A0BD-5CA6D4AFB749}" = SolutionCenter
"{60FFB3E0-6D5B-4D73-AE5B-07E58B83AF0C}" = 32 Bit HP CIO Components Installer
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6C32ACBF-B9CA-4d53-BB71-C4FA97582286}_is1" = Sothink DHTML Menu 9
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{7196E6BD-4B65-43F9-9D30-73A8E58D0E84}" = Avery Wizard 4.0
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{79438F1E-DEC3-443D-9DCD-FECE2D68C605}" = IL-2 Sturmovik 1946
"{85498904-0748-45AA-9482-6DB8EA971B91}" = DJ_AIO_06_F4500_SW_MIN
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89999225-0FCF-4ED1-9B97-0B739657BBB7}_is1" = Image Gallery Maker 1.1.1.
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{8FF6F5CA-4E30-4E3B-B951-204CAAA2716A}" = SmartWebPrinting
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{90170407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office FrontPage 2003
"{90A10407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office OneNote 2003
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{93ABEBEB-EEE0-4AB9-A925-2F2EC791A4CE}" = Smart Technology Programming Software 7.0.2.7
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE466FF-70B7-4DA8-807C-DB4C3610FDAA}" = Copy
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A869FEA9-B223-4324-B130-008AC50B054B}" = HyperLobby client
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Deutsch
"{AE3DAD62-8464-43F7-8A00-1E5442D9EBA0}" = Eagles Lair Free
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 307.74
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 307.74
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 136.53
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.10.8
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{E7CC4B85-DC2F-463F-8FEB-E7398E25C19A}" = Microsoft Flight Simulator X Service Pack 2
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F535B2CF-C9BB-4162-B03A-02D6971F32CC}" = Microsoft Flight Simulator X
"{F855C3AE-992D-4B84-A09D-07103CDCDAC2}" = Compact Wireless-G USB Adapter
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Afterburner" = MSI Afterburner 2.3.0
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Any Video Converter Professional_is1" = Any Video Converter Professional 3.5.8
"Ashampoo Burning Studio 10_is1" = Ashampoo Burning Studio 10.0.4
"Audio Record Edit Toolbox Pro" = Audio Record Edit Toolbox Pro
"Bitdefender" = Bitdefender Antivirus Plus 2012
"CCleaner" = CCleaner
"Classics Hangar Fw 190 A, die späten Baureihen" = Classics Hangar Fw 190 A, die späten Baureihen
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"ElsterFormular für Privatanwender 12.1.1.6214p" = ElsterFormular für Privatanwender
"ESET Online Scanner" = ESET Online Scanner v3
"Flash Decompiler Trillix_is1" = Flash Decompiler Trillix
"Fraps" = Fraps (remove only)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free Disc Burner_is1" = Free Disc Burner version 2.1
"Free DVD Video Burner_is1" = Free DVD Video Burner version 2.1
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"Free Video to Flash Converter_is1" = Free Video to Flash Converter version 4.2
"GIF Animator_is1" = GIF Animator 4.0
"ie8" = Windows Internet Explorer 8
"InstallShield_{19B2FBFE-27D2-458C-9C75-5280C831E49C}" = CoPilot Central 2.0
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{F535B2CF-C9BB-4162-B03A-02D6971F32CC}" = Microsoft Flight Simulator X
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Mozilla Firefox 6.0.1 (x86 en-US)" = Mozilla Firefox 6.0.1 (x86 en-US)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"Recuva" = Recuva
"Secunia PSI" = Secunia PSI (3.0.0.3001)
"SystemRequirementsLab" = System Requirements Lab
"TWIN XP - Tuning Windows XP_is1" = DATA BECKER TWIN XP - Tuning Windows XP
"uTorrent" = µTorrent
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.8
"winusb0100" = Microsoft WinUsb 1.0
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Xvid_is1" = Xvid 1.2.2 final uninstall
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-73586283-1844237615-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.3.4.1
"Google Chrome" = Google Chrome
"MyFreeCodec" = MyFreeCodec
"Protect Disc License Helper" = Protect Disc License Helper 1.0.125 (IE)
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 14.01.2013 08:28:09 | Computer Name = KLAUS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrord32.exe, Version 10.1.4.38, fehlgeschlagenes
 Modul acrord32.dll, Version 10.1.4.38, Fehleradresse 0x0047bb5e.
 
Error - 14.01.2013 10:49:37 | Computer Name = KLAUS | Source = Microsoft Office 11 | ID = 2001
Description = Rejected Safe Mode action : Microsoft Office Outlook.
 
Error - 15.01.2013 06:13:07 | Computer Name = KLAUS | Source = NTBackup | ID = 8019
Description = Vorgang beenden: Es wurden Warnungen oder Fehler gefunden.    Weitere 
Informationen finden Sie im Sicherungsbericht.
 
Error - 29.01.2013 16:05:13 | Computer Name = KLAUS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul msoe.dll, Version 6.0.2900.5931, Fehleradresse 0x0001c796.
 
Error - 28.02.2013 16:13:58 | Computer Name = KLAUS | Source = Update Server | ID = 131073
Description = 
 
Error - 28.02.2013 16:19:18 | Computer Name = KLAUS | Source = Update Server | ID = 131073
Description = 
 
Error - 18.03.2013 10:01:33 | Computer Name = KLAUS | Source = Update Server | ID = 131073
Description = 
 
Error - 23.05.2013 02:49:41 | Computer Name = KLAUS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung pdfinfo.exe, Version 2.0.0.1, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.
 
Error - 23.05.2013 09:04:39 | Computer Name = KLAUS | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 23.05.2013 09:04:40 | Computer Name = KLAUS | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 23.05.2013 08:29:47 | Computer Name = KLAUS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 23.05.2013 08:30:42 | Computer Name = KLAUS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 23.05.2013 08:53:46 | Computer Name = KLAUS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MDM" 
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {0C0A3666-30C9-11D0-8F20-00805F2CD064}
 
Error - 23.05.2013 08:53:53 | Computer Name = KLAUS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 23.05.2013 08:56:26 | Computer Name = KLAUS | Source = W32Time | ID = 39452702
Description = Der Zeitdienst kann nicht gestartet werden, da ein Fehler beim Lesen
 der  Konfiguration aus der Registrierung festgestellt wurde. Fehler: Das System kann
 die angegebene Datei nicht finden. (0x80070002)
 
Error - 23.05.2013 08:56:26 | Computer Name = KLAUS | Source = W32Time | ID = 39452718
Description = Beim Zeitdienst wurde heruntergefahren, da ein Fehler aufgetreten 
ist. Fehler: 0x80070002
 
Error - 23.05.2013 08:56:39 | Computer Name = KLAUS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 23.05.2013 08:56:39 | Computer Name = KLAUS | Source = Service Control Manager | ID = 7038
Description = Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser"
 mit dem aktuellen Kennwort  aufgrund des folgenden Fehlers anmelden:   %%1330    Vergewissern
Sie
 sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der  Microsoft
 Management Console (MMC).
 
Error - 23.05.2013 08:56:39 | Computer Name = KLAUS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1069
 
Error - 23.05.2013 08:56:39 | Computer Name = KLAUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows-Zeitgeber" wurde mit folgendem Fehler beendet:
   %%2
 
 
< End of report >

--- --- ---

--- --- ---

Malwarebytes meldete nach dem Scan das Blocken einer Datei und stellte diese unter Quarantäne.

Dort ist verzeichnet:

Trojan.Downloader in C:\Dokumente und Einstellungen\KlausBohnen.KLAUS\Eigene Dateien\139d2e78.dll

Hab es dort erst mal gelassen warte auf weitere Anweisungen....

t'john · 23.05.2013, 14:52

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

ATTFilter

:OTL

O4 - HKU\.DEFAULT..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 
O4 - HKU\S-1-5-18..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 
O4 - HKU\S-1-5-19..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 
@Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:08948D52 
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:D0F286CA 
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2 
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:05EE1EEF 
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\aswMBR.exe:BDU 
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\SUPERAntiSpyware.exe:BDU 
@Alternate Data Stream - 16 bytes -> C:\WINDOWS\Sti_Trace.log:BDU 
@Alternate Data Stream - 16 bytes -> C:\WINDOWS\WindowsUpdate.log:BDU 
@Alternate Data Stream - 188 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:98781370 
[2013.05.23 12:51:02 | 000,038,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\139d2e78.dll 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Klaus Bohnen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\Klaus Bohnen\*.exe
C:\Dokumente und Einstellungen\Klaus Bohnen\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Redwulf · 23.05.2013, 15:29

OTL Fix lief erst nach dem 2. Versuch:

Code:

ATTFilter

All processes killed
Error: Unable to interpret <Code:Alles auswählenAufklappen > in the current context!
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.EXE deleted successfully.
C:\WINDOWS\system32\ctfmon.exe moved successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.EXE not found.
File C:\WINDOWS\system32\ctfmon.exe not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.EXE deleted successfully.
File C:\WINDOWS\system32\ctfmon.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:08948D52 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:D0F286CA deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:DFC5A2B2 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:05EE1EEF deleted successfully.
ADS C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\aswMBR.exe:BDU deleted successfully.
ADS C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\SUPERAntiSpyware.exe:BDU deleted successfully.
ADS C:\WINDOWS\Sti_Trace.log:BDU deleted successfully.
ADS C:\WINDOWS\WindowsUpdate.log:BDU deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:98781370 deleted successfully.
File C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Eigene Dateien\139d2e78.dll not found.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Temp\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\Klaus Bohnen\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 348 bytes
 
User: Administrator.KLAUS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: All Users
 
User: All Users.WINDOWS
 
User: Angelique Beeck
->Temp folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Kirsten Beeck
->Temp folder emptied: 549487733 bytes
->Temporary Internet Files folder emptied: 2000555194 bytes
->Flash cache emptied: 46455 bytes
 
User: KLAUS
 
User: Klaus Bohnen
 
User: Klaus Bohnen.KLAUS
->Temp folder emptied: 17165 bytes
->Temporary Internet Files folder emptied: 1143394643 bytes
->Java cache emptied: 9937733 bytes
->FireFox cache emptied: 44338730 bytes
->Google Chrome cache emptied: 7422230 bytes
->Flash cache emptied: 2017752 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 4564 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56478 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4258674 bytes
%systemroot%\System32 .tmp files removed: 4757 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 859527 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3.588,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05232013_162625

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Fahre jetzt mit Punkt 2 und 3 fort

mbar:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.23.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Klaus Bohnen :: KLAUS [administrator]

23.05.2013 17:13:02
mbar-log-2013-05-23 (17-13-02).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 29640
Time elapsed: 25 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

und ADW Cleaner:

AdwCleaner Logfile:

Code:

ATTFilter

# AdwCleaner v2.301 - Datei am 23/05/2013 um 17:31:33 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Klaus Bohnen - KLAUS
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\END
Ordner Gefunden : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Speedbit
Ordner Gefunden : C:\Programme\Gemeinsame Dateien\Speedbit

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Schlüssel Gefunden : HKCU\Software\YahooPartnerToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{5EB0259D-AB79-4AE6-A6E6-24FFE21C3DA4}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{2BEF239C-752E-4001-8048-F256E0D8CD93}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v6.0.1 (en-US)

-\\ Google Chrome v24.0.1312.56

*************************

AdwCleaner[R1].txt - [2306 octets] - [23/05/2013 17:31:33]
AdwCleaner[S1].txt - [1064 octets] - [28/11/2012 20:38:04]

########## EOF - C:\AdwCleaner[R1].txt - [2426 octets] ##########

--- --- ---

t'john · 23.05.2013, 17:24

Sehr gut!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Redwulf · 24.05.2013, 00:12

Das sieht nach Nachtschicht aus......

Guten Morgen

ASWMBR:

Code:

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-24 01:25:21
-----------------------------
01:25:21.765    OS Version: Windows 5.1.2600 Service Pack 3
01:25:21.765    Number of processors: 2 586 0xF06
01:25:21.765    ComputerName: KLAUS  UserName: 
01:25:23.312    Initialize success
01:42:47.984    AVAST engine defs: 13052301
01:47:39.015    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-9
01:47:39.015    Disk 0 Vendor: Maxtor_6V200E0 VA111680 Size: 194481MB BusType: 3
01:47:39.093    Disk 0 MBR read successfully
01:47:39.093    Disk 0 MBR scan
01:47:39.328    Disk 0 Windows XP default MBR code
01:47:39.328    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       194466 MB offset 63
01:47:39.375    Disk 0 scanning sectors +398267415
01:47:39.421    Disk 0 scanning C:\WINDOWS\system32\drivers
01:48:02.937    Service scanning
01:48:36.984    Modules scanning
01:48:43.718    Disk 0 trace - called modules:
01:48:43.734    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
01:48:43.734    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a9d5030]
01:48:43.734    3 CLASSPNP.SYS[b8118fd7] -> nt!IofCallDriver -> \Device\00000078[0x8a9e19e8]
01:48:43.734    5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP3T0L0-9[0x8a9e0d98]
01:48:44.468    AVAST engine scan C:\WINDOWS
01:48:54.140    AVAST engine scan C:\WINDOWS\system32
01:52:40.468    AVAST engine scan C:\WINDOWS\system32\drivers
01:53:02.937    AVAST engine scan C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS
02:06:20.687    AVAST engine scan C:\Dokumente und Einstellungen\All Users.WINDOWS
02:12:56.984    Scan finished successfully
09:40:34.546    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\MBR.dat"
09:40:34.546    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Klaus Bohnen.KLAUS\Desktop\aswMBR.txt"

In der Nacht muss wohl eine Fehlermeldung aufgetaucht sein, die nichts mit aswMBR zu tun hatte. Ein Fenster poppte auf indem die Mitteilung stand das ein bestimmter Speicherbereich meines Rechners nicht beschrieben werden konnte. Ich konnte diese nur mit OK bestätigen.
Ansonsten läuft hier alles prima, für meinen Geschmack sogar schneller.

Eset läuft zur Zeit, weitere Logs folgen

t'john · 24.05.2013, 10:41

Alles klar.

Redwulf · 24.05.2013, 15:02

Eset ist durch:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=8
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=96bf577a2e8bb64d8d4fc91053e8b118
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-25 08:32:23
# local_time=2013-01-25 09:32:23 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2054 16777213 100 98 1682 118227041 0 0
# scanned=18232
# found=0
# cleaned=0
# scan_time=640
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=96bf577a2e8bb64d8d4fc91053e8b118
# engine=13899
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-24 01:53:26
# local_time=2013-05-24 03:53:26 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2054 16777213 100 98 22246 128484704 0 0
# scanned=141566
# found=0
# cleaned=0
# scan_time=21762

und der Security Check:

Bei diesem hat das Programm gemeckert: " Die Datei HKLMrun.txt not found"

Code:

ATTFilter

Results of screen317's Security Check version 0.99.63  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Bitdefender Virenschutz   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Secunia PSI (3.0.0.3001)   
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 CCleaner     
 Java(TM) 6 Update 37  
 Java version out of Date! 
 Adobe Flash Player 	11.5.502.146  
 Adobe Reader 10.1.7 Adobe Reader out of Date!  
 Mozilla Firefox (6.0.1) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
 Bitdefender Bitdefender 2012 vsserv.exe  
 Bitdefender Bitdefender 2012 updatesrv.exe  
 Bitdefender Bitdefender 2012 bdagent.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

Den Adobe Reader habe ich auf Aktualisierungen überprüft. Adobe meldet, das der Reader auf dem neuesten Stand ist...

t'john · 24.05.2013, 16:40

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Redwulf · 24.05.2013, 18:39

Check vor der Deaktivierung von Java

Code:

ATTFilter

PluginCheck

Internet Explorer 8.0 ist aktuell
Flash 11,5,502,146 ist veraltet! 
Aktualisieren Sie bitte auf die neueste Version!
Java (1,7,0,21) ist aktuell.
Adobe Reader 11,0,0,0 ist aktuell

und danach:

Code:

ATTFilter

Java ist nicht Installiert oder nicht aktiviert.
Diese Seite wurde nicht gescannt.
Bitdefender Antivirus Plus 2012
Phishing-Filter
Blockiert Phishing-Seiten.

Malware-Filter
Blockiert Malware-Seiten.

Search Advisor
Warnt Sie schon in den Suchergebnissen vor gefährlichen Seiten.

t'john · 24.05.2013, 18:40

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Redwulf · 24.05.2013, 18:49

Hallo John

Ich habe dennoch etwas gefunden

Auf Start / Programme erscheint in der Liste nun eine Konfigurationsdatei mit Namen desktop. Sie verweist auf den Pfad:
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme

Die war vorher nicht da. Ist das ein Resultat unserer Aufräumarbeiten? Kann ich die löschen?
Ich habe sie mal im Editor geöffnet:

Code:

ATTFilter

[.ShellClassInfo]
LocalizedResourceName=@shell32.dll,-21782
[LocalizedFileNames]
Windows Movie Maker.lnk=@C:\PROGRA~1\MOVIEM~1\wmm2res.dll,-61446

Was hälst du davon?

Code:

ATTFilter

# DelFix v10.2 - Datei am 24/05/2013 um 20:27:52 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Benutzer : Klaus Bohnen - KLAUS
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #358 [Systemprüfpunkt | 05/24/2013 18:26:41]
Gelöscht : RP #359 [Ende der Bereinigung | 05/24/2013 18:26:41]
Gelöscht : RP #360 [Ende der Bereinigung | 05/24/2013 18:26:48]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########

Desweiteren bin ich nicht mehr in der Lage in den Internetoptionen des Browser Google als meine Startseite festzulegen.
Es erscheint immer about:blank

t'john · 25.05.2013, 13:35

Zitat:

Die war vorher nicht da. Ist das ein Resultat unserer Aufräumarbeiten? Kann ich die löschen?

Sagt mir nichts. Weg damit.

Zitat:

Desweiteren bin ich nicht mehr in der Lage in den Internetoptionen des Browser Google als meine Startseite festzulegen.

In welchem Browser?

Redwulf · 25.05.2013, 17:19

Hallo t´John

Das ist eine destop.ini Datei, merkwürdig ist für mich wo die sich aufhält und was deren Inhalt ist.

Im Bezug auf die Startseite des Browser spreche ich vom IE 8