--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2006-06-20 unins000.exe (51.41.0.0)
2009-09-09 unins001.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-09-07 advcheck.dll (1.6.4.18)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2009-10-08 Includes\Adware.sbi
2009-10-13 Includes\AdwareC.sbi
2009-01-22 Includes\Cookies.sbi
2009-10-14 Includes\Dialer.sbi
2009-10-13 Includes\DialerC.sbi
2009-01-22 Includes\HeavyDuty.sbi
2009-05-26 Includes\Hijackers.sbi
2009-10-13 Includes\HijackersC.sbi
2009-09-29 Includes\Keyloggers.sbi
2009-10-06 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2009-10-13 Includes\Malware.sbi
2009-10-14 Includes\MalwareC.sbi
2009-03-25 Includes\PUPS.sbi
2009-10-13 Includes\PUPSC.sbi
2009-01-22 Includes\Revision.sbi
2009-01-13 Includes\Security.sbi
2009-10-13 Includes\SecurityC.sbi
2008-06-03 Includes\Spybots.sbi
2008-06-03 Includes\SpybotsC.sbi
2009-10-13 Includes\Spyware.sbi
2009-10-13 Includes\SpywareC.sbi
2009-06-08 Includes\Tracks.uti
2009-10-06 Includes\Trojans.sbi
2009-10-14 Includes\TrojansC.sbi
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll


--- System information ---
Windows XP (Build: 2600) Service Pack 2 (5.1.2600)
/ .NETFramework / 1.0: Microsoft .NET Framework 1.0 Service Pack 3 (KB867461)
/ .NETFramework / 1.1: Microsoft .NET Framework 1.1 Hotfix (KB928366)
/ .NETFramework / 1.1: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
/ MSXML4SP2: FIX: ASP stops responding when calling Response.Redirect to another server using msxml4 sp2
/ MSXML4SP2: Security update for MSXML4 SP2 (KB954430)
/ Windows Media Player 6.4: Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
/ Windows Media Player 9: Sicherheitsupdate für Windows Media Player 9 (KB917734)
/ Windows XP: Sicherheitsupdate für Windows XP (KB923689)
/ Windows XP: Sicherheitsupdate für Windows XP (KB941569)
/ Windows XP / SP3: Windows XP-Hotfix - KB873339
/ Windows XP / SP3: Windows XP-Hotfix - KB885835
/ Windows XP / SP3: Windows XP-Hotfix - KB885836
/ Windows XP / SP3: Windows XP-Hotfix - KB885884
/ Windows XP / SP3: Windows XP-Hotfix - KB886185
/ Windows XP / SP3: Windows XP-Hotfix - KB888302
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB890046)
/ Windows XP / SP3: Windows XP-Hotfix - KB890859
/ Windows XP / SP3: Windows XP-Hotfix - KB891781
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB893756)
/ Windows XP / SP3: Windows Installer 3.1 (KB893803)
/ Windows XP / SP3: Update für Windows XP (KB894391)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB896358)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB896423)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB896424)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB896428)
/ Windows XP / SP3: Update für Windows XP (KB898461)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB899587)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB899589)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB899591)
/ Windows XP / SP3: Update für Windows XP (KB900485)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB900725)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB901017)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB901214)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB902400)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB904706)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB905414)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB905749)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB908519)
/ Windows XP / SP3: Update für Windows XP (KB908531)
/ Windows XP / SP3: Update für Windows XP (KB910437)
/ Windows XP / SP3: Update für Windows XP (KB911280)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB911562)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB911567)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB911927)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB912919)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB913580)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB914388)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB914389)
/ Windows XP / SP3: Update für Windows XP (KB916595)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB917159)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB917344)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB917422)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB917953)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB918118)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB918439)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB918899)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB919007)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB920213)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB920214)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB920670)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB920683)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB920685)
/ Windows XP / SP3: Update für Windows XP (KB920872)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB921398)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB921883)
/ Windows XP / SP3: Update für Windows XP (KB922582)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB922616)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB922760)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB922819)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB923191)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB923414)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB923694)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB923980)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB924191)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB924270)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB924496)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB924667)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB925454)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB925486)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB926255)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB926436)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB927779)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB927802)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB928090)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB928255)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB928843)
/ Windows XP / SP3: Update für Windows XP (KB929338)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB929969)
/ Windows XP / SP3: Update für Windows XP (KB931836)
/ Windows XP / SP3: Sicherheitsupdate für Windows XP (KB944338-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB938464)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950762)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950974)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951066)
/ Windows XP / SP4: Update für Windows XP (KB951072-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951376-v2)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951698)
/ Windows XP / SP4: Hotfix für Windows XP (KB952287)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952954)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954211)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB955069)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956390)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956391)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956803)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956841)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957095)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957097)
/ Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958644)
/ XML Paper Specification Shared Components Pack 1.0: XML Paper Specification Shared Components Pack 1.0

[...]

[...]

--- Startup entries list ---
Located: HK_LM:Run, Adobe Reader Speed Launcher
command: "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
file: C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
size: 35696
MD5: 452FA961163EF4AEE4815796A13AB2CF

Located: HK_LM:Run, a-squared
command: "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
file: C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
size: 3278480
MD5: DC9568B11158249B7A15DF0A3A7B92C2

Located: HK_LM:Run, avgnt
command: "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
file: C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
size: 266497
MD5: 6E812818306D460D62B4ABEA9FDC6679

Located: HK_LM:Run, Malwarebytes Anti-Malware (reboot)
command: "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
file: C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
size: 1312080
MD5: C5FCC0B761069FABD59E41B7C3280DDF

Located: HK_LM:Run, NVRaidService
command: C:\WINDOWS\system32\nvraidservice.exe
file: C:\WINDOWS\system32\nvraidservice.exe
size: 84480
MD5: 48264A915E7356E2B06D9ABAF74DEE93

Located: HK_LM:RunOnce, SpybotDeletingA9570
command: command.com /c del "C:\WINDOWS\system32\lowsec\user.ds"
file: command.com /c del "C:\WINDOWS\system32\lowsec\user.ds"
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:RunOnce, SpybotDeletingC3321
command: cmd.exe /c del "C:\WINDOWS\system32\lowsec\local.ds"
file: C:\WINDOWS\system32\cmd.exe
size: 401408
MD5: 283433A9DD6C0877DBE0E55A6908EA80

Located: HK_LM:RunOnce, SpybotDeletingC496
command: cmd.exe /c del "C:\WINDOWS\system32\lowsec\user.ds"
file: C:\WINDOWS\system32\cmd.exe
size: 401408
MD5: 283433A9DD6C0877DBE0E55A6908EA80

Located: HK_LM:RunOnce, SpybotSnD
command: "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
file: C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 5365592
MD5: 0477C2F9171599CA5BC3307FDFBA8D89

Located: HK_LM:RunOnce, WIAWizardMenu
command: RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
file: C:\WINDOWS\system32\sti_ci.dll
size: 137216
MD5: BF70EA5D04AE5579D85D9D2AC119EBE4

Located: HK_LM:Run, ATICCC (DISABLED)
command: "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
file: C:\Programme\ATI Technologies\ATI.ACE\cli.exe
size: 32768
MD5: C7980E02A2A2F53CD6903668F38F347B

Located: HK_LM:Run, BDNewsAgent (DISABLED)
command: "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
file: c:\progra~1\softwin\bitdef~1\bdnagent.exe
size: 8192
MD5: 641E3F9E3BD0856EB6C8F88F318DF4D4

Located: HK_LM:Run, DNS7reminder (DISABLED)
command: "D:\01_Office\06_Büro\Nuance Dragon Naturally Speaking v10\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking10\Ereg.ini
file: D:\01_Office\06_Büro\Nuance Dragon Naturally Speaking v10\Ereg\Ereg.exe
size: 259624
MD5: 32E0D290A7709D494A45CC25CCCBD5FC

Located: HK_LM:Run, FirefaceMixTray (DISABLED)
command: firefacemix.exe
file: C:\WINDOWS\system32\firefacemix.exe
size: 306176
MD5: 49D1D419CD0C9322C15CF332190A4450

Located: HK_LM:Run, FirefaceTray (DISABLED)
command: fireface.exe
file: C:\WINDOWS\system32\fireface.exe
size: 74240
MD5: DAEED205765F03DDF12EEFC229FD9E1A

Located: HK_LM:Run, FreePDF Assistant (DISABLED)
command: C:\Programme\FreePDF_XP\fpassist.exe
file: C:\Programme\FreePDF_XP\fpassist.exe
size: 310272
MD5: 4F77C879D2A5491CBD2A8F40E5B2341B

Located: HK_LM:Run, HP Software Update (DISABLED)
command: C:\Programme\HP\HP Software Update\HPWuSchd2.exe
file: C:\Programme\HP\HP Software Update\HPWuSchd2.exe
size: 49152
MD5: 926A397334FE426A6C7657096FE681DB

Located: HK_LM:Run, Inst (DISABLED)
command: C:\WINDOWS\System\Inst.exe install
file: C:\WINDOWS\System\Inst.exe
size: 20480
MD5: 0F8273724074DC928ACB65A6259AACB3

Located: HK_LM:Run, ISUSPM Startup (DISABLED)
command: C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
file: C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
size: 221184
MD5: A379B75A6FFE4DFD3184F35F0141CE91

Located: HK_LM:Run, ISUSScheduler (DISABLED)
command: "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
file: C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
size: 81920
MD5: D2AEADFD998706B4216315B2BD3FA79E

Located: HK_LM:Run, KernelFaultCheck (DISABLED)
command: %systemroot%\system32\dumprep 0 -k
file: C:\WINDOWS\system32\dumprep 0 -k
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, MMReminderService (DISABLED)
command: D:\01_Office\06_Büro\03_Planung\MindManager v6\MMReminderService.exe
file: D:\01_Office\06_Büro\03_Planung\MindManager v6\MMReminderService.exe
size: 28672
MD5: 7661EAD571CBA5DA6CF422ED26B6C3E7

Located: HK_LM:Run, NWEReboot (DISABLED)
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, pdfSaver3 (DISABLED)
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, PinnacleDriverCheck (DISABLED)
command: C:\WINDOWS\system32\PSDrvCheck.exe
file: C:\WINDOWS\system32\PSDrvCheck.exe
size: 406016
MD5: 60D67B9D07FA29B01466C664CDEEC334

Located: HK_LM:Run, QuickTime Task (DISABLED)
command: "C:\Programme\QuickTime\qttask.exe" -atboottime
file: C:\Programme\QuickTime\qttask.exe
size: 286720
MD5: 49CCFBE5D5225B9D3CC78C09DEE147D0

Located: HK_LM:Run, RMETray (DISABLED)
command: digi96.exe
file: C:\WINDOWS\system32\digi96.exe
size: 86016
MD5: CA427DD4A3C31E15885AC88F66321F61

Located: HK_LM:Run, ScanSoft OmniPage 16-reminder (DISABLED)
command: "D:\01_Office\10_OCR\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
file: D:\01_Office\10_OCR\OmniPage16\Ereg\Ereg.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:Run, SSBkgdUpdate (DISABLED)
command: "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
file: C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
size: 210472
MD5: 846965AE55A2662B1576C0F392DD1D6E

Located: HK_LM:Run, TkBellExe (DISABLED)
command: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
file: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
size: 185896
MD5: 89D583FC41D48328128A974C25AFAEB7

Located: HK_LM:Run, WindowsServicesStartup (DISABLED)
command: C:\DOKUME~1\[Name]\LOKALE~1\Temp\svchost.exe 1
file: C:\DOKUME~1\[Name]\LOKALE~1\Temp\svchost.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_LM:RunOnce, WIAWizardMenu (DISABLED)
command: RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
file: C:\WINDOWS\system32\sti_ci.dll
size: 137216
MD5: BF70EA5D04AE5579D85D9D2AC119EBE4

Located: HK_CU:Run, ATICCC
where: .DEFAULT...
command: "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
file: C:\Programme\ATI Technologies\ATI.ACE\cli.exe
size: 32768
MD5: C7980E02A2A2F53CD6903668F38F347B

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: .DEFAULT...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-19...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-20...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:Run, EA Core
where: S-1-5-21-1229272821-602609370-839522115-1003...
command: "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
file: C:\Programme\Electronic Arts\EADM\Core.exe
size: 3342336
MD5: 13BB437592082C824588C17D5409B083

Located: HK_CU:Run, SpybotSD TeaTimer
where: S-1-5-21-1229272821-602609370-839522115-1003...
command: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 2260480
MD5: 390679F7A217A5E73D756276C40AE887

Located: HK_CU:Run, OpAgent (DISABLED)
where: S-1-5-21-1229272821-602609370-839522115-1003...
command: "OpAgent.exe" /agent
file: OpAgent.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, pdfSaver3 (DISABLED)
where: S-1-5-21-1229272821-602609370-839522115-1003...
command: "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
file: C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
size: 380928
MD5: 55C0EA353D6C7A526B7BBCE969D2CE41

Located: HK_CU:Run, THReminderVoll (DISABLED)
where: S-1-5-21-1229272821-602609370-839522115-1003...
command: E:\temp\01 - Downloads\02_Office-Tools\Desktop Reminder 2.5\Desktop Reminder.exe
file: E:\temp\01 - Downloads\02_Office-Tools\Desktop Reminder 2.5\Desktop Reminder.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-21-1229272821-602609370-839522115-500...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: HK_CU:RunOnce, NeroHomeFirstStart (DISABLED)
where: S-1-5-21-1229272821-602609370-839522115-500...
command: C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
file: C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
size: 10752
MD5: B8FE84E986AA626B83E131A801FC43D3

Located: HK_CU:Run, ATICCC
where: S-1-5-18...
command: "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
file: C:\Programme\ATI Technologies\ATI.ACE\cli.exe
size: 32768
MD5: C7980E02A2A2F53CD6903668F38F347B

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
where: S-1-5-18...
command: C:\WINDOWS\system32\CTFMON.EXE
file: C:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 7CE20569925DF6789C31799F0C538F29

Located: Startup (deaktiviert), Adobe Gamma Loader.exe (DISABLED)
command: C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
file: C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
size: 110592
MD5: 5CD0CD0EC4DC5DF459B3AC016764F5AA

Located: Startup (deaktiviert), Adobe Gamma Loader (DISABLED)
command: C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
file: C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
size: 110592
MD5: 5CD0CD0EC4DC5DF459B3AC016764F5AA

Located: Startup (deaktiviert), Adobe Reader - Schnellstart (DISABLED)
command: C:\PROGRA~1\Adobe\READER~1.0\Reader\READER~1.EXE
file: C:\PROGRA~1\Adobe\READER~1.0\Reader\READER~1.EXE
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Startup (deaktiviert), Adobe Reader Synchronizer (DISABLED)
command: C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE
file: C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: Startup (deaktiviert), ATI CATALYST System Tray (DISABLED)
command: C:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.exe SystemTray
file: C:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.exe
size: 32768
MD5: C7980E02A2A2F53CD6903668F38F347B

Located: Startup (deaktiviert), Microsoft Office (DISABLED)
command: D:\01_OFF~1\01_MIC~1\Office\OSA9.EXE -b -l
file: D:\01_OFF~1\01_MIC~1\Office\OSA9.EXE
size: 65588
MD5: 9EF897496163C9B295CFCD37908B2DA1

Located: Startup (deaktiviert), CodeMeter Control Center (DISABLED)
command: C:\PROGRA~1\CODEME~1\Runtime\bin\CODEME~2.EXE
file: C:\PROGRA~1\CODEME~1\Runtime\bin\CODEME~2.EXE
size: 4984832
MD5: 8E3CC6836BB5F9C2CF930D961F3DB8F0

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
file: Ati2evxx.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!



--- Browser helper object list ---
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} (AcroIEHelperStub)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name: AcroIEHelperStub
CLSID name: Adobe PDF Link Helper
Path: C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\
Long name: AcroIEHelperShim.dll
Short name: ACROIE~2.DLL
Date (created): 27.02.2009 13:07:26
Date (last access): 19.10.2009 18:58:32
Date (last write): 27.02.2009 13:07:26
Filesize: 75128
Attributes: archive
MD5: 5CF6190CD875DA6B35256FEE573E7908
CRC32: 764BA81B
Version: 9.1.0.163

{53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Spybot-S&D IE Protection
description: Spybot-S&D IE Browser plugin
classification: Legitimate
known filename: SDhelper.dll
info link: http://spybot.eon.net.au/
info source: Patrick M. Kolla
Path: C:\PROGRA~1\SPYBOT~1\
Long name: SDHelper.dll
Short name:
Date (created): 09.09.2009 12:11:44
Date (last access): 19.10.2009 21:53:46
Date (last write): 26.01.2009 15:31:02
Filesize: 1879896
Attributes: archive
MD5: 022C2F6DCCDFA0AD73024D254E62AFAC
CRC32: 5BA24007
Version: 1.6.2.14

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Java(tm) Plug-In SSV Helper
Path: C:\Programme\Java\jre6\bin\
Long name: ssv.dll
Short name:
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 18:53:22
Date (last write): 04.11.2008 11:33:58
Filesize: 320920
Attributes: archive
MD5: DC090E320775F1B1FE896F6E1D393D7F
CRC32: 068B5AFC
Version: 6.0.100.33

{AE7CD045-E861-484f-8273-0445EE161910} (AcroIEToolbarHelper Class)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: AcroIEToolbarHelper Class
description: Adobe Acrobat
classification: Legitimate
known filename: AcroIEFavClient.dll
info link: http://www.adobe.com/products/acrobatpro/main.html
info source: TonyKlein
Path: C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\
Long name: AcroIEFavClient.dll
Short name: ACROIE~1.DLL
Date (created): 15.05.2003 02:03:46
Date (last access): 19.10.2009 19:06:02
Date (last write): 15.05.2003 02:03:46
Filesize: 147456
Attributes: archive
MD5: 44BCFF08947790E74BD7CC7532D2B793
CRC32: 0C91890B

{DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name:
CLSID name: Java(tm) Plug-In 2 SSV Helper
Path: C:\Programme\Java\jre6\bin\
Long name: jp2ssv.dll
Short name:
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 18:53:20
Date (last write): 04.11.2008 11:33:58
Filesize: 34816
Attributes: archive
MD5: 27771CDC5D464818C8F92356AE840A6F
CRC32: B0BC1BD4
Version: 6.0.100.33

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} (JQSIEStartDetectorImpl)
location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
BHO name: JQSIEStartDetectorImpl
CLSID name: JQSIEStartDetectorImpl Class
Path: C:\Programme\Java\jre6\lib\deploy\jqs\ie\
Long name: jqs_plugin.dll
Short name: JQS_PL~1.DLL
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 18:53:18
Date (last write): 04.11.2008 11:33:58
Filesize: 73728
Attributes: archive
MD5: 8F206275452A3668097A7A26F62A7127
CRC32: 44B85557
Version: 6.0.100.33

[...]

[...]

--- ActiveX list ---
{166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control)
DPF name:
CLSID name: Shockwave ActiveX Control
Installer: C:\WINDOWS\Downloaded Program Files\swdir.inf
Codebase: http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
description: Macromedia ShockWave Flash Player 7
classification: Legitimate
known filename: SWDIR.DLL
info link:
info source: Patrick M. Kolla
Path: C:\WINDOWS\system32\Adobe\Director\
Long name: swdir.dll
Short name:
Date (created): 02.09.2008 15:22:56
Date (last access): 19.10.2009 18:10:30
Date (last write): 06.08.2008 16:30:48
Filesize: 202168
Attributes: archive
MD5: B8153BAD2E56C50B147867FA9DAEB095
CRC32: D52113FA
Version: 11.0.0.465

{17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool)
DPF name:
CLSID name: Windows Genuine Advantage Validation Tool
Installer: C:\WINDOWS\Downloaded Program Files\LegitCheckControl.inf
Codebase: http://go.microsoft.com/fwlink/?linkid=39204
description:
classification: Legitimate
known filename: LegitCheckControl.DLL
info link:
info source: Safer Networking Ltd.
Path: C:\WINDOWS\system32\
Long name: LegitCheckControl.DLL
Short name: LEGITC~1.DLL
Date (created): 24.04.2007 11:32:06
Date (last access): 19.10.2009 18:11:12
Date (last write): 20.03.2008 18:06:36
Filesize: 1480232
Attributes: archive
MD5: E058C4821D48E0A67F6069CB50818D44
CRC32: 3513AE02
Version: 1.7.69.2

{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object)
DPF name:
CLSID name: CTVUAxCtrl Object
Installer: C:\WINDOWS\Downloaded Program Files\TVUAx.inf
Codebase: http://dl.tvunetworks.com/TVUAx.cab
description:
classification: Legitimate
known filename: TVUAx.dll
info link:
info source: Safer Networking Ltd.
Path: C:\WINDOWS\system32\TVUAx\
Long name: npTVUAx.dll

{4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class)
DPF name:
CLSID name: EPUImageControl Class
Installer: C:\WINDOWS\Downloaded Program Files\EPUWALcontrol.inf
Codebase: http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
description:
classification: Legitimate
known filename: EPUWalcontrol.dll
info link:
info source: Safer Networking Ltd.
Path: C:\WINDOWS\Downloaded Program Files\
Long name: EPUWALcontrol.dll
Short name: EPUWAL~1.DLL
Date (created): 15.06.2006 18:33:54
Date (last access): 19.10.2009 18:12:00
Date (last write): 26.09.2008 19:08:16
Filesize: 3204368
Attributes: archive
MD5: A2B9047463F1297403DEC0DE4DF2298A
CRC32: 1F64400B
Version: 1.0.27.0

{8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
description: Sun Java
classification: Legitimate
known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll
info link:
info source: Patrick M. Kolla
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 18:12:42
Date (last write): 04.11.2008 11:33:58
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} ()
DPF name:
CLSID name:
Installer: C:\WINDOWS\Downloaded Program Files\erma.inf
Codebase: http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
description:
classification: Open for discussion
known filename:
info link:
info source: Safer Networking Ltd.

{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2)
DPF name: Java Runtime Environment 1.4.2
CLSID name: Java Plug-in 1.4.2
Installer:
Codebase: http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
description:
classification: Legitimate
known filename: npjpi142.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\j2re1.4.2\bin\
Long name: NPJPI142.dll
Short name:
Date (created): 20.07.2007 23:06:42
Date (last access): 19.10.2009 18:07:40
Date (last write): 20.07.2007 23:06:42
Filesize: 65636
Attributes: archive
MD5: 4ACFBF6AB1BBE79DBD665C186B3B5AFD
CRC32: BE89D675
Version: 1.4.2.0

{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_04
Installer:
Codebase: http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab
description:
classification: Legitimate
known filename: npjpi150_04.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\jre1.5.0_04\bin\
Long name: NPJPI150_04.dll
Short name: NPJPI1~1.DLL
Date (created): 03.06.2005 03:52:58
Date (last access): 19.10.2009 18:10:24
Date (last write): 03.06.2005 04:09:54
Filesize: 69746
Attributes: archive
MD5: 8548FE98BD687F35AFD0AED9C2A2DEE3
CRC32: 4058FA1B
Version: 5.0.40.5

{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_06
Installer:
Codebase: http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
description:
classification: Legitimate
known filename: npjpi150_06.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\jre1.5.0_06\bin\
Long name: NPJPI150_06.dll
Short name: NPJPI1~1.DLL
Date (created): 02.03.2006 13:52:58
Date (last access): 19.10.2009 18:09:26
Date (last write): 10.11.2005 13:22:12
Filesize: 69746
Attributes: archive
MD5: D2CF6BB5E9020E6707B62575F8083954
CRC32: 7F39DC54
Version: 5.0.60.5

{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_09
Installer:
Codebase: http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
description:
classification: Legitimate
known filename: NPJPI150_09.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\jre1.5.0_09\bin\
Long name: NPJPI150_09.dll
Short name: NPJPI1~1.DLL
Date (created): 12.10.2006 04:10:58
Date (last access): 19.10.2009 18:08:00
Date (last write): 12.10.2006 04:25:44
Filesize: 69746
Attributes: archive
MD5: A3CDEB59B6B8C2EA81B9ED2D3EF4C95E
CRC32: 2A32A9A2
Version: 5.0.90.3

{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 21:53:48
Date (last write): 04.11.2008 11:33:58
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0)
DPF name: Java Runtime Environment 1.6.0
CLSID name: Java Plug-in 1.6.0_10
Installer:
Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab
description:
classification: Legitimate
known filename: npjpi150_06.dll
info link:
info source: Safer Networking Ltd.
Path: C:\Programme\Java\jre6\bin\
Long name: npjpi160_10.dll
Short name: NPJPI1~1.DLL
Date (created): 04.11.2008 11:33:58
Date (last access): 19.10.2009 21:53:48
Date (last write): 04.11.2008 11:33:58
Filesize: 132504
Attributes: archive
MD5: 3CEF7A7DE0D5141E016A862B1D86B1CD
CRC32: CC232AC8
Version: 6.0.100.33

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
DPF name:
CLSID name: Shockwave Flash Object
Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf
Codebase: http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
description: Macromedia Shockwave Flash Player
classification: Legitimate
known filename:
info link:
info source: Patrick M. Kolla
Path: C:\WINDOWS\system32\Macromed\Flash\
Long name: Flash10b.ocx
Short name:
Date (created): 03.02.2009 04:07:18
Date (last access): 19.10.2009 17:54:20
Date (last write): 03.02.2009 04:07:18
Filesize: 3866528
Attributes: readonly archive
MD5: 8AFC17155ED5AB60B7C52D7F553D579C
CRC32: 0FBC13F3
Version: 10.0.22.87



--- Process list ---
PID: 0 ( 0) [System]
PID: 676 ( 4) \SystemRoot\System32\smss.exe
size: 50688
PID: 756 ( 676) \??\C:\WINDOWS\system32\csrss.exe
size: 6144
PID: 788 ( 676) \??\C:\WINDOWS\system32\winlogon.exe
size: 507392
PID: 832 ( 788) C:\WINDOWS\system32\services.exe
size: 108544
MD5: EDB6B81761BD60F32F740BBC40AFB676
PID: 844 ( 788) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: 183805EB05BCA5A1E4AAAED4D2BE3690
PID: 1000 ( 832) C:\WINDOWS\system32\Ati2evxx.exe
size: 598016
MD5: B8DBF155EAE86B1468FEEA472E94AEFB
PID: 1012 ( 832) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1076 ( 832) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1112 ( 832) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1164 ( 832) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1260 ( 788) C:\WINDOWS\system32\Ati2evxx.exe
size: 598016
MD5: B8DBF155EAE86B1468FEEA472E94AEFB
PID: 1336 ( 832) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1528 (1440) C:\WINDOWS\Explorer.EXE
size: 1035264
MD5: 22FE1BE02EADDE1632E478E4125639E0
PID: 1624 ( 832) C:\WINDOWS\system32\spoolsv.exe
size: 57856
MD5: DA81EC57ACD4CDC3D4C51CF3D409AF9F
PID: 1772 ( 832) C:\Programme\AntiVir PersonalEdition Classic\sched.exe
size: 68865
MD5: D6C8942BEA3698A2E7559BD423BFA5D7
PID: 1784 ( 832) C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
size: 151297
MD5: 335A142923FE7F97E8C8388ACD067568
PID: 1880 ( 832) C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
size: 2007040
MD5: C602AF4675C1147747E5B5CAC32FBD05
PID: 1908 ( 832) C:\WINDOWS\system32\crypserv.exe
size: 61440
MD5: B3C447CE4A4DB5F11B1010F060F2A965
PID: 276 ( 832) C:\Programme\Java\jre6\bin\jqs.exe
size: 152984
MD5: 5FD5865DC1A2100F8D4CF000EE5409A3
PID: 296 ( 832) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
size: 270336
MD5: 44CE5579514334B801EED77E8C618CD8
PID: 424 ( 832) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 616 ( 832) C:\WINDOWS\system32\wdfmgr.exe
size: 38912
MD5: C81B8635DEE0D3EF5F64B3DD643023A5
PID: 664 ( 832) C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
size: 69632
MD5: FE5C052FC82645F87139F6655B3C21E6
PID: 748 ( 832) C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
size: 69632
MD5: 4EF298F9218C61040A86ADE86AF3D9EB
PID: 1368 (1112) C:\WINDOWS\system32\wscntfy.exe
size: 13824
MD5: 7D3E0BEB62799112F5C9FF717D72BF29
PID: 1432 (1528) C:\WINDOWS\system32\nvraidservice.exe
size: 84480
MD5: 48264A915E7356E2B06D9ABAF74DEE93
PID: 3148 ( 832) C:\Programme\a-squared Anti-Malware\a2service.exe
size: 1858144
MD5: 0ADFA052C927F2A214133E4DF2EF5AB0
PID: 2624 (1528) C:\Programme\Outlook Express\msimn.exe
size: 60416
MD5: 2BA53E3D0EC9F43A156D31C6F5829243
PID: 2512 (1528) C:\Programme\a-squared Anti-Malware\a2guard.exe
size: 3278480
MD5: DC9568B11158249B7A15DF0A3A7B92C2
PID: 3384 (1528) C:\Programme\Internet Explorer\IEXPLORE.EXE
size: 93184
MD5: B39A6AF04A431E317C85BF061719E705
PID: 1536 (1528) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
size: 5365592
MD5: 0477C2F9171599CA5BC3307FDFBA8D89
PID: 4 ( 0) System


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 19.10.2009 21:53:46

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
http://www.google.com/ie
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.google.de/
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\@
http://www.google.com/keyword/%s
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD Irda [IrDA]
GUID: {3972523D-2AF1-11D1-B655-00805F3642CC}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Infrared protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Irda [IrDA]

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3C437F47-848E-49EE-8977-3164CF79E16D}] SEQPACKET 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{3C437F47-848E-49EE-8977-3164CF79E16D}] DATAGRAM 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{29473F36-CFD2-4277-8AEF-36E17B8CA20B}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{29473F36-CFD2-4277-8AEF-36E17B8CA20B}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9F58CC77-5540-4919-96A6-8A5F6E2B93E3}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9F58CC77-5540-4919-96A6-8A5F6E2B93E3}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2F276EEB-64FD-4B29-96B7-DCCF449B2CE9}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2F276EEB-64FD-4B29-96B7-DCCF449B2CE9}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9641C66C-7D7D-4311-A2E0-9E51FA57F85C}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 15: MSAFD NetBIOS [\Device\NetBT_Tcpip_{9641C66C-7D7D-4311-A2E0-9E51FA57F85C}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2990
Windows 5.1.2600 Service Pack 2

19.10.2009 23:04:28
mbam-log-2009-10-19 (23-04-28).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 112938
Laufzeit: 34 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

=============================================

Während des Scans mit Malwarebytes zeigte mir AntiVir jedoch folgende Funde an:

AntiVir Guard: Achtung, Fund!

C:\Dokumente und Einstellungen\[Name]\...\cran.cvd
Enthält Erkennungsmuster des Trivial-28 [A]-Virus


AntiVir Guard: Achtung, Fund!

C:\Dokumente und Einstellungen\[Name]\...\cran.cvd
Enthält Erkennungsmuster des HTMLScriptvirus HTML/Silly.Gen

schritt 1

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

schritt 2

Rootkitsuche mit Avira AntiRootkit

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

schritt 3

Lade dir F-Secure Blacklight herunter

• Installiere es in C:\Programme\Blacklight
• Trenne dich von Netz(W-Lan nicht vergessen)
• Deaktiviere alle laufenden Virenscanner etc
• Schließe alle offenen Programme und starte es durch klick auf die fsbl.exe
• Klicke auf i accept the agreement-->Next-->Scan
• nach dem Scan klicke auf Close
• Die Logfile fsbl.xxx.log wird unter dem Blacklight Verzeichnis gespeichert
• Bitte posten

AntiVir Programme einschalten nicht vergessen bevor du ins Netz gehst


Bitte poste in Deiner nächsten Antwort
Logfile von Rootrepeal
Logfile von Avira Anti Rootkit
Logfile von F-secure

Der erste Schritt lässt sich bei mir nicht durchführen:
Beim Rootkitscan mit RootRepeal stürzt der Rechner jedesmal ab.

Zuerst zeigt ein Dauerleuchten der LED für CPU-Auslastung am Tower an, dass RootRepeal die CPU lahmlegt, dann folgt irgendwann der typische blue screen - auch ein Herabsetzen der Priorität im Task-Manager bringt keinen Unterschied. Sobald der Scan in RootRepeal gestartet wird, komme ich auch nicht mehr in den Task-Manager, weil die CPU durch das Tool komplett blockiert wird.

Kann ich auch RootRepeal weglassen und stattdessen sofort Schritte 2 und 3 des letzten Tipps durchführen?!?

Danke schonmal soweit ...


Gruß,

Molto

Muss ich mal mit dem Author reden. Kommt in letzter Zeit oft vor.

Ja bitte mit Schritt 2 und 3 fortfahren.

Oh!

Wenn ich die Avira AntiRootkit-Datei wie von Dir vorgegeben entpacke und die darin befindliche Datei avirarkd.exe auf dem Desktop zum Ausführen doppelklicke, kommt die Fehlermeldung

"Diese Anwendung konnte nicht gestartet werden, weil die Anwendungskonfiguration nicht korrekt ist. Zur Problembehebung sollten Sie die Anwendung neu installieren."

Was läuft hier falsch? / Was tun?
Ebenfalls weglassen und direkt mit Blacklight weitermachen?

Der PC macht mich fertig. :/

Rootkit mit AVZ Antiviral-Toolkit entfernen

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVZPM
• Dort aud "Install extended monitoring driver" drücken
• AVZ wird nun einen Neustart verlangen, also neustarten.
• Setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Enable malware removal mode:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.

> Der PC macht mich fertig. :/
[Zynikmodus an] Na, dann: Willkommen im Club. :-) [Zynikmodus aus]

Das Logfile sieht selbst für mich als Laien schon übel aus ...

- Trojan.Win32.Buzus.chfk
- Trojan.Kyjak
- Trojan.Win32.Obfuscated.gx

Aber sieh' besser selbst:



AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 21.10.2009 11:52:41
Database loaded: signatures - 245798, NN profile(s) - 2, malware removal microprograms - 56, signature database released 20.10.2009 20:44
Heuristic microprograms loaded: 374
PVS microprograms loaded: 9
Digital signatures of system files loaded: 149422
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: enabled
Windows version is: 5.1.2600, Service Pack 2 ; AVZ is run with administrator rights
System Restore: Disabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=07B400)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 80552400
KiST = 8050121C (284)
Function NtCreateKey (29) intercepted (80618F32->B9EA80E0), hook spfv.sys
Function NtEnumerateKey (47) intercepted (80619772->B9EC6CA2), hook spfv.sys
Function NtEnumerateValueKey (49) intercepted (806199DC->B9EC7030), hook spfv.sys
Function NtOpenKey (77) intercepted (8061A2C8->B9EA80C0), hook spfv.sys
Function NtQueryKey (A0) intercepted (8061A5EC->B9EC7108), hook spfv.sys
Function NtQueryValueKey (B1) intercepted (80616FEC->B9EC6F88), hook spfv.sys
Function NtSetValueKey (F7) intercepted (806175F2->B9EC719A), hook spfv.sys
Functions checked: 284, intercepted: 7, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AFFB1F8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 8AFFB1F8 -> hook not defined
Checking - complete
2. Scanning RAM
Number of processes found: 33
Number of modules loaded: 308
Scanning RAM - complete
3. Scanning disks
C:\WINDOWS\Installer\2827b25.msi/{MS-OLE}/\49 >>> suspicion for Trojan.Win32.Buzus.chfk ( 00515340 08CD8ABD 001C13F0 001FD6D9 40960)
File quarantined succesfully (C:\WINDOWS\Installer\2827b25.msi)
C:\WINDOWS\Installer\2827c09.msi/{MS-OLE}/\123 >>> suspicion for Trojan.Win32.Buzus.chfk ( 004F362A 08CD8ABD 001C13F0 001FD6D9 40960)
File quarantined succesfully (C:\WINDOWS\Installer\2827c09.msi)
C:\WINDOWS\Installer\3890cd.msi/{MS-OLE}/\39 >>>>> Trojan.Kyjak
C:\WINDOWS\Installer\{3B94A56F-9FDA-46CC-A3B6-07613A84200B}\NewShortcut11_FE2DFC05CD1F4CCDB7A69854173E2F92.exe >>> suspicion for Trojan.Win32.Buzus.chfk ( 004F362A 08CD8ABD 001C13F0 001FD6D9 40960)
File quarantined succesfully (C:\WINDOWS\Installer\{3B94A56F-9FDA-46CC-A3B6-07613A84200B}\NewShortcut11_FE2DFC05CD1F4CCDB7A69854173E2F92.exe)
C:\WINDOWS\SoftwareDistribution\Download\95722b048b44feeb8b09afd7a4b3cf38\tdc.ocx >>> suspicion for Trojan.Win32.Obfuscated.gx ( 053750B3 01AEF965 0005F0DD 00218FA4 61440)
File quarantined succesfully (C:\WINDOWS\SoftwareDistribution\Download\95722b048b44feeb8b09afd7a4b3cf38\tdc.ocx)
Direct reading: C:\WINDOWS\system32\drivers\sptd.sys
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows ActiveX, not marked as safe
>>> Security: Internet Explorer allows unsigned ActiveX elements
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
Checking - complete
9. Troubleshooting wizard
>> Internet Explorer - ActiveX, not marked as safe, are allowed
>> Internet Explorer - unsigned ActiveX elements are allowed
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
>> Service termination timeout is out of admissible values
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 113727, extracted from archives: 74239, malicious software found 1, suspicions - 4
Scanning finished at 21.10.2009 12:04:40
Time of scanning: 00:12:00
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\Installer\2827c09.msi
         

Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Filter" klicken
• dann auf "Ergebnisse"
• das Ergebnis (wie Du es bekommst )
  komplett markieren und hier rein kopieren

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Blacklight findet nichts. :-)


10/21/09 19:40:21 [Info]: BlackLight Engine 2.2.1092 initialized
10/21/09 19:40:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/21/09 19:40:21 [Note]: 7019 4
10/21/09 19:40:21 [Note]: 7005 0
10/21/09 19:40:26 [Note]: 7006 0
10/21/09 19:40:26 [Note]: 7011 1972
10/21/09 19:40:26 [Note]: 7035 0
10/21/09 19:40:26 [Note]: 7026 0
10/21/09 19:40:26 [Note]: 7026 0
10/21/09 19:40:33 [Note]: FSRAW library version 1.7.1024
10/21/09 19:59:05 [Note]: 2000 1012
10/21/09 19:59:05 [Note]: 2000 1012
10/21/09 19:59:08 [Note]: 2000 1012
10/21/09 21:17:38 [Note]: 7007 0


Die Dateiüberprüfung führe ich dann jetzt mal durch ...

Auch VirusTotal findet nichts mehr.
Heißt das, dass der Rechner wieder "frisch" ist?!?


Datei 2827c09.msi empfangen 2009.10.21 19:23:45 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.21 -
AntiVir 7.9.1.42 2009.10.21 -
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.21 -
AVG 8.5.0.420 2009.10.21 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 -
ClamAV 0.94.1 2009.10.21 -
Comodo 2681 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.21 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.21 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.876 2009.10.21 -
Kaspersky 7.0.0.125 2009.10.21 -
McAfee 5778 2009.10.21 -
McAfee+Artemis 5778 2009.10.21 -
McAfee-GW-Edition 6.8.5 2009.10.21 -
Microsoft 1.5101 2009.10.21 -
NOD32 4530 2009.10.21 -
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.21 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 -
Rising 21.52.24.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 -
Sunbelt 3.2.1858.2 2009.10.21 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.21 -
weitere Informationen
File size: 9271808 bytes
MD5...: 117d4303ed241a84c3e19f0bd8124a3c
SHA1..: 04c9fe58821863d5280ea786dbd330de18db9b63
SHA256: 3fa04035f730ba676a375d1437de9a1c9b5e7be274598f339ec29a010de56f30
ssdeep: 98304:4saGH5pYyPFqfvdICmjjk4/hQioDK5tM/wiIFH1ere:OGH5lqfvdpmjxJQ
ioDKr4WFH1z

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Microsoft Windows Installer (92.7%)
Windows SDK Setup Transform Script (6.3%)
Generic OLE2 / Multistream Compound File (0.8%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

noch nit ganz

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Logfile of random's system information tool 1.06 (written by random/random)
Run by [Name] at 2009-10-21 22:56:47
Microsoft Windows XP Professional Service Pack 2
System drive C: has 73 MB (0%) free of 24 GB
Total RAM: 3455 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:54, on 21.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Dokumente und Einstellungen\[Name]\desktop\rsit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\[Name].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [SpybotDeletingC3321] cmd.exe /c del "C:\WINDOWS\system32\lowsec\local.ds"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9570] command.com /c del "C:\WINDOWS\system32\lowsec\user.ds"
O4 - HKLM\..\RunOnce: [SpybotDeletingC496] cmd.exe /c del "C:\WINDOWS\system32\lowsec\user.ds"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - Unknown owner - D:\01_Office\06_Büro\Abby Finereader v9.0\NetworkLicenseServer.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\04_DVD\01_Cut\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7467 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\New Task.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2008-11-04 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2008-11-04 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2008-11-04 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll [2003-05-15 147456]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"=C:\WINDOWS\system32\nvraidservice.exe [2004-12-07 84480]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-20 266497]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"a-squared"=C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe [2009-10-01 3278480]
" Malwarebytes Anti-Malware (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
"DWQueuedReporting"=C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe [2007-03-13 39264]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"=C:\WINDOWS\system32\sti_ci.dll [2004-08-04 137216]
"SpybotDeletingC3321"=cmd.exe /c del C:\WINDOWS\system32\lowsec\local.ds []
"SpybotDeletingA9570"=command.com /c del C:\WINDOWS\system32\lowsec\user.ds []
"SpybotDeletingC496"=cmd.exe /c del C:\WINDOWS\system32\lowsec\user.ds []
"SpybotSnD"=C:\Programme\Spybot - Search & Destroy\SpybotSD.exe [2009-01-26 5365592]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe [2009-09-03 3342336]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeVersionCue]
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe [2004-03-25 1732608]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-02-01 339968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BayReminder]
D:\01_Office\03_Internet\BayWatcher Pro\bayreminder.exe /a []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
C:\Programme\Softwin\BitDefender8\bdmcon.exe [2005-06-20 421888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
C:\Programme\Softwin\BitDefender8\bdnagent.exe [2005-05-09 8192]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe [2005-11-24 94208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
D:\01_Office\02_Burning Tools\CloneCD\CloneCDTray.exe [2005-05-19 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
D:\02_Audio\Programme\Medienplayer\iTunes\iTunesHelper.exe [2006-02-23 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2008-09-11 339240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2006-04-07 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe [2006-04-11 1409024]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PopUpStopperFreeEdition]
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe [2005-03-17 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2007-06-29 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
C:\WINDOWS\SOUNDMAN.EXE [2005-04-15 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2008-11-04 136600]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-04-22 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
C:\Programme\Save\Save.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2003-11-25 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE [2003-11-25 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\READER~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ATI CATALYST System Tray.lnk]
C:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.exe [2005-01-20 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
D:\01_OFF~1\01_MIC~1\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^[Name]^Startmenü^Programme^Autostart^CodeMeter Control Center.lnk]
C:\PROGRA~1\CODEME~1\Runtime\bin\CODEME~2.EXE [2007-03-23 4984832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2009-01-14 155648]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]