Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Sparkassen-Trojaner - Online Banking gesperrt

Sparkassen-Trojaner - Online Banking gesperrt


Plagegeister aller Art und deren Bekämpfung: Sparkassen-Trojaner - Online Banking gesperrt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 28.06.2013, 17:06   #1
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Hallo, ich wollte mich eben im Sparkasse-Online-Banking einloggen, da kam die Meldung "gesperrt". Nach einem Anruf bei der Sparkasse hieß es, ich habe einen Trojaner auf dem Rechner, solle diesen definitv beseitigen, dann unterschreiben und habe wieder Zugang!

Meine Tochter hatte die Tage an meinem PC was runtergeladen, danach hatte ich dann z.b. ein Toolbar names MyWebSearch drauf usw. Ich hatte dieses dann vorgestern mit dem adwcleaner erfolgreich beseitigt. Im Online-Banking war ich den Tag davor, also weiss ich jetzt nicht ob der Trojaner durch den adwcleaner schon runter war, ich aber deswegen noch jetzt gesperrt bin.

Bin eben nochmal mit dem adwcleaner drüber >>>>

*********************************************************AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.303 - Datei am 28/06/2013 um 17:50:07 erstellt
# Aktualisiert am 08/06/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - PEGASUS
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v21.0 (de)

Datei : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\prefs.js

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [962 octets] - [28/06/2013 17:48:53]
AdwCleaner[S1].txt - [17036 octets] - [24/06/2013 18:31:24]
AdwCleaner[S2].txt - [1020 octets] - [28/06/2013 17:50:07]

########## EOF - C:\AdwCleaner[S2].txt - [1080 octets] ##########
--- --- ---
*****************************************************************

Wie kann ich den Trojaner finden? Soll ich noch andere Programme einsetzen? Kann man sicher sein dass man tatsächlich einen Trojaner drauf hat, wenn einen Bank dies meldet?
Danke euch Gruss MisterMint
Geändert von MisterMint (28.06.2013 um 17:12 Uhr)

Alt 28.06.2013, 17:12   #2
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Hallo MisterMint und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
    • Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Zitat:
also weiss ich jetzt nicht ob der Trojaner durch den adwcleaner schon runter war
Der AdwCleaner entfernt solche Dinger nicht (sondern wie der Name schon sagt, nur Adware).

Zitat:
Kann man sicher sein dass man tatsächlich einen Trojaner drauf hat, wenn einen Bank dies meldet?
Die liegen da in der Regel richtig, ja. Aber lass uns nicht spekulieren, sondern genauer hinschauen.

Zitat:
Soll ich noch andere Programme einsetzen?
Ja, darum werden wir nicht herumkommen.


Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von aswMBR
  • Logs von OTL
__________________

__________________
Alt 28.06.2013, 17:23   #3
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Ok, mache ich alles. Nur mit den Code-Tags, dass habe ich nicht verstanden. Ist das wie ich das obige Logfile gepostet habe ok? Ich mache mich dann jetzt an die Arbeit! Weil für mich wäre eine Formatierung ein enormer Datenverlust, kaufe im Extremfall lieber eine neue Platte! Danke vorerst!
__________________
Alt 28.06.2013, 17:56   #4
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Das mit den Codetags ist hier genauer erklärt: http://www.trojaner-board.de/137229-...code-tags.html
Falls das nicht klappt, ist es auch ok so, wie du es oben gemacht hast.
__________________
cheers,
Leo

Alt 28.06.2013, 18:27   #5
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Leider hat mir OTL.exe nur ein Logfile gegeben. Habe genau nach Plan gehandelt!
Die aswMBR.exe habe ich von einem anderen Platz im Forum gedownloaded, weil auf Pony ging es nicht > aswMBR version 0.9.9.1771 2011 AVAST 2011. Der trojan Ordner ist von mir selber, zum abspeichern der txt.Logs


Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-06-28 18:27:46
-----------------------------
18:27:46.796    OS Version: Windows 5.1.2600 Service Pack 3
18:27:46.796    Number of processors: 2 586 0x6B02
18:27:46.796    ComputerName: +++++++  UserName: 
18:27:47.390    Initialize success
18:29:04.562    AVAST engine defs: 13062800
18:29:21.937    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10
18:29:21.937    Disk 0 Vendor: ExcelStor_Technology_J9250S GM2OA52A Size: 238475MB BusType: 3
18:29:22.078    Disk 0 MBR read successfully
18:29:22.078    Disk 0 MBR scan
18:29:22.125    Disk 0 Windows XP default MBR code
18:29:22.125    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       200004 MB offset 63
18:29:22.125    Disk 0 Partition - 00     0F Extended LBA             38468 MB offset 409609305
18:29:22.156    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        38468 MB offset 409609368
18:29:22.156    Disk 0 scanning sectors +488392065
18:29:22.234    Disk 0 scanning C:\WINDOWS\system32\drivers
18:29:33.671    Service scanning
18:29:53.484    Modules scanning
18:29:59.187    Disk 0 trace - called modules:
18:29:59.203    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
18:29:59.218    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89df0ab8]
18:29:59.218    3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\00000070[0x89db09e8]
18:29:59.218    5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP3T1L0-10[0x89df1d98]
18:29:59.640    AVAST engine scan C:\WINDOWS
18:30:04.234    AVAST engine scan C:\WINDOWS\system32
18:33:26.953    AVAST engine scan C:\WINDOWS\system32\drivers
18:33:44.875    AVAST engine scan C:\Dokumente und Einstellungen\******
18:38:19.546    File: C:\Dokumente und Einstellungen\******\Eigene Dateien\Downloads\ps_bn176_-_Michael_4_Pro_Bundle_bestgfx.com.rar.exe  **INFECTED** Win32:Downloader-TBH [Adw]
18:51:26.031    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:04:24.656    Scan finished successfully
19:05:03.625    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\******\Eigene Dateien\trojan\MBR.dat"
19:05:03.625    The log file has been saved successfully to "C:\Dokumente und Einstellungen\******\Eigene Dateien\trojan\aswMBR.txt"



Code:
ATTFilter
OTL logfile created on: 28.06.2013 19:12:07 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\*******\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,10 Gb Available Physical Memory | 55,21% Memory free
3,85 Gb Paging File | 2,86 Gb Available in Paging File | 74,22% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 195,32 Gb Total Space | 103,78 Gb Free Space | 53,13% Space Free | Partition Type: NTFS
Drive D: | 37,57 Gb Total Space | 14,38 Gb Free Space | 38,27% Space Free | Partition Type: NTFS
 
Computer Name: ******* | User Name: ****** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.06.28 19:08:19 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*******\Desktop\OTL.exe
PRC - [2013.06.27 14:15:33 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.06.27 14:15:25 | 000,076,856 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.06.27 14:15:24 | 000,345,144 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.06.27 14:15:24 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.06.27 02:53:58 | 001,671,592 | ---- | M] (Valve Corporation) -- C:\Programme\Steam\Steam.exe
PRC - [2013.05.29 12:34:28 | 000,449,248 | ---- | M] (Sony) -- C:\Programme\Sony\Sony PC Companion\PCCompanion.exe
PRC - [2013.05.28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
PRC - [2013.05.21 12:27:09 | 000,920,472 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2013.04.01 10:02:51 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.03.20 07:23:29 | 000,323,336 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSServerPDVD13.exe
PRC - [2013.03.20 07:23:27 | 000,077,576 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSMonitorServicePDVD13.exe
PRC - [2013.03.15 07:47:17 | 001,266,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.02.04 18:13:54 | 000,070,832 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe
PRC - [2013.01.29 17:00:00 | 000,685,936 | R--- | M] (WinZip Computing, S.L.) -- C:\Programme\WinZip\WZQKPICK32.EXE
PRC - [2013.01.16 14:47:30 | 000,026,456 | ---- | M] (Uniblue Systems Ltd) -- C:\Programme\Uniblue\DriverScanner\dsmonitor.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.08.02 16:38:20 | 002,248,704 | ---- | M] () -- C:\Programme\Vtune\TBPANEL.exe
PRC - [2011.05.05 22:36:04 | 000,018,432 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\ContentManagementServer.exe
PRC - [2010.05.20 16:27:26 | 000,762,736 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\vVX3000.exe
PRC - [2010.05.20 16:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft LifeCam\MSCamS32.exe
PRC - [2008.04.14 08:53:08 | 000,216,064 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows NT\Zubehör\wordpad.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.12 08:00:00 | 000,182,272 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
PRC - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
PRC - [2005.11.15 03:07:28 | 000,679,936 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.06.27 02:54:00 | 001,118,120 | ---- | M] () -- C:\Programme\Steam\bin\chromehtml.dll
MOD - [2013.06.27 00:47:12 | 020,620,712 | ---- | M] () -- C:\Programme\Steam\bin\libcef.dll
MOD - [2013.06.15 01:49:12 | 001,100,800 | ---- | M] () -- C:\Programme\Steam\bin\avcodec-53.dll
MOD - [2013.06.15 01:49:12 | 000,192,000 | ---- | M] () -- C:\Programme\Steam\bin\avformat-53.dll
MOD - [2013.06.15 01:49:12 | 000,124,416 | ---- | M] () -- C:\Programme\Steam\bin\avutil-51.dll
MOD - [2013.06.15 01:49:10 | 000,659,968 | ---- | M] () -- C:\Programme\Steam\SDL2.dll
MOD - [2013.06.12 14:39:07 | 016,033,160 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll
MOD - [2013.05.26 17:53:32 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2013.05.21 12:27:08 | 003,128,728 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2013.05.17 10:51:16 | 000,207,872 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\MExplorer.dll
MOD - [2013.04.12 19:23:30 | 000,612,664 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\sqlite3.dll
MOD - [2013.03.18 15:46:26 | 000,606,720 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PhoneUpdate.dll
MOD - [2013.02.04 18:13:54 | 000,070,832 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe
MOD - [2012.09.19 19:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2012.04.30 11:57:42 | 000,039,936 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\TMonitorAPI.dll
MOD - [2011.08.02 16:38:20 | 002,248,704 | ---- | M] () -- C:\Programme\Vtune\TBPANEL.exe
MOD - [2011.07.07 14:54:36 | 000,233,984 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\Report.dll
MOD - [2011.05.05 22:36:05 | 000,791,040 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\vserver_x86.dll
MOD - [2011.05.05 22:36:04 | 001,221,120 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\ace.dll
MOD - [2011.05.05 22:36:04 | 000,838,656 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\ace_ssl.dll
MOD - [2011.05.05 22:36:04 | 000,129,536 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\asnmp.dll
MOD - [2011.05.05 22:36:04 | 000,018,432 | ---- | M] () -- C:\Programme\DAZ 3D\Content Management Service\ContentManagementServer.exe
MOD - [2008.04.14 08:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [1998.10.31 05:55:56 | 000,005,120 | ---- | M] () -- C:\Programme\Vtune\TBMANAGE.DLL
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.06.27 14:15:33 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.06.27 14:15:24 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.05.28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.05.21 12:27:08 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.01 10:02:51 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.03.20 07:23:29 | 000,323,336 | ---- | M] (CyberLink) [Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSServerPDVD13.exe -- (CyberLink PowerDVD 13 Media Server Service)
SRV - [2013.03.20 07:23:27 | 000,077,576 | ---- | M] (CyberLink) [Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSMonitorServicePDVD13.exe -- (CyberLink PowerDVD 13 Media Server Monitor Service)
SRV - [2013.03.15 07:47:17 | 001,266,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.02.28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2013.02.04 18:43:22 | 000,155,824 | ---- | M] (Avanquest Software) [On_Demand | Stopped] -- C:\Programme\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion)
SRV - [2011.05.05 22:36:04 | 000,018,432 | ---- | M] () [Auto | Running] -- C:\Programme\DAZ 3D\Content Management Service\ContentManagementServer.exe -- (DAZContentManagementService)
SRV - [2011.03.16 11:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2010.05.20 16:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 10:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\*******\LOKALE~1\Temp\aswMBR.sys -- (aswMBR)
DRV - [2013.04.02 00:14:11 | 000,097,792 | ---- | M] (Protect Software GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ACEDRV05.sys -- (ACEDRV05)
DRV - [2013.03.30 14:47:22 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.03.30 14:47:22 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.03.30 14:47:22 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.03.19 11:08:28 | 000,076,560 | ---- | M] (CyberLink Corp.) [2013/05/29 16:11:09] [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Common\NavFilter\000.fcl -- ({09F57980-3432-4AFC-957D-27AC45FAE1F5})
DRV - [2012.12.19 07:41:55 | 000,128,440 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2012.08.27 15:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.06.19 17:54:20 | 006,141,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2010.05.20 16:27:26 | 001,961,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VX3000.sys -- (VX3000)
DRV - [2009.11.18 08:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 08:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.07.13 16:51:12 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB)
DRV - [2008.01.29 12:37:48 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2008.01.29 12:37:46 | 000,054,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2007.07.27 12:46:06 | 000,251,680 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acehlp10.sys -- (acehlp10)
DRV - [2007.07.27 10:13:08 | 000,330,144 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV10.sys -- (acedrv10)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2006.11.07 02:00:00 | 000,014,976 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmunet.sys -- (AVMUNET)
DRV - [2005.12.01 10:49:22 | 000,023,600 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\drhard.sys -- (drhard)
DRV - [2005.08.18 00:00:00 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{1}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\URLSearchHook: {4c60e5ab-5c68-4c59-abaa-885010b24b32} - No CLSID value found
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{1}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1006\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "StartWeb"
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledAddons: plugin%40starstable.com:1.0.0.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:21.0
FF - prefs.js..network.proxy.ftp: "199.30.136.117"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "199.30.136.117"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "199.30.136.117"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "199.30.136.117"
FF - prefs.js..network.proxy.ssl_port: 3128
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF - HKLM\Software\MozillaPlugins\@FromDocToPDF_65.com/Plugin: C:\Programme\FromDocToPDF_65\bar\1.bin\NP65Stub.dll File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.5: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@coreonline.com/run3d,version=1.0: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Square Enix\nprun3d.dll (Square Enix)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\65ffxtbr@FromDocToPDF_65.com: C:\Programme\FromDocToPDF_65\bar\1.bin
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Programme\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.05.21 12:27:00 | 000,000,000 | ---D | M]
 
[2012.12.28 00:50:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Extensions
[2013.06.24 18:31:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\extensions
[2013.05.13 15:02:44 | 000,000,000 | ---D | M] ("Star Stable Online") -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\extensions\plugin@starstable.com
[2013.04.28 11:30:19 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\searchplugins\ChatZumSearch.xml
[2013.05.26 20:49:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\Extensions
[2013.05.21 12:27:10 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013.05.21 12:27:10 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Toolbar BHO) - {a235e1e3-6296-4710-af39-104a7faa6c7c} - C:\PROGRA~1\FROMDO~2\bar\1.bin\65bar.dll File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Search Assistant BHO) - {f236ca79-3123-4afb-9f74-e98117ad5625} - C:\Programme\FromDocToPDF_65\bar\1.bin\65SrcAs.dll File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXMediaServer] C:\Programme\DivX\DivX Media Server\DivXMediaServer.exe File not found
O4 - HKLM..\Run: [FromDocToPDF] rundll32 C:\PROGRA~1\FROMDO~2\bar\1.bin\65bar.dll,S File not found
O4 - HKLM..\Run: [FromDocToPDF Search Scope Monitor] "C:\PROGRA~1\FROMDO~2\bar\1.bin\65srchmn.exe" /m=2 /w /h File not found
O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [PowerDVD13Agent] C:\Programme\CyberLink\PowerDVD13\PowerDVD13Agent.exe (CyberLink Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008\Trayserver.exe (MAGIX AG)
O4 - HKLM..\Run: [VX3000] C:\WINDOWS\vVX3000.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [ALLUpdate] "C:\Programme\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [DesktopReminder2ByPolenter] C:\Programme\Desktop-Reminder 2\DesktopReminder2.exe (Polenter - Software Solutions)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Sony PC Companion] C:\Programme\Sony\Sony PC Companion\PCCompanion.exe (Sony)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe ()
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Tikuidra] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe (Oddybagi)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK32.EXE (WinZip Computing, S.L.)
O4 - Startup: C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C95CC53F-19CE-4468-8965-0CB192B44984}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D9D439DF-BDF7-4733-936E-A8920BD4BBB0}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.12.27 23:03:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{7a32eb97-b9a4-11e2-8d15-00040e60700b}\Shell - "" = AutoRun
O33 - MountPoints2\{7a32eb97-b9a4-11e2-8d15-00040e60700b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7a32eb97-b9a4-11e2-8d15-00040e60700b}\Shell\AutoRun\command - "" = F:\Startme.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.06.28 19:08:19 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\OTL.exe
[2013.06.28 18:24:29 | 004,745,728 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\aswMBR.exe
[2013.06.28 17:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\trojan
[2013.06.28 17:49:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop\scan
[2013.06.28 16:26:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Silverlight
[2013.06.28 16:26:03 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight
[2013.06.28 13:14:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop\app_guard
[2013.06.24 14:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\igdhbblpcellaljokkpfhcjlagemhgjl
[2013.06.24 14:37:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
[2013.06.24 14:37:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.06.24 14:36:49 | 010,285,040 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\mbam-setup-1-75-0-1300.exe
[2013.06.24 13:46:23 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2013.06.24 13:45:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2013.06.24 13:14:50 | 000,000,000 | ---D | C] -- C:\Programme\FromDocToPDF_65EI
[2013.06.24 13:10:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Local Settings
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Yvne
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ucof
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov
[2013.06.22 10:13:19 | 000,163,328 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerUpdateService.exe
[2013.06.21 07:06:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2013.06.14 10:31:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FileZilla
[2013.06.14 10:31:03 | 000,000,000 | ---D | C] -- C:\Programme\FileZilla FTP Client
[2013.06.09 11:38:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client
[2013.06.09 11:25:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\joomla
[2013.06.08 10:18:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ASCOMP Software
[2013.06.08 10:18:43 | 000,000,000 | ---D | C] -- C:\Programme\ASCOMP Software
[2013.06.08 10:12:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Recent
[2013.06.01 18:27:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dvdcss
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.06.28 19:08:19 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\OTL.exe
[2013.06.28 18:39:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.06.28 18:26:03 | 004,745,728 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\aswMBR.exe
[2013.06.28 18:13:46 | 000,014,614 | ---- | M] () -- C:\WINDOWS\System32\nvAppTimestamps
[2013.06.28 17:59:29 | 000,000,402 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\logins.rtf
[2013.06.28 17:56:47 | 000,000,970 | ---- | M] () -- C:\WINDOWS\tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job
[2013.06.28 17:51:41 | 000,000,258 | ---- | M] () -- C:\WINDOWS\tasks\dsmonitor.job
[2013.06.28 17:51:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.06.28 17:47:11 | 000,648,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
[2013.06.26 19:50:15 | 000,009,827 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\tagebuch.rtf
[2013.06.26 17:46:58 | 001,083,296 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.06.26 17:46:58 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.06.26 16:42:14 | 001,083,296 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.06.26 15:24:43 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013.06.24 17:46:05 | 000,000,838 | ---- | M] () -- C:\WINDOWS\System32\InstallUtil.InstallLog
[2013.06.24 14:36:54 | 010,285,040 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\mbam-setup-1-75-0-1300.exe
[2013.06.24 14:26:05 | 000,001,695 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Avira Free Antivirus Profil Vollständige Systemprüfung.LNK
[2013.06.24 11:48:34 | 000,001,703 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony PC Companion 2.1.lnk
[2013.06.23 19:33:08 | 000,224,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\im innenhof.jpg
[2013.06.21 23:35:51 | 000,000,017 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2013.06.21 19:56:23 | 000,000,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ideengeldverdienen.rtf
[2013.06.21 18:56:00 | 000,000,183 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\keasnummer.rtf
[2013.06.21 18:28:14 | 000,103,851 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Doppeldecker.jpg
[2013.06.21 16:21:32 | 000,167,124 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0003 auf 3 säulen.jpg
[2013.06.21 16:06:06 | 000,001,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\anDRweber.rtf
[2013.06.21 15:46:40 | 000,047,267 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0001.jpg
[2013.06.19 21:43:22 | 000,001,268 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung3.rtf
[2013.06.19 21:09:14 | 000,000,531 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\yahoo.rtf
[2013.06.16 18:28:24 | 000,000,291 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\umzugsgründe.rtf
[2013.06.14 10:31:05 | 000,000,755 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\FileZilla.lnk
[2013.06.13 16:50:00 | 000,001,239 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\text.rtf
[2013.06.13 16:42:23 | 000,000,754 | ---- | M] () -- C:\WINDOWS\WORDPAD.INI
[2013.06.13 07:26:34 | 000,000,729 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung5.rtf
[2013.06.12 14:39:07 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.06.12 14:39:07 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.06.12 09:34:49 | 000,000,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensfragen.rtf
[2013.06.12 09:12:23 | 000,000,499 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\fragenansiemens.rtf
[2013.06.11 19:10:52 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\signaliduna.rtf
[2013.06.11 11:01:24 | 000,003,570 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensundpartner.rtf
[2013.06.09 17:39:50 | 000,000,314 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\otto.rtf
[2013.06.09 12:26:25 | 000,000,231 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ohost.rtf
[2013.06.09 11:27:11 | 000,000,198 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\jomla.rtf
[2013.06.08 10:18:44 | 000,001,766 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Secure Eraser.lnk
[2013.06.07 19:24:29 | 000,001,438 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\forum.rtf
[2013.06.07 16:04:16 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skype.ini
[2013.06.06 10:35:35 | 000,003,757 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\westernhagen_telefon.rtf
[2013.06.04 11:34:00 | 000,000,228 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\golbaltestmarket.rtf
[2013.06.04 07:04:46 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung.rtf
[2013.05.29 22:44:47 | 001,755,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0038.JPG
[2013.05.29 22:44:41 | 001,888,814 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0039.JPG
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.06.28 17:47:11 | 000,648,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
[2013.06.24 14:46:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2013.06.24 14:39:10 | 000,000,838 | ---- | C] () -- C:\WINDOWS\System32\InstallUtil.InstallLog
[2013.06.24 14:38:47 | 000,000,970 | ---- | C] () -- C:\WINDOWS\tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job
[2013.06.24 14:26:04 | 000,001,695 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Avira Free Antivirus Profil Vollständige Systemprüfung.LNK
[2013.06.23 19:33:06 | 000,224,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\im innenhof.jpg
[2013.06.21 18:55:05 | 000,000,183 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\keasnummer.rtf
[2013.06.21 18:28:13 | 000,103,851 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Doppeldecker.jpg
[2013.06.21 16:21:30 | 000,167,124 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0003 auf 3 säulen.jpg
[2013.06.21 15:46:39 | 000,047,267 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0001.jpg
[2013.06.21 13:53:47 | 000,001,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\anDRweber.rtf
[2013.06.16 18:28:24 | 000,000,291 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\umzugsgründe.rtf
[2013.06.13 07:26:33 | 000,000,729 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung5.rtf
[2013.06.12 09:34:48 | 000,000,517 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensfragen.rtf
[2013.06.12 09:12:23 | 000,000,499 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\fragenansiemens.rtf
[2013.06.11 19:10:05 | 000,000,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\signaliduna.rtf
[2013.06.11 13:56:22 | 000,001,239 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\text.rtf
[2013.06.10 21:33:37 | 000,001,268 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung3.rtf
[2013.06.09 12:26:25 | 000,000,231 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ohost.rtf
[2013.06.09 11:38:52 | 000,000,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\FileZilla.lnk
[2013.06.09 11:27:11 | 000,000,198 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\jomla.rtf
[2013.06.08 10:18:44 | 000,001,766 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Secure Eraser.lnk
[2013.06.07 19:24:29 | 000,001,438 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\forum.rtf
[2013.06.07 15:59:52 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skype.ini
[2013.06.06 10:38:27 | 000,003,570 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensundpartner.rtf
[2013.06.04 08:38:53 | 000,000,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\golbaltestmarket.rtf
[2013.05.29 22:44:24 | 001,755,687 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0038.JPG
[2013.05.29 22:44:18 | 001,888,814 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0039.JPG
[2013.05.29 15:43:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2013.05.25 23:06:10 | 016,603,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\michael.fbx
[2013.05.25 00:10:45 | 000,003,948 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2013.04.26 20:39:27 | 000,240,524 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1085031214-963894560-839522115-1003-0.dat
[2013.04.26 20:39:27 | 000,138,594 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2013.04.15 09:29:09 | 000,000,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\CamShapes.ini
[2013.04.15 09:29:09 | 000,000,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\CamLayout.ini
[2013.04.15 09:29:09 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Camdata.ini
[2013.04.11 17:37:39 | 000,000,316 | ---- | C] () -- C:\WINDOWS\Sampler.INI
[2013.04.11 17:37:39 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Robota.INI
[2013.04.11 17:37:38 | 000,000,316 | ---- | C] () -- C:\WINDOWS\BeatBox.INI
[2013.04.04 22:49:20 | 000,000,017 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2013.04.02 22:38:22 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.04.02 22:38:17 | 001,083,296 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.04.02 22:38:16 | 001,083,296 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.04.02 22:38:16 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.04.02 00:11:13 | 000,038,912 | ---- | C] () -- C:\WINDOWS\System32\mgxasio.dll
[2013.04.02 00:02:46 | 000,000,216 | ---- | C] () -- C:\WINDOWS\musicmaker.INI
[2013.03.28 18:17:29 | 002,288,632 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2013.03.25 23:45:13 | 000,032,256 | -HS- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2013.03.25 23:41:39 | 000,188,416 | RHS- | C] () -- C:\WINDOWS\System32\winDCE32.dll
[2013.03.25 23:41:39 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
[2013.03.25 22:44:15 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2013.03.25 22:43:41 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2013.03.22 20:24:07 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2013.01.07 15:09:02 | 000,034,816 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.31 20:33:49 | 000,015,498 | ---- | C] () -- C:\WINDOWS\VX3000.ini
[2012.12.31 20:26:02 | 000,298,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012.12.28 23:09:06 | 000,025,548 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTAIODAT.DAT
[2012.12.27 23:27:37 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2012.12.27 23:27:37 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2012.12.27 23:27:37 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2012.12.27 23:27:37 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2012.12.27 23:27:37 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2012.12.27 23:27:37 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2012.12.27 23:27:37 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2012.12.27 23:27:37 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2012.12.27 23:27:37 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2012.12.27 23:27:37 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2012.12.27 23:27:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2012.12.27 23:27:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2012.12.27 23:27:37 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2012.12.27 23:27:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2012.12.27 23:27:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2012.12.27 23:27:37 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2012.12.27 23:27:37 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2012.12.27 23:27:37 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2012.12.27 23:27:37 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2012.12.27 23:04:39 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.12.27 23:02:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.12.27 21:11:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.12.27 21:10:01 | 000,178,648 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== ZeroAccess Check ==========
 
[2012.12.31 20:24:26 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 08:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2008.04.14 08:52:12 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 08:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 128 bytes -> C:\Programme\Desktop-Reminder 2:{67005600-3500-4800-7000-70004A006400}

< End of report >

Geändert von MisterMint (28.06.2013 um 19:26 Uhr)

Alt 28.06.2013, 18:36   #6
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Hallo,

Zitat:
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\ps_bn176_-_Michael_4_Pro_Bundle_bestgfx.com.rar.exe
Lösch das!

Und deine Bank liegt vollkommen richtig. Bei dir läuft Malware, die sich u.a. fürs Online-Banking interessiert.


Warnung: Infostealer

Aus deinen Logs ist ersichtlich, dass du Malware eingefangen hast, die es speziell auf deine sensitiven Daten (Benutzernamen, Passwörter, Onlinebankingzugangsdaten, etc.) abgesehen hat.
Man kann nicht genau wissen, was alles mitgeloggt wurde, aber sicherheitshalber würd ich alle auf diesem Rechner eingegebenen Daten und Passwörter als bekannt voraussetzen.

Ich würde dir daher raten, zum Schluss oder von einem sauberen Rechner aus sämtliche Zugangsdaten, welche an diesem Rechner verwendet wurden, zu ändern.




Schritt 1

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



Schritt 2

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.




Schritt 3

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Adwcleaner
  • Log von Combofix
  • Log von OTL
__________________
--> Sparkassen-Trojaner - Online Banking gesperrt

Alt 28.06.2013, 19:18   #7
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Code:
ATTFilter
# AdwCleaner v2.303 - Datei am 28/06/2013 um 19:41:04 erstellt
# Aktualisiert am 08/06/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - *******
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v21.0 (de)

Datei : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\prefs.js

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [962 octets] - [28/06/2013 17:48:53]
AdwCleaner[S1].txt - [17036 octets] - [24/06/2013 18:31:24]
AdwCleaner[S2].txt - [1149 octets] - [28/06/2013 17:50:07]
AdwCleaner[S3].txt - [1080 octets] - [28/06/2013 19:41:04]

########## EOF - C:\AdwCleaner[S3].txt - [1140 octets] ##########


Code:
ATTFilter
ComboFix 13-06-28.01 - Besitzer 28.06.2013  19:54:21.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1147 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{3CFDF154-7E60-4E98-A8DF-C693A4F8E6B6}\PostBuild.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{3CFDF154-7E60-4E98-A8DF-C693A4F8E6B6}\Setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}\PostBuild.exe
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\skype.ini
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Tuwov
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe
C:\Install.exe
c:\windows\IsUn0407.exe
c:\windows\system32\_000107_.tmp.dll
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\SETB3.tmp
c:\windows\system32\SETB5.tmp
c:\windows\system32\SETC4.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-28 bis 2013-06-28  ))))))))))))))))))))))))))))))
.
.
2013-06-28 14:26 . 2013-06-28 14:26	--------	d-----w-	c:\programme\Microsoft Silverlight
2013-06-24 12:46 . 2011-06-21 09:24	32768	----a-w-	c:\windows\system32\drivers\sp_rsdrv2.sys
2013-06-24 12:38 . 2013-06-24 15:45	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\igdhbblpcellaljokkpfhcjlagemhgjl
2013-06-24 12:37 . 2013-06-24 12:37	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2013-06-24 12:37 . 2013-06-24 12:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-06-24 11:46 . 2013-06-24 11:46	--------	d-----w-	c:\programme\Enigma Software Group
2013-06-24 11:46 . 2013-06-24 15:52	--------	d-----w-	c:\windows\E89498D814304A2BA76A4A71326981E9.TMP
2013-06-24 11:45 . 2013-06-24 11:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2013-06-24 11:14 . 2013-06-24 11:14	--------	d---a-w-	c:\programme\FromDocToPDF_65EI
2013-06-24 11:09 . 2013-06-28 17:04	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Yvne
2013-06-24 11:09 . 2013-06-24 11:09	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Ucof
2013-06-24 09:48 . 2013-06-24 09:48	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2013-06-22 08:13 . 2013-05-28 13:05	163328	----a-w-	c:\windows\system32\FlashPlayerUpdateService.exe
2013-06-14 08:31 . 2013-06-14 13:49	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FileZilla
2013-06-14 08:31 . 2013-06-14 08:31	--------	d-----w-	c:\programme\FileZilla FTP Client
2013-06-08 08:18 . 2013-06-08 08:18	--------	d-----w-	c:\programme\ASCOMP Software
2013-06-01 16:27 . 2013-06-01 18:09	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2013-05-30 10:39 . 2013-05-30 10:39	--------	d-----w-	c:\dokumente und einstellungen\UpdatusUser.*******.000\Lokale Einstellungen\Anwendungsdaten\MediaServer
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 12:39 . 2012-12-28 11:21	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-12 12:39 . 2012-12-28 11:21	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-10 21:23 . 2013-05-10 21:23	409600	----a-w-	c:\windows\system32\wrap_oal.dll
2013-05-10 21:23 . 2013-05-10 21:23	114688	----a-w-	c:\windows\system32\OpenAL32.dll
2013-04-01 22:14 . 2013-04-01 22:14	97792	----a-w-	c:\windows\system32\drivers\ACEDRV05.sys
2013-04-01 08:02 . 2013-04-01 08:03	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-04-01 08:02 . 2013-04-01 08:03	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-04-01 08:02 . 2013-04-01 08:03	861088	----a-w-	c:\windows\system32\npDeployJava1.dll
2013-04-01 08:02 . 2013-04-01 08:03	782240	----a-w-	c:\windows\system32\deployJava1.dll
2009-09-27 08:39	369152	--sh--w-	c:\windows\system32\avisynth.dll
2005-07-14 11:31	32256	--sh--w-	c:\windows\system32\AVSredirect.dll
2004-02-22 09:11	719872	--sh--w-	c:\windows\system32\devil.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\system32\flvDX.dll
2004-01-24 23:00	70656	--sh--w-	c:\windows\system32\i420vfw.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\system32\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\system32\TAKDSDecoder.dll
2012-10-05 18:54	188416	--sha-r-	c:\windows\system32\winDCE32.dll
2004-01-24 23:00	70656	--sh--w-	c:\windows\system32\yv12vfw.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-04-14 . 354C9291513BCE4D0ED6B0C6A15470F8 . 2191360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntoskrnl.exe
[-] 2008-04-14 . 02484CB2ADA38A887A46BCB298E5E988 . 2147840 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe
[-] 2003-04-02 . 772012964E35CFAB814582AF726FD10F . 1893888 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\ntoskrnl.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBPanel"="c:\programme\Vtune\TBPanel.exe" [2011-08-02 2248704]
"Steam"="c:\programme\Steam\Steam.exe" [2013-06-27 1671592]
"Sony PC Companion"="c:\programme\Sony\Sony PC Companion\PCCompanion.exe" [2013-05-29 449248]
"DesktopReminder2ByPolenter"="c:\programme\Desktop-Reminder 2\DesktopReminder2.exe" [2013-01-06 2743344]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-06-27 345144]
"RTHDCPL"="RTHDCPL.EXE" [2012-06-06 20065936]
"VX3000"="c:\windows\vVX3000.exe" [2010-05-20 762736]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2010-05-20 119152]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_2008\TrayServer.exe" [2007-03-29 90112]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2013-03-15 15668512]
"NvMediaCenter"="NvMCTray.dll" [2013-03-15 223008]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2013-03-15 1982312]
"PowerDVD13Agent"="c:\programme\CyberLink\PowerDVD13\PowerDVD13Agent.exe" [2013-03-20 513048]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2013-5-24 679936]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK32.EXE [2013-1-29 685936]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeEnC2.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeTray.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\Tomb Raider\\TombRaider.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\e frontier\\Poser 6 G\\PoserG.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\CyberLink\\PowerDVD13\\PowerDVD13.exe"=
"c:\\Programme\\CyberLink\\PowerDVD13\\Kernel\\DMS\\CLMSServerPDVD13.exe"=
"c:\\Programme\\CyberLink\\PowerDVD13\\PowerDVD13Agent.exe"=
"c:\\Programme\\CyberLink\\PowerDVD13\\PowerDVD13ML.exe"=
"c:\\Programme\\CyberLink\\PowerDVD13\\Movie\\PowerDVD.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [28.12.2012 00:42 37352]
R2 {09F57980-3432-4AFC-957D-27AC45FAE1F5};Power Control [2013/05/29 16:11];c:\programme\CyberLink\PowerDVD13\Common\NavFilter\000.fcl [19.03.2013 11:08 76560]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.12.2012 00:42 84024]
R2 CyberLink PowerDVD 13 Media Server Monitor Service;CyberLink PowerDVD 13 Media Server Monitor Service;c:\programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSMonitorServicePDVD13.exe [29.05.2013 16:09 77576]
R2 CyberLink PowerDVD 13 Media Server Service;CyberLink PowerDVD 13 Media Server Service;c:\programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSServerPDVD13.exe [29.05.2013 16:09 323336]
R2 drhard;drhard;c:\windows\system32\drivers\drhard.sys [25.05.2013 00:01 23600]
S2 DAZContentManagementService;DAZ Content Management Service;c:\programme\DAZ 3D\Content Management Service\ContentManagementServer.exe [14.04.2013 10:55 18432]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [28.02.2013 18:45 161384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.12.2012 23:09 1691480]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [07.11.2006 02:00 14976]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 7168]
S3 Sony PC Companion;Sony PC Companion;c:\programme\Sony\Sony PC Companion\PCCService.exe [10.05.2013 21:04 155824]
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-28 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-28 13:05]
.
2013-06-28 c:\windows\Tasks\dsmonitor.job
- c:\programme\Uniblue\DriverScanner\dsmonitor.exe [2013-04-06 12:47]
.
2013-06-28 c:\windows\Tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job
- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\igdhbblpcellaljokkpfhcjlagemhgjl\MinibarChrome.exe [2013-06-24 12:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\
FF - prefs.js: browser.search.selectedEngine - StartWeb
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - ExtSQL: 2013-05-13 15:02; plugin@starstable.com; c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\extensions\plugin@starstable.com
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-ALLUpdate - c:\programme\ALLPlayer\ALLUpdate.exe
HKCU-Run-Tikuidra - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe
HKLM-Run-DivXMediaServer - c:\programme\DivX\DivX Media Server\DivXMediaServer.exe
HKLM-Run-FromDocToPDF - c:\progra~1\FROMDO~2\bar\1.bin\65bar.dll
HKLM-Run-FromDocToPDF Search Scope Monitor - c:\progra~1\FROMDO~2\bar\1.bin\65srchmn.exe
AddRemove-FRITZ!DSL - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-28 20:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{09F57980-3432-4AFC-957D-27AC45FAE1F5}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD13\Common\NavFilter\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
Zeit der Fertigstellung: 2013-06-28  20:02:33
ComboFix-quarantined-files.txt  2013-06-28 18:02
.
Vor Suchlauf: 10 Verzeichnis(se), 111.352.360.960 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 114.613.710.848 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 1314BC215E6092BC973C6DE26B9127D6
72B8CE41AF0DE751C946802B3ED844B4


Code:
ATTFilter
OTL logfile created on: 28.06.2013 20:08:10 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Besitzer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,23 Gb Available Physical Memory | 61,77% Memory free
3,85 Gb Paging File | 3,03 Gb Available in Paging File | 78,64% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 195,32 Gb Total Space | 106,78 Gb Free Space | 54,67% Space Free | Partition Type: NTFS
Drive D: | 37,57 Gb Total Space | 14,38 Gb Free Space | 38,27% Space Free | Partition Type: NTFS
 
Computer Name: ******* | User Name: ******* | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.06.28 19:08:19 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\OTL.exe
PRC - [2013.06.27 14:15:33 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.06.27 14:15:25 | 000,076,856 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.06.27 14:15:24 | 000,345,144 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.06.27 14:15:24 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.06.27 02:53:58 | 001,671,592 | ---- | M] (Valve Corporation) -- C:\Programme\Steam\Steam.exe
PRC - [2013.05.29 12:34:28 | 000,449,248 | ---- | M] (Sony) -- C:\Programme\Sony\Sony PC Companion\PCCompanion.exe
PRC - [2013.05.28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
PRC - [2013.05.21 12:27:09 | 000,920,472 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2013.04.01 10:02:51 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.03.20 07:23:29 | 000,323,336 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSServerPDVD13.exe
PRC - [2013.03.20 07:23:27 | 000,077,576 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSMonitorServicePDVD13.exe
PRC - [2013.03.15 07:47:17 | 001,266,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.02.04 18:13:54 | 000,070,832 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe
PRC - [2013.01.16 14:47:30 | 000,026,456 | ---- | M] (Uniblue Systems Ltd) -- C:\Programme\Uniblue\DriverScanner\dsmonitor.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.08.02 16:38:20 | 002,248,704 | ---- | M] () -- C:\Programme\Vtune\TBPANEL.exe
PRC - [2010.05.20 16:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft LifeCam\MSCamS32.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.12 08:00:00 | 000,182,272 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICEE.EXE
PRC - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.06.27 02:54:00 | 001,118,120 | ---- | M] () -- C:\Programme\Steam\bin\chromehtml.dll
MOD - [2013.06.27 00:47:12 | 020,620,712 | ---- | M] () -- C:\Programme\Steam\bin\libcef.dll
MOD - [2013.06.15 01:49:12 | 001,100,800 | ---- | M] () -- C:\Programme\Steam\bin\avcodec-53.dll
MOD - [2013.06.15 01:49:12 | 000,192,000 | ---- | M] () -- C:\Programme\Steam\bin\avformat-53.dll
MOD - [2013.06.15 01:49:12 | 000,124,416 | ---- | M] () -- C:\Programme\Steam\bin\avutil-51.dll
MOD - [2013.06.15 01:49:10 | 000,659,968 | ---- | M] () -- C:\Programme\Steam\SDL2.dll
MOD - [2013.05.21 12:27:08 | 003,128,728 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2013.05.17 10:51:16 | 000,207,872 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\MExplorer.dll
MOD - [2013.04.12 19:23:30 | 000,612,664 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\sqlite3.dll
MOD - [2013.03.18 15:46:26 | 000,606,720 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PhoneUpdate.dll
MOD - [2013.02.04 18:13:54 | 000,070,832 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\PCCompanionInfo.exe
MOD - [2012.09.19 19:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2012.04.30 11:57:42 | 000,039,936 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\TMonitorAPI.dll
MOD - [2011.08.02 16:38:20 | 002,248,704 | ---- | M] () -- C:\Programme\Vtune\TBPANEL.exe
MOD - [2011.07.07 14:54:36 | 000,233,984 | ---- | M] () -- C:\Programme\Sony\Sony PC Companion\Report.dll
MOD - [2008.04.14 08:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [1998.10.31 05:55:56 | 000,005,120 | ---- | M] () -- C:\Programme\Vtune\TBMANAGE.DLL
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.06.27 14:15:33 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.06.27 14:15:24 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.05.28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.05.21 12:27:08 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.01 10:02:51 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.03.20 07:23:29 | 000,323,336 | ---- | M] (CyberLink) [Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSServerPDVD13.exe -- (CyberLink PowerDVD 13 Media Server Service)
SRV - [2013.03.20 07:23:27 | 000,077,576 | ---- | M] (CyberLink) [Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Kernel\DMS\CLMSMonitorServicePDVD13.exe -- (CyberLink PowerDVD 13 Media Server Monitor Service)
SRV - [2013.03.15 07:47:17 | 001,266,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.02.28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2013.02.04 18:43:22 | 000,155,824 | ---- | M] (Avanquest Software) [On_Demand | Stopped] -- C:\Programme\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion)
SRV - [2011.05.05 22:36:04 | 000,018,432 | ---- | M] () [Auto | Stopped] -- C:\Programme\DAZ 3D\Content Management Service\ContentManagementServer.exe -- (DAZContentManagementService)
SRV - [2011.03.16 11:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2010.05.20 16:27:24 | 000,139,632 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2005.11.21 11:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 10:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\Besitzer\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2013.04.02 00:14:11 | 000,097,792 | ---- | M] (Protect Software GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ACEDRV05.sys -- (ACEDRV05)
DRV - [2013.03.30 14:47:22 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.03.30 14:47:22 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.03.30 14:47:22 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.03.19 11:08:28 | 000,076,560 | ---- | M] (CyberLink Corp.) [2013/05/29 16:11:09] [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD13\Common\NavFilter\000.fcl -- ({09F57980-3432-4AFC-957D-27AC45FAE1F5})
DRV - [2012.12.19 07:41:55 | 000,128,440 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2012.08.27 15:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.06.19 17:54:20 | 006,141,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2010.05.20 16:27:26 | 001,961,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VX3000.sys -- (VX3000)
DRV - [2009.11.18 08:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 08:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.07.13 16:51:12 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB)
DRV - [2008.01.29 12:37:48 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2008.01.29 12:37:46 | 000,054,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2007.07.27 12:46:06 | 000,251,680 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acehlp10.sys -- (acehlp10)
DRV - [2007.07.27 10:13:08 | 000,330,144 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV10.sys -- (acedrv10)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2007.03.16 11:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)
DRV - [2006.11.07 02:00:00 | 000,014,976 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmunet.sys -- (AVMUNET)
DRV - [2005.12.01 10:49:22 | 000,023,600 | ---- | M] (Licensed for Gebhard Software) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\drhard.sys -- (drhard)
DRV - [2005.08.18 00:00:00 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{1}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\@3\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\@6\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\@7\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{1}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1006\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1085031214-963894560-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "StartWeb"
FF - prefs.js..browser.search.useDBForOrder: "false"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledAddons: plugin%40starstable.com:1.0.0.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:21.0
FF - prefs.js..network.proxy.ftp: "199.30.136.117"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "199.30.136.117"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "199.30.136.117"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "199.30.136.117"
FF - prefs.js..network.proxy.ssl_port: 3128
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF - HKLM\Software\MozillaPlugins\@FromDocToPDF_65.com/Plugin: C:\Programme\FromDocToPDF_65\bar\1.bin\NP65Stub.dll File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.5: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@coreonline.com/run3d,version=1.0: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Square Enix\nprun3d.dll (Square Enix)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\65ffxtbr@FromDocToPDF_65.com: C:\Programme\FromDocToPDF_65\bar\1.bin
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Programme\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.05.21 12:27:00 | 000,000,000 | ---D | M]
 
[2012.12.28 00:50:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Extensions
[2013.06.24 18:31:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\extensions
[2013.05.13 15:02:44 | 000,000,000 | ---D | M] ("Star Stable Online") -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\extensions\plugin@starstable.com
[2013.04.28 11:30:19 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aagj0s2c.default\searchplugins\ChatZumSearch.xml
[2013.05.26 20:49:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\Extensions
[2013.05.21 12:27:10 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013.05.21 12:27:10 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
 
O1 HOSTS File: ([2013.06.28 20:00:14 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [PowerDVD13Agent] C:\Programme\CyberLink\PowerDVD13\PowerDVD13Agent.exe (CyberLink Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008\Trayserver.exe (MAGIX AG)
O4 - HKLM..\Run: [VX3000] C:\WINDOWS\vVX3000.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [DesktopReminder2ByPolenter] C:\Programme\Desktop-Reminder 2\DesktopReminder2.exe (Polenter - Software Solutions)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Sony PC Companion] C:\Programme\Sony\Sony PC Companion\PCCompanion.exe (Sony)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation)
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe ()
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Tikuidra] "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK32.EXE (WinZip Computing, S.L.)
O4 - Startup: C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\@3\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\@3\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\@6\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\@6\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\@7\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\@7\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1085031214-963894560-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-1085031214-963894560-839522115-1003\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C95CC53F-19CE-4468-8965-0CB192B44984}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D9D439DF-BDF7-4733-936E-A8920BD4BBB0}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.12.27 23:03:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.06.28 19:51:24 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.06.28 19:49:30 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.06.28 19:49:30 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.06.28 19:49:30 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.06.28 19:49:30 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.06.28 19:49:20 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.06.28 19:49:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.06.28 19:46:42 | 005,083,661 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
[2013.06.28 19:08:19 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\OTL.exe
[2013.06.28 18:24:29 | 004,745,728 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\aswMBR.exe
[2013.06.28 17:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\trojan
[2013.06.28 17:49:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop\scan
[2013.06.28 16:26:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Silverlight
[2013.06.28 16:26:03 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight
[2013.06.28 13:14:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop\app_guard
[2013.06.24 14:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\igdhbblpcellaljokkpfhcjlagemhgjl
[2013.06.24 14:37:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
[2013.06.24 14:37:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.06.24 14:36:49 | 010,285,040 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\mbam-setup-1-75-0-1300.exe
[2013.06.24 13:46:23 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2013.06.24 13:45:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2013.06.24 13:14:50 | 000,000,000 | ---D | C] -- C:\Programme\FromDocToPDF_65EI
[2013.06.24 13:10:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Local Settings
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Yvne
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ucof
[2013.06.21 07:06:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2013.06.14 10:31:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FileZilla
[2013.06.14 10:31:03 | 000,000,000 | ---D | C] -- C:\Programme\FileZilla FTP Client
[2013.06.09 11:38:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FileZilla FTP Client
[2013.06.09 11:25:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\joomla
[2013.06.08 10:18:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ASCOMP Software
[2013.06.08 10:18:43 | 000,000,000 | ---D | C] -- C:\Programme\ASCOMP Software
[2013.06.08 10:12:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Recent
[2013.06.01 18:27:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dvdcss
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.06.28 20:04:25 | 000,014,614 | ---- | M] () -- C:\WINDOWS\System32\nvAppTimestamps
[2013.06.28 20:02:34 | 000,000,258 | ---- | M] () -- C:\WINDOWS\tasks\dsmonitor.job
[2013.06.28 20:00:14 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.06.28 19:51:31 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.06.28 19:47:31 | 000,000,982 | ---- | M] () -- C:\WINDOWS\tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job
[2013.06.28 19:46:45 | 005,083,661 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
[2013.06.28 19:46:11 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013.06.28 19:42:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.06.28 19:39:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.06.28 19:08:19 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\OTL.exe
[2013.06.28 18:26:03 | 004,745,728 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\aswMBR.exe
[2013.06.28 17:59:29 | 000,000,402 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\logins.rtf
[2013.06.28 17:47:11 | 000,648,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
[2013.06.26 19:50:15 | 000,009,827 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\tagebuch.rtf
[2013.06.26 17:46:58 | 001,083,296 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.06.26 17:46:58 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.06.26 16:42:14 | 001,083,296 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.06.24 17:46:05 | 000,000,838 | ---- | M] () -- C:\WINDOWS\System32\InstallUtil.InstallLog
[2013.06.24 14:36:54 | 010,285,040 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\mbam-setup-1-75-0-1300.exe
[2013.06.24 14:26:05 | 000,001,695 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Avira Free Antivirus Profil Vollständige Systemprüfung.LNK
[2013.06.24 11:48:34 | 000,001,703 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Sony PC Companion 2.1.lnk
[2013.06.23 19:33:08 | 000,224,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\im innenhof.jpg
[2013.06.21 23:35:51 | 000,000,017 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2013.06.21 19:56:23 | 000,000,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ideengeldverdienen.rtf
[2013.06.21 18:56:00 | 000,000,183 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\keasnummer.rtf
[2013.06.21 18:28:14 | 000,103,851 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Doppeldecker.jpg
[2013.06.21 16:21:32 | 000,167,124 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0003 auf 3 säulen.jpg
[2013.06.21 16:06:06 | 000,001,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\anDRweber.rtf
[2013.06.21 15:46:40 | 000,047,267 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0001.jpg
[2013.06.19 21:43:22 | 000,001,268 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung3.rtf
[2013.06.19 21:09:14 | 000,000,531 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\yahoo.rtf
[2013.06.16 18:28:24 | 000,000,291 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\umzugsgründe.rtf
[2013.06.14 10:31:05 | 000,000,755 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\FileZilla.lnk
[2013.06.13 16:50:00 | 000,001,239 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\text.rtf
[2013.06.13 16:42:23 | 000,000,754 | ---- | M] () -- C:\WINDOWS\WORDPAD.INI
[2013.06.13 07:26:34 | 000,000,729 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung5.rtf
[2013.06.12 09:34:49 | 000,000,517 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensfragen.rtf
[2013.06.12 09:12:23 | 000,000,499 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\fragenansiemens.rtf
[2013.06.11 19:10:52 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\signaliduna.rtf
[2013.06.11 11:01:24 | 000,003,570 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensundpartner.rtf
[2013.06.09 17:39:50 | 000,000,314 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\otto.rtf
[2013.06.09 12:26:25 | 000,000,231 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ohost.rtf
[2013.06.09 11:27:11 | 000,000,198 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\jomla.rtf
[2013.06.08 10:18:44 | 000,001,766 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Secure Eraser.lnk
[2013.06.07 19:24:29 | 000,001,438 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\forum.rtf
[2013.06.06 10:35:35 | 000,003,757 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\westernhagen_telefon.rtf
[2013.06.04 11:34:00 | 000,000,228 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\golbaltestmarket.rtf
[2013.06.04 07:04:46 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung.rtf
[2013.05.29 22:44:47 | 001,755,687 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0038.JPG
[2013.05.29 22:44:41 | 001,888,814 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0039.JPG
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.06.28 19:51:31 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.06.28 19:51:26 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.06.28 19:49:30 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.06.28 19:49:30 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.06.28 19:49:30 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.06.28 19:49:30 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.06.28 19:49:30 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.06.28 17:47:11 | 000,648,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner2303.exe
[2013.06.24 14:46:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2013.06.24 14:39:10 | 000,000,838 | ---- | C] () -- C:\WINDOWS\System32\InstallUtil.InstallLog
[2013.06.24 14:38:47 | 000,000,982 | ---- | C] () -- C:\WINDOWS\tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl.job
[2013.06.24 14:26:04 | 000,001,695 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Avira Free Antivirus Profil Vollständige Systemprüfung.LNK
[2013.06.23 19:33:06 | 000,224,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\im innenhof.jpg
[2013.06.21 18:55:05 | 000,000,183 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\keasnummer.rtf
[2013.06.21 18:28:13 | 000,103,851 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Doppeldecker.jpg
[2013.06.21 16:21:30 | 000,167,124 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0003 auf 3 säulen.jpg
[2013.06.21 15:46:39 | 000,047,267 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\0001.jpg
[2013.06.21 13:53:47 | 000,001,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\anDRweber.rtf
[2013.06.16 18:28:24 | 000,000,291 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\umzugsgründe.rtf
[2013.06.13 07:26:33 | 000,000,729 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung5.rtf
[2013.06.12 09:34:48 | 000,000,517 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensfragen.rtf
[2013.06.12 09:12:23 | 000,000,499 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\fragenansiemens.rtf
[2013.06.11 19:10:05 | 000,000,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\signaliduna.rtf
[2013.06.11 13:56:22 | 000,001,239 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\text.rtf
[2013.06.10 21:33:37 | 000,001,268 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\entschuldigung3.rtf
[2013.06.09 12:26:25 | 000,000,231 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\ohost.rtf
[2013.06.09 11:38:52 | 000,000,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\FileZilla.lnk
[2013.06.09 11:27:11 | 000,000,198 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\jomla.rtf
[2013.06.08 10:18:44 | 000,001,766 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Secure Eraser.lnk
[2013.06.07 19:24:29 | 000,001,438 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\forum.rtf
[2013.06.06 10:38:27 | 000,003,570 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\siemensundpartner.rtf
[2013.06.04 08:38:53 | 000,000,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\golbaltestmarket.rtf
[2013.05.29 22:44:24 | 001,755,687 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0038.JPG
[2013.05.29 22:44:18 | 001,888,814 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\FILE0039.JPG
[2013.05.29 15:43:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2013.05.25 23:06:10 | 016,603,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\michael.fbx
[2013.05.25 00:10:45 | 000,003,948 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2013.04.26 20:39:27 | 000,240,524 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1085031214-963894560-839522115-1003-0.dat
[2013.04.26 20:39:27 | 000,138,594 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2013.04.15 09:29:09 | 000,000,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\CamShapes.ini
[2013.04.15 09:29:09 | 000,000,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\CamLayout.ini
[2013.04.15 09:29:09 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Camdata.ini
[2013.04.11 17:37:39 | 000,000,316 | ---- | C] () -- C:\WINDOWS\Sampler.INI
[2013.04.11 17:37:39 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Robota.INI
[2013.04.11 17:37:38 | 000,000,316 | ---- | C] () -- C:\WINDOWS\BeatBox.INI
[2013.04.04 22:49:20 | 000,000,017 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2013.04.02 22:38:22 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.04.02 22:38:17 | 001,083,296 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.04.02 22:38:16 | 001,083,296 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.04.02 22:38:16 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.04.02 00:11:13 | 000,038,912 | ---- | C] () -- C:\WINDOWS\System32\mgxasio.dll
[2013.04.02 00:02:46 | 000,000,216 | ---- | C] () -- C:\WINDOWS\musicmaker.INI
[2013.03.28 18:17:29 | 002,288,632 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2013.03.25 23:45:13 | 000,032,256 | -HS- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2013.03.25 23:41:39 | 000,188,416 | RHS- | C] () -- C:\WINDOWS\System32\winDCE32.dll
[2013.03.25 23:41:39 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
[2013.03.25 22:44:15 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2013.03.25 22:43:41 | 000,006,768 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2013.03.22 20:24:07 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2013.01.07 15:09:02 | 000,034,816 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.31 20:33:49 | 000,015,498 | ---- | C] () -- C:\WINDOWS\VX3000.ini
[2012.12.31 20:26:02 | 000,298,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012.12.28 23:09:06 | 000,025,548 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTAIODAT.DAT
[2012.12.27 23:27:37 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2012.12.27 23:27:37 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2012.12.27 23:27:37 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2012.12.27 23:27:37 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2012.12.27 23:27:37 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2012.12.27 23:27:37 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2012.12.27 23:27:37 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2012.12.27 23:27:37 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2012.12.27 23:27:37 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2012.12.27 23:27:37 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2012.12.27 23:27:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2012.12.27 23:27:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2012.12.27 23:27:37 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2012.12.27 23:27:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2012.12.27 23:27:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2012.12.27 23:27:37 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2012.12.27 23:27:37 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2012.12.27 23:27:37 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2012.12.27 23:27:37 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2012.12.27 23:04:39 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.12.27 23:02:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.12.27 21:11:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.12.27 21:10:01 | 000,178,648 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== ZeroAccess Check ==========
 
[2012.12.31 20:24:26 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 08:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2008.04.14 08:52:12 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 08:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.04.15 08:46:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2013.05.23 18:22:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAZ 3D
[2012.12.27 23:26:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2013.05.29 16:08:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\install_clap
[2013.04.28 10:56:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2013.05.23 17:17:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OptiTex
[2013.05.29 16:10:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDVD
[2013.05.09 22:24:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Poser
[2013.05.10 21:04:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
[2013.05.13 15:03:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarStableOnline
[2013.04.15 08:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2013.03.28 22:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WeGame
[2013.04.30 20:33:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2013.04.15 08:46:10 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2013.05.21 18:12:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3B667B0-55AE-40A2-BA13-F0CE5CD1242F}
[2013.05.28 20:13:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Audacity
[2013.05.23 17:14:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DAZ 3D
[2013.05.21 20:10:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DesktopReminder
[2013.04.14 19:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FaceGen
[2013.06.14 15:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FileZilla
[2013.06.24 17:45:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\igdhbblpcellaljokkpfhcjlagemhgjl
[2013.04.11 10:31:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\MAGIX
[2013.05.09 22:15:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Poser
[2013.05.10 21:20:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sony
[2013.04.15 08:46:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software
[2013.06.24 13:09:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ucof
[2013.04.06 15:24:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Uniblue
[2013.03.20 17:25:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Unity
[2013.06.28 19:04:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Yvne
[2013.04.15 09:00:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 128 bytes -> C:\Programme\Desktop-Reminder 2:{67005600-3500-4800-7000-70004A006400}

< End of report >

Alt 28.06.2013, 19:28   #8
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Ok, dann noch etwas kontrollieren:


Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:
  • Klicke auf Wählen Sie eine.
  • Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
    Code:
    ATTFilter
    c:\windows\system32\ntoskrnl.exe
    und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Solltest du folgende Meldung bekommen:
    Zitat:
    Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...
    dann klicke auf Neu analysieren.
  • Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.
__________________
cheers,
Leo

Alt 28.06.2013, 19:34   #9
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Ja ok! Danke!
Wenn die mich jetzt bei der Bank fragen was auf dem Rechner war, was kann ich denen dann sagen?

Alt 28.06.2013, 19:41   #10
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Zitat:
Wenn die mich jetzt bei der Bank fragen was auf dem Rechner war, was kann ich denen dann sagen?
Ein Zeus/Zbot/Citadel. Im Moment der Klassiker unter der Banking Malware.
Hier noch die Spuren im Log:
Code:
ATTFilter
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Tikuidra] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe (Oddybagi)
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Yvne
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ucof
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov

Wir sind noch nicht fertig. Hast du den Link zur VT-Analyse?
__________________
cheers,
Leo

Alt 28.06.2013, 20:00   #11
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Zitat:
Zitat von aharonov Beitrag anzeigen
Ein Zeus/Zbot/Citadel. Im Moment der Klassiker unter der Banking Malware.
Hier noch die Spuren im Log:
Code:
ATTFilter
O4 - HKU\S-1-5-21-1085031214-963894560-839522115-1003..\Run: [Tikuidra] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov\obyp.exe (Oddybagi)
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Yvne
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ucof
[2013.06.24 13:09:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Tuwov

Wir sind noch nicht fertig. Hast du den Link zur VT-Analyse?
Da steht jetzt schon seit geraumer Zeit:

Datei wird hochgeladen...

Bitte warten Sie und schließen das Fenster nicht, bis der Upload fertig ist.

Die Zeit, die für diesen Vorgang benötigt wird, hängt von der Dateigröße, der Netzauslastung und Ihrer Verbindungsgeschwindigkeit ab.

Berechne Hash...

Alt 28.06.2013, 20:01   #12
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Ah, das hat sich aufgehängt, kommt schon mal vor. Das sollte nicht ganz so lange dauern.
Brich den Vorgang ab und versuch es nochmals.
__________________
cheers,
Leo

Alt 28.06.2013, 20:10   #13
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Zitat:
Zitat von aharonov Beitrag anzeigen
Ah, das hat sich aufgehängt, kommt schon mal vor. Das sollte nicht ganz so lange dauern.
Brich den Vorgang ab und versuch es nochmals.
Tut mir leid, aber hängt sich jedesmal auf. Gibt es eine Alternative?

Ich habe einfach mal eine andere Datei mit VT hochgeladen. Geht sofort! Woran kann das liegen?
Geändert von MisterMint (28.06.2013 um 20:31 Uhr)

Alt 28.06.2013, 20:43   #14
aharonov
/// TB-Ausbilder
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Zitat:
Woran kann das liegen?
Wohl weil die andere Datei relativ gross ist. Und VT im Moment allgemein grad etwas zäh läuft, bei mir geht's auch länger als sonst..

Versuch es sonst mal bei jotti.
__________________
cheers,
Leo

Alt 28.06.2013, 20:52   #15
MisterMint
 
Sparkassen-Trojaner - Online Banking gesperrt - Standard

Sparkassen-Trojaner - Online Banking gesperrt


Da steht: Senden der Anfrage an Jotti. Aber tut sich nichts, also die Datei wird nicht hochgeladen. Kann es sein dass mit der Datei was nicht stimmt? Die Datei ist nur 2,04 MB groß!
Habe auch den Virenscanner abgeschaltet, geht trotzdem nicht ...

Malwarebytes Anti-Malware (MBAM) Chameleon z.b. hat nichts mehr angezeigt. Infizierte Objekte: 0. Wovon kann man jetzt ausgehen? Danke!
Geändert von MisterMint (28.06.2013 um 21:10 Uhr)

Antwort
Seite 1 von 3 1 23

Themen zu Sparkassen-Trojaner - Online Banking gesperrt
besitzer, browser, datei, dateien, desktop, e-banking, einloggen, einstellungen, explorer, firefox, gelöscht, gesperrt, internet, internet browser, internet explorer, löschen, microsoft, mozilla, mywebsearch, online-banking, ordner, programme, rechner, registrierungsdatenbank, service pack 3, sparkasse, trojaner, windows, windows xp


« Neue Art von Polizeivirus - Neustarten im Abgesicherten Modus nicht möglich | Exploit:Java/CVE-2013 etc. »


Ähnliche Themen: Sparkassen-Trojaner - Online Banking gesperrt


  1. Online-Banking-Account gesperrt - Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.09.2015 (25)
  2. Sparkassen Trojaner Online Banking
    Log-Analyse und Auswertung - 11.05.2013 (13)
  3. Sparkassen Online Banking Virus
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (19)
  4. Online Banking gesperrt durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (3)
  5. Trojaner-Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  6. Online-Banking gesperrt wegen torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (22)
  7. Online-Banking gesperrt : Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (27)
  8. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (25)
  9. Online Banking Volksbank gesperrt, wegen Trojaner !
    Plagegeister aller Art und deren Bekämpfung - 15.07.2011 (1)
  10. Ebenfalls Trojaner an Bord - Online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (11)
  11. Online Banking Gesperrt wegen Verdacht auf Trojaner
    Log-Analyse und Auswertung - 13.07.2011 (7)
  12. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (33)
  13. Trojaner verlangt beim Sparkassen-Online-banking 100 Tan-Nummern
    Log-Analyse und Auswertung - 01.05.2011 (7)
  14. Online-Banking gesperrt - Trojaner Gozi?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (18)
  15. Gozi-Trojaner Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (8)
  16. Trojaner möchte 40 Tans zum Sparkassen Online Banking
    Plagegeister aller Art und deren Bekämpfung - 03.08.2010 (16)
  17. Sparkassen Online Banking Umsätze laden nicht
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Sparkassen-Trojaner - Online Banking gesperrt - Hallo, ich wollte mich eben im Sparkasse-Online-Banking einloggen, da kam die Meldung "gesperrt". Nach einem Anruf bei der Sparkasse hieß es, ich habe einen Trojaner auf dem Rechner, solle diesen - Sparkassen-Trojaner - Online Banking gesperrt...
Archiv
Du betrachtest: Sparkassen-Trojaner - Online Banking gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55