Trojaner TR/Crypt.BA' - mbam-scan 4 mal bluescreen

BADRAIN · 20.07.2010, 08:25

Moinsen,

ich habe auf meinem Arbeitsrechner den Trojaner TR/Crypt.BA' entdeckt. Dieser scheint schon ewig da zu sein weil das letzte Update igendwann letztes Jahr war und dieser Trojaner anscheinend jegliche Windows Updates verhindert. Ebenso geht mit Firefox bei diviersen Klicks auf Links sehr oft eine neue Seite im neuen Fenster auf, meist Google- oder Yahoo-Sucheseiten. Auch ist beim googlen jeder Klick auf das Suchergebnis ein unerwünschter Link, erst nach dem 3. Klick kommt die angewählte Seite. Das Öffen über Rechtsklick "im neuen Tab öffnen" funzt aber immer. IE ist davon auch betroffen.
Ich habe den Computer jetzt weitgehend gesäubert und von Viren befreit, allerdings bleibt es verhext, der Trojaner ist wie festgebissen.
Die Löschung mit xcleaner oder Killbox blieben erfolglos, ebenso in Quarantäe verschieben. Von Avira Antivir wird mir diese Malware immer wieder angezeigt.

Ich habe mich an die Punkte 1 - 7 zu halten versucht und im Forum nach möglichen Lösungen gesucht, auch die gewünschten Scans von ccleanner durchgeführt. Allerdings brach der Scan von Malwarebytes-Antimalware 4 mal mit Bluescreen ab und somit kann ich hier keinen Log posten.

RIST lief dann normal durch.

Zitat:

LOG TXT
Logfile of random's system information tool 1.08 (written by random/random)
Run by **** at 2010-07-20 07:39:59
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 40 GB (57%) free of 71 GB
Total RAM: 767 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 07:40:31, on 20.07.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wuauclt.exe
C:\Users\****\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\trend micro\Hinz.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.**************.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Programme\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Google Update Service (gupdate1c9dad620542c1) (gupdate1c9dad620542c1) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 7598 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-02-05 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-04-12 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-18 1008184]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-03-23 4423680]
"Acer Tour"= []
"Acer Empowering Technology Monitor"=C:\Acer\Empowering Technology\SysMonitor.exe [2007-01-24 319488]
"WarReg_PopUp"=C:\Acer\WR_PopUp\WarReg_PopUp.exe [2006-11-05 57344]
"eRecoveryService"= []
"Acer Tour Reminder"=C:\Acer\AcerTour\Reminder.exe [2007-02-15 151552]
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2008-03-03 959976]
"SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-02-18 248040]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-18 1233920]
"Acer Tour Reminder"=C:\Acer\AcerTour\Reminder.exe [2007-02-15 151552]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-18 125952]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-04-03 68856]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-18 202240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE
PCM Media Sharing.lnk - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe

C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
OpenOffice.org 3.0.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe"="C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu"
"C:\Acer\Empowering Technology\eDataSecurity\encryption.exe"="C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption"
"C:\Acer\Empowering Technology\eDataSecurity\decryption.exe"="C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2010-07-20 07:40:03 ----D---- C:\Program Files\trend micro
2010-07-20 07:39:58 ----D---- C:\rsit
2010-07-19 10:57:44 ----ASH---- C:\hiberfil.sys
2010-07-19 10:45:49 ----A---- C:\Windows\ntbtlog.txt
2010-07-19 10:14:25 ----D---- C:\Users\****\AppData\Roaming\Malwarebytes
2010-07-19 10:14:11 ----A---- C:\Windows\system32\drivers\mbamswissarmy.sys
2010-07-19 10:14:08 ----D---- C:\ProgramData\Malwarebytes
2010-07-19 10:14:07 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-07-19 10:14:07 ----A---- C:\Windows\system32\drivers\mbam.sys
2010-07-19 09:44:23 ----D---- C:\Program Files\CCleaner
2010-07-18 21:07:04 ----D---- C:\Program Files\X-Cleaner
2010-07-16 08:36:03 ----D---- C:\!KillBox
2010-07-15 12:13:23 ----D---- C:\Users\****\AppData\Roaming\Avira
2010-07-15 12:10:20 ----A---- C:\Windows\system32\drivers\ssmdrv.sys
2010-07-15 12:10:19 ----A---- C:\Windows\system32\drivers\avipbb.sys
2010-07-15 12:10:19 ----A---- C:\Windows\system32\drivers\avgntmgr.sys
2010-07-15 12:10:19 ----A---- C:\Windows\system32\drivers\avgntflt.sys
2010-07-15 12:10:19 ----A---- C:\Windows\system32\drivers\avgntdd.sys
2010-07-15 11:23:41 ----D---- C:\Program Files\Panda Security
2010-07-15 11:07:17 ----D---- C:\Windows\system32\URTTEMP
2010-07-15 11:04:23 ----D---- C:\LocalService
2010-07-15 10:57:27 ----D---- C:\AiO-Files

======List of files/folders modified in the last 1 months======

2010-07-20 07:40:16 ----D---- C:\Windows\Prefetch
2010-07-20 07:40:09 ----D---- C:\Windows\Temp
2010-07-20 07:40:03 ----RD---- C:\Program Files
2010-07-20 07:22:15 ----D---- C:\Windows\Internet Logs
2010-07-20 07:21:45 ----D---- C:\Windows\Tasks
2010-07-20 07:18:28 ----D---- C:\Windows\Minidump
2010-07-20 07:18:23 ----D---- C:\Windows
2010-07-20 06:48:49 ----D---- C:\Windows\System32
2010-07-19 20:10:14 ----D---- C:\ProgramData\Google Updater
2010-07-19 11:47:21 ----SHD---- C:\System Volume Information
2010-07-19 10:14:11 ----D---- C:\Windows\system32\drivers
2010-07-19 10:14:08 ----HD---- C:\ProgramData
2010-07-19 09:50:18 ----D---- C:\Windows\Debug
2010-07-19 07:18:59 ----D---- C:\Users\****\AppData\Roaming\ICQ
2010-07-17 22:36:18 ----D---- C:\Windows\system32\catroot2
2010-07-15 13:50:31 ----RSHD---- C:\resycled
2010-07-15 13:50:31 ----D---- C:\Program Files\Mozilla Firefox
2010-07-15 12:42:03 ----D---- C:\Windows\Microsoft.NET
2010-07-15 12:41:42 ----RSD---- C:\Windows\assembly
2010-07-15 11:15:23 ----SD---- C:\Users\****\AppData\Roaming\Microsoft
2010-07-15 11:10:46 ----SHD---- C:\Windows\Installer
2010-07-15 11:09:39 ----D---- C:\Windows\registration
2010-07-15 11:08:26 ----D---- C:\Windows\inf
2010-07-15 11:08:26 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-07-15 11:07:17 ----D---- C:\Program Files\Internet Explorer
2010-07-15 11:03:22 ----RSD---- C:\Windows\Fonts
2010-07-15 11:00:47 ----D---- C:\Windows\winsxs
2010-07-15 10:32:32 ----HD---- C:\Windows\system32\GroupPolicy
2010-07-06 07:12:59 ----D---- C:\Users\****\AppData\Roaming\Xfire
2010-06-21 08:37:14 ----D---- C:\Windows\system32\NDF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 AtiPcie;ATI PCI Express (3GIO) Filter; C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 8192]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2010-03-01 124784]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R1 Vsdatant;Zone Alarm Firewall Driver; C:\Windows\system32\DRIVERS\vsdatant.sys [2008-03-03 279440]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2010-02-16 60936]
R2 int15;int15; \??\C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 76584]
R2 zntport;NTPort Library Driver; \??\C:\Windows\system32\drivers\zntport.sys [2002-11-29 6560]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-14 2427392]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-03-26 1761696]
R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2007-05-07 6144]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-18 83328]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller; C:\Windows\system32\DRIVERS\yk60x86.sys [2007-12-06 298496]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-18 5632]
S3 dump_wmimmc;dump_wmimmc; \??\C:\maxga\SnowBoundOnline\GameGuard\dump_wmimmc.sys []
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-18 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-18 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-18 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-18 6016]
S3 NPPTNT2;NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [2005-01-04 4682]
S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-18 39936]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service; C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2007-04-04 266343]
R2 AcerMemUsageCheckService;ePerformance Service; C:\Acer\Empowering Technology\ePerformance\MemCheck.exe [2006-12-29 28672]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2010-04-01 267432]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-03-14 569344]
R2 eRecoveryService;eRecovery Service; C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe [2007-01-31 53248]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440]
R2 MSSQLSERVER;SQL Server (MSSQLSERVER); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2007-04-09 143360]
R2 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2007-02-10 89968]
R2 TeamViewer;TeamViewer 3; C:\Program Files\TeamViewer3\TeamViewer_Service.exe [2008-08-29 181544]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\System32\ZoneLabs\vsmon.exe [2008-03-03 79400]
S2 CLTNetCnService;Symantec Lic NetConnect service; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []
S2 gupdate1c9dad620542c1;Google Update Service (gupdate1c9dad620542c1); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-05-22 133104]
S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-23 183280]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-01-05 33800]
S3 usprserv;User Privilege Service; C:\Windows\System32\svchost.exe [2008-01-18 21504]
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2005-10-14 45272]
S4 SQLBrowser;SQL Server-Browser; C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2007-02-10 242544]

-----------------EOF-----------------

Zitat:

INFO TXT
info.txt logfile of random's system information tool 1.08 2010-07-20 07:40:37

======Uninstall list======

ACDSee 5.0 PowerPack-->MsiExec.exe /I{316B6021-BB9B-4200-BD7B-2B4634C2F356}
Acer Arcade Live Main Page-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}\SETUP.exe" -uninstall
Acer DV Magician-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F6EFFB76-4A07-11DA-9D78-000129760D75}\SETUP.exe" -uninstall
Acer DVDivine-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\SETUP.exe" -uninstall
Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x7 -removeonly
Acer ePerformance Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D462BF9E-0C35-4705-BF9B-3DF9F3816643}\setup.exe" -l0x7 -removeonly
Acer HomeMedia Connect-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{132888AE-EF67-41C5-BCA2-7D5D2488AB63}\SETUP.exe" -uninstall
Acer HomeMedia-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\SETUP.exe" -uninstall
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9 -removeonly
Acer SlideShow DVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{41581EF5-45A7-11DA-9D78-000129760D75}\SETUP.exe" -uninstall
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x7 -removeonly
Acer VideoMagician-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F79A208D-D929-11D9-9D77-000129760D75}\SETUP.exe" -uninstall
Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
Adobe Reader 7.1.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002}
ATI Uninstaller-->C:\Program Files\ATI\CIM\Bin\Atisetup.exe -uninstall all
At-on Software-->"C:\Programme\At-on Software\UninsHs.exe" /u0=At-on Software
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
AVM FRITZ!Box Dokumentation-->C:\Program Files\FRITZ!Box\install.exe -d
AVM FRITZ!Box Druckeranschluss-->C:\Program Files\FRITZ!BoxPrint\install.exe -d
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Corel Applications-->C:\Windows\Corel\Uninst32.exe
eSobi v2-->C:\Program Files\InstallShield Installation Information\{15D967B5-A4BE-42AE-9E84-64CD062B25AA}\setup.exe -runfromtemp -l0x0407
FileZilla Client 3.3.2.1-->C:\Program Files\FileZilla FTP Client\uninstall.exe
Google Earth-->MsiExec.exe /X{F7B0939E-58DF-11DF-B3A6-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959162)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB959362)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB961073)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB968108)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB971595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB971643)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB972251)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB981575)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB982306)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
ICQ6.5-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Java(TM) 6 Update 20-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme-->MsiExec.exe /X{90120000-00B2-0407-0000-0000000FF1CE}
Microsoft .NET Framework 1.1 Security Update (KB979906)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M979906\M979906Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office XP Small Business-->MsiExec.exe /I{91130407-6000-11D3-8CFE-0050048383C9}
Microsoft SQL Server 2005 Express Edition-->MsiExec.exe /I{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}
Microsoft SQL Server 2005-->"C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\ARPWrapper.exe" /Remove
Microsoft SQL Server Native Client-->MsiExec.exe /I{1D1D8ADC-BF08-4E61-9393-5FA305B16864}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{5C759B74-34F4-43C6-A5D9-039CB754C5E9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319-->MsiExec.exe /X{196BB40D-1578-3D01-B289-BEFC77A11A1E}
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
Mozilla Firefox (3.6.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1031 CDM7
NTPort Library Driver 2.7-->C:\Program Files\NTPort Library Driver\uninst.exe
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
TeamViewer 3-->C:\Program Files\TeamViewer3\uninstall.exe
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)-->MsiExec.exe /X{07629207-FAA0-4F1A-8092-BF5085BE511F}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Visual C++ 2008 x86 Runtime - (v9.0.30729.5026)-->MsiExec.exe /X{E04ACCBC-DF36-364E-87E8-6C24BB981AB8}
Visual C++ 2008 x86 Runtime - v9.0.30729.5026-->C:\Windows\system32\msiexec.exe /x {E04ACCBC-DF36-364E-87E8-6C24BB981AB8} /qb+ REBOOTPROMPT=""
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Xfire (remove only)-->"C:\Program Files\Xfire\uninst.exe"
ZoneAlarm-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

FW: ZoneAlarm Firewall
AS: Windows-Defender

======System event log======

Computer Name: *************
Event Code: 7036
Message: Dienst "Sicherheitscenter" befindet sich jetzt im Status "Ausgeführt".
Record Number: 195734
Source Name: Service Control Manager
Time Written: 20100720052143.000000-000
Event Type: Informationen
User:

Computer Name:**************
Event Code: 537
Message: Auf diesem Computer konnte kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden werden. TBS konnte nicht gestartet werden.
Record Number: 195735
Source Name: Microsoft-Windows-TBS
Time Written: 20100720052142.615745-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: *****************
Event Code: 7036
Message: Dienst "Windows Update" befindet sich jetzt im Status "Ausgeführt".
Record Number: 195736
Source Name: Service Control Manager
Time Written: 20100720052157.000000-000
Event Type: Informationen
User:

Computer Name: *****************
Event Code: 7036
Message: Dienst "Google Software Updater" befindet sich jetzt im Status "Beendet".
Record Number: 195737
Source Name: Service Control Manager
Time Written: 20100720052236.000000-000
Event Type: Informationen
User:

Computer Name: ****************
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 195738
Source Name: Service Control Manager
Time Written: 20100720053604.000000-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: ***************
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\msqpdxvdceresx.dll verdächtigen Code mit der Bezeichnung 'TR/Crypt.BA'!
Record Number: 113598
Source Name: Avira AntiVir
Time Written: 20100720052914.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***************
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Windows\System32\msqpdxvdceresx.dll verdächtigen Code mit der Bezeichnung 'TR/Crypt.BA'!
Record Number: 113599
Source Name: Avira AntiVir
Time Written: 20100720052914.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***************
Event Code: 11
Message: Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Record Number: 113600
Source Name: Microsoft-Windows-CAPI2
Time Written: 20100720053046.000000-000
Event Type: Fehler
User:

Computer Name: ***************
Event Code: 17895
Message: Die Frequenz des CPU-Timestamps hat sich von 1198321 in 1400517 Takte pro Millisekunde geändert. Die neue Frequenz wird verwendet.
Record Number: 113601
Source Name: MSSQLSERVER
Time Written: 20100720053519.000000-000
Event Type: Informationen
User:

Computer Name: ***************
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 113602
Source Name: LightScribeService
Time Written: 20100720054034.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: ***************
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 60303
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100720054028.568145-000
Event Type: Überwachung gescheitert
User:

Computer Name: ***************
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 60304
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100720054028.633145-000
Event Type: Überwachung gescheitert
User:

Computer Name: ***************
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 60305
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100720054028.703145-000
Event Type: Überwachung gescheitert
User:

Computer Name: ***************
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 60306
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100720054028.783145-000
Event Type: Überwachung gescheitert
User:

Computer Name: ***************
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname: \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys
Record Number: 60307
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100720054028.858145-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Microsoft SQL Server\90\Tools\binn\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 107 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=6b01
"NUMBER_OF_PROCESSORS"=2
"tvdumpflags"=8

-----------------EOF-----------------

Zitat:

AVIRA-BERICHT

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 19. Juli 2010 10:09

Es wird nach 2360683 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ******************

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:12:14
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:12:15
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 10:12:15
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 10:12:15
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 10:12:15
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 10:12:15
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 10:12:15
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 10:12:15
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 10:12:15
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 10:12:16
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 10:12:16
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 10:12:16
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 10:12:16
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 10:12:16
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 10:12:16
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 10:12:17
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 10:12:17
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 10:12:17
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 10:12:17
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 10:12:17
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 05:16:46
VBASE026.VDF : 7.10.9.100 2048 Bytes 16.07.2010 05:16:46
VBASE027.VDF : 7.10.9.101 2048 Bytes 16.07.2010 05:16:46
VBASE028.VDF : 7.10.9.102 2048 Bytes 16.07.2010 05:16:46
VBASE029.VDF : 7.10.9.103 2048 Bytes 16.07.2010 05:16:47
VBASE030.VDF : 7.10.9.104 2048 Bytes 16.07.2010 05:16:47
VBASE031.VDF : 7.10.9.109 144896 Bytes 18.07.2010 05:16:48
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 15.07.2010 10:12:20
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 19.07.2010 05:16:49
AESCN.DLL : 8.1.6.1 127347 Bytes 15.07.2010 10:12:20
AESBX.DLL : 8.1.3.1 254324 Bytes 15.07.2010 10:12:20
AERDL.DLL : 8.1.4.6 541043 Bytes 15.07.2010 10:12:20
AEPACK.DLL : 8.2.2.6 430452 Bytes 19.07.2010 05:16:48
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 15.07.2010 10:12:19
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 15.07.2010 10:12:19
AEHELP.DLL : 8.1.11.6 242038 Bytes 15.07.2010 10:12:18
AEGEN.DLL : 8.1.3.14 381299 Bytes 19.07.2010 05:16:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 15.07.2010 10:12:18
AECORE.DLL : 8.1.15.4 192886 Bytes 19.07.2010 05:16:48
AEBB.DLL : 8.1.1.0 53618 Bytes 15.07.2010 10:12:18
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d23337b\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Montag, 19. Juli 2010 10:09

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMMediaSharing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> <C:\Programme\ZoneAlarm\zlclient.exe>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Durchsuche Prozess 'SysMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMSServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\System32\msqpdxvdceresx.dll'
C:\Windows\System32\msqpdxvdceresx.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.BA
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Fehler in der ARK Library

Ende des Suchlaufs: Montag, 19. Juli 2010 10:10
Benötigte Zeit: 00:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
69 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
67 Dateien ohne Befall
0 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

Ich hoffe das mir jemand helfen kann
herzliche Grüße

cosinus · 21.07.2010, 18:04

Hallo und

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

BADRAIN · 22.07.2010, 08:22

Der von Dir angegebene Link funktioniert nicht - hab aber diesen Ersatz gefunden h**p://sicher-ins-netz.info/dl/lichtinsdunkel.exe

Scan folgt

BADRAIN · 22.07.2010, 09:02

Hallo Arne - Scans wie gewünscht

OLT-Extras.TXT

Code:

ATTFilter

OTL Extras logfile created on: 22.07.2010 09:25:40 - Run 1
OTL by OldTimer - Version 3.2.1.2     Folder = C:\Users\****\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,00 Mb Total Physical Memory | 274,00 Mb Available Physical Memory | 36,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 46,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69,78 Gb Total Space | 39,55 Gb Free Space | 56,68% Space Free | Partition Type: NTFS
Drive D: | 69,51 Gb Total Space | 61,24 Gb Free Space | 88,11% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ****
Current User Name: ****
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Program Files\ACD Systems\ACDSee\5.0\ACDSee5.exe" "%1" (ACD Systems Ltd.)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"UacDisableNotify" = 0
"InternetSettingsDisableNotify" = 0
"AutoUpdateDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 1
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe" = C:\Acer\Empowering Technology\eDataSecurity\eDSfsu.exe:*:Enabled:eDSfsu -- File not found
"C:\Acer\Empowering Technology\eDataSecurity\encryption.exe" = C:\Acer\Empowering Technology\eDataSecurity\encryption.exe:*:Enabled:encryption -- File not found
"C:\Acer\Empowering Technology\eDataSecurity\decryption.exe" = C:\Acer\Empowering Technology\eDataSecurity\decryption.exe:*:Enabled:decryption -- File not found
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{14474163-F976-4417-A929-6ED79991A1AF}" = dir=in | app=c:\program files\acer arcade live\acer arcade live main page\acer arcade live.exe | 
"{1D062AC4-B110-4BA8-A263-1EE7CD1686F8}" = protocol=6 | dir=in | app=c:\maxga\snowboundonline\run.exe | 
"{245EFA32-2FB3-45B4-BBA6-22977DA6B9D7}" = dir=in | app=c:\program files\acer arcade live\slideshow dvd\component\clsldvd.exe | 
"{368C9C21-E9BE-475D-AF45-27B410C77590}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{401DCC44-0472-4D02-AC29-0D37AD80CF29}" = dir=in | app=c:\program files\acer arcade live\acer homemedia connect\homemedia connect.exe | 
"{610D4256-FBF6-4239-BD64-20FDFE1F9691}" = dir=in | app=c:\program files\acer arcade live\acer homemedia connect\kernel\dms\clmsserver.exe | 
"{6307F449-05C4-4738-BF6B-FD7B228A1DEE}" = dir=in | app=c:\program files\acer arcade live\acer dvdivine\dvdivine.exe | 
"{6D5501BB-FAC2-4083-B55E-96CCB34F9133}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{9126E073-9C9C-4DEE-9274-DD572F147819}" = dir=in | app=c:\program files\acer arcade live\acer dv magician\component\arawp.exe | 
"{964E3E73-5BF5-4C36-8C24-32C59E7584D1}" = dir=in | app=c:\program files\acer arcade live\acer homemedia\homemedia.exe | 
"{9B2DE5D0-0D7C-45A5-9E49-A18141B64587}" = dir=in | app=c:\program files\acer arcade live\acer videomagician\videomagician.exe | 
"{A2F02437-8632-45C4-A54C-6AC63D719C44}" = protocol=17 | dir=in | app=c:\maxga\snowboundonline\run.exe | 
"{F0429F00-CC5D-4CB5-A7E2-D7C6DD72D2F0}" = dir=in | app=c:\program files\acer arcade live\acer dv magician\component\dvax2process.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{021661E0-C377-C87B-9583-E0A69E61A489}" = Catalyst Control Center Localization Thai
"{023387B5-AF74-D690-D2C6-C8D474597284}" = CCC Help Polish
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition
"{042B8532-E27C-C06E-A8F5-71F36B98B2DE}" = Catalyst Control Center Localization Portuguese
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{07AE9F43-360F-7412-577B-2B4B73E5EAB9}" = CCC Help Hungarian
"{0C09E020-9996-4E1C-9839-97DA8F9C8D6B}" = CCC Help Danish
"{132888AE-EF67-41C5-BCA2-7D5D2488AB63}" = Acer HomeMedia Connect
"{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{1861D449-590B-71F5-2C62-21730731FC4C}" = ccc-utility
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1D1D8ADC-BF08-4E61-9393-5FA305B16864}" = Microsoft SQL Server Native Client
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21565317-7E58-CEED-E5BE-6916533442F4}" = Catalyst Control Center Localization Czech
"{2224B408-E7E4-15CF-0674-EC7C36D68741}" = Catalyst Control Center Localization Hungarian
"{236D1288-99DB-C3D6-D132-EDE6317BF619}" = CCC Help Japanese
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20
"{2AABA091-41DF-D0D3-83F8-0133F8C7AA97}" = Catalyst Control Center Localization Swedish
"{316B6021-BB9B-4200-BD7B-2B4634C2F356}" = ACDSee 5.0 PowerPack
"{317DE552-B622-0DD2-4E7E-28400D64C100}" = Catalyst Control Center Localization Dutch
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{41581EF5-45A7-11DA-9D78-000129760D75}" = Acer SlideShow DVD
"{4160DC5B-4C56-D0C3-C5FD-F5BDAD3C882B}" = ATI Catalyst Install Manager
"{42DF661F-6351-B582-DE2C-B8C46B30303F}" = CCC Help Dutch
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{4F5641C5-409C-7E5A-A2F9-B6D00A190B55}" = Catalyst Control Center Graphics Previews Vista
"{5C759B74-34F4-43C6-A5D9-039CB754C5E9}" = Microsoft SQL Server VSS Writer
"{5EA96EEF-4E57-C1F0-6A06-088191FE110C}" = CCC Help Thai
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{67ADE9AF-5CD9-4089-8825-55DE4B366799}" = NTI Backup NOW! 4.7
"{6B73D186-ED5C-6EB1-96EE-8F866269243C}" = Catalyst Control Center Localization Danish
"{7007D9E6-F820-CFEA-EB87-9C9377A967F7}" = CCC Help Swedish
"{710EA46C-2A49-F39A-5EC7-3884DC5329D7}" = Catalyst Control Center Localization Spanish
"{74AF0F2A-A87D-B6B7-6671-61B53F98254B}" = Catalyst Control Center Localization Turkish
"{760F3E42-B1E4-5324-4C4A-0459C8938B6A}" = Catalyst Control Center Localization Italian
"{7760B7DD-C922-C286-AB6C-2E06B32C1D4F}" = Catalyst Control Center Graphics Full Existing
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{837F9742-DCC8-3FF4-5066-E11E48EE2391}" = Catalyst Control Center Localization Korean
"{86861408-CB40-247E-B851-608792116658}" = CCC Help Norwegian
"{86E71966-9EE0-9AD3-2C17-FC3A0B8BB810}" = Catalyst Control Center Localization Chinese Standard
"{8BCA7792-CF78-46C6-66A7-EB9A8F0FB0A2}" = Catalyst Control Center Localization Russian
"{8C42C789-B0EF-3226-9069-D1956B220B38}" = Catalyst Control Center Localization Greek
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{91130407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Small Business
"{94389919-B0AA-4882-9BE8-9F0B004ECA35}" = Acer Tour
"{9BE1CAAF-31C0-6B2A-45EE-7761FDEFC806}" = ccc-core-static
"{9C353B52-07E4-07A7-B95F-392D8AA37210}" = Catalyst Control Center Localization Japanese
"{9DBB76DD-812B-26E9-C681-B7CD2DA27A78}" = CCC Help French
"{9F96AFEF-28F1-2479-1D6A-33F8D4A7BF11}" = CCC Help Chinese Standard
"{A10FCB8E-F4C3-0C5E-4FFC-8C9A560095A8}" = CCC Help Russian
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6038CD2-72AF-2C0A-C1A3-93D360F5A889}" = CCC Help Korean
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA4BF92B-2AAF-11DA-9D78-000129760D75}" = Acer HomeMedia
"{AB6097D9-D722-4987-BD9E-A076E2848EE2}" = Acer Empowering Technology
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{AE223864-BFA1-1F17-49B2-13C8971DACA2}" = Catalyst Control Center Localization German
"{B145EC69-66F5-11D8-9D75-000129760D75}" = Acer DVDivine
"{B22D8435-CB77-849A-B9AE-D1737A073914}" = Catalyst Control Center Localization Polish
"{B3BA8D55-5397-6712-1B6C-5A8849AF19F5}" = Catalyst Control Center Core Implementation
"{C1722D10-8C05-B66D-A160-7C2CFF589176}" = Catalyst Control Center Graphics Light
"{C485A66D-3521-20E8-2A7B-F060B1773491}" = Catalyst Control Center Localization French
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD1C40A4-2836-1911-673E-18572FD2B62A}" = Catalyst Control Center Graphics Full New
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe  1.4.142.1
"{CF6FE5A8-1338-188F-35B3-8372FA31D822}" = Skins
"{D462BF9E-0C35-4705-BF9B-3DF9F3816643}" = Acer ePerformance Management
"{D5E905F1-7657-7B1E-E5BD-2C69C89C8ABE}" = CCC Help Italian
"{D6DB00A1-4BCC-AB1B-24C2-0999BDA43D85}" = CCC Help Greek
"{D7D4DB0F-9070-AED1-D2F4-D11BD42C7588}" = CCC Help Chinese Traditional
"{D7F01E28-9D36-F8EC-872F-9FD71792F858}" = CCC Help Finnish
"{DA6AB13B-4D72-6EBB-AA4D-656CE9C0E512}" = CCC Help English
"{DF59BA36-54DC-6BB4-FCED-C9B9F2BCB4AE}" = CCC Help Spanish
"{E0325EFE-9D02-0F1E-7306-F4D95979715A}" = Catalyst Control Center Localization Chinese Traditional
"{E04ACCBC-DF36-364E-87E8-6C24BB981AB8}" = Visual C++ 2008 x86 Runtime - (v9.0.30729.5026)
"{E04ACCBC-DF36-364E-87E8-6C24BB981AB8}.vc_x86runtime_30729_5026" = Visual C++ 2008 x86 Runtime - v9.0.30729.5026
"{E63AA3F4-5647-0BC8-24FC-F40CFE56B579}" = Catalyst Control Center Localization Norwegian
"{E6541F6A-3D2D-30E5-57F9-4DD411C2E4F0}" = CCC Help German
"{E720B248-D9F5-5E20-8E72-3E419D45D703}" = Catalyst Control Center Localization Finnish
"{E8E32E53-18F7-095E-CC75-F77E412F1AD9}" = CCC Help Portuguese
"{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}" = Acer Arcade Live Main Page
"{F09030B7-7B8A-30DE-539B-607C9B1831DB}" = CCC Help Czech
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F6EFFB76-4A07-11DA-9D78-000129760D75}" = Acer DV Magician
"{F76D7388-A433-E572-4718-CD3421738166}" = CCC Help Turkish
"{F79A208D-D929-11D9-9D77-000129760D75}" = Acer VideoMagician
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ATI Uninstaller" = ATI Uninstaller
"At-on Software_is1" = At-on Software
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"CCleaner" = CCleaner
"Corel Applications" = Corel Applications
"FileZilla Client" = FileZilla Client 3.3.2.1
"Google Updater" = Google Updater
"InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7)
"NTPort Library Driver" = NTPort Library Driver 2.7
"TeamViewer 3" = TeamViewer 3
"WinRAR archiver" = WinRAR
"Xfire" = Xfire (remove only)
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.07.2010 16:58:27 | Computer Name = ******** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 20.07.2010 16:58:27 | Computer Name = **** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 20.07.2010 17:10:23 | Computer Name = ******** | Source = EventSystem | ID = 4621
Description = 
 
Error - 21.07.2010 00:28:56 | Computer Name = ******** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 00:28:56 | Computer Name = ******** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 00:49:40 | Computer Name = ************ | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 03:08:54 | Computer Name = **** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 17:53:33 | Computer Name = **** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 23:09:07 | Computer Name = **** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 21.07.2010 23:09:07 | Computer Name = **** | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
[ System Events ]
Error - 19.07.2010 04:47:12 | Computer Name = **** | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 19.07.2010 04:57:59 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 20.07.2010 00:49:12 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 20.07.2010 01:18:29 | Computer Name = **** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 20.07.2010 um 07:17:02 unerwartet heruntergefahren.
 
Error - 20.07.2010 01:18:40 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 20.07.2010 11:49:14 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 20.07.2010 16:41:52 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 20.07.2010 16:58:19 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 21.07.2010 00:28:45 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
Error - 21.07.2010 23:08:58 | Computer Name = **** | Source = HTTP | ID = 15016
Description = 
 
 
< End of report >

und OLT.TXT

Code:

ATTFilter

OTL logfile created on: 22.07.2010 09:25:40 - Run 1
OTL by OldTimer - Version 3.2.1.2     Folder = C:\Users\****\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
767,00 Mb Total Physical Memory | 274,00 Mb Available Physical Memory | 36,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 46,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69,78 Gb Total Space | 39,55 Gb Free Space | 56,68% Space Free | Partition Type: NTFS
Drive D: | 69,51 Gb Total Space | 61,24 Gb Free Space | 88,11% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ****
Current User Name: ****
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\****\Desktop\lichtinsdunkel.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\TeamViewer3\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - C:\Windows\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Programme\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe ()
PRC - C:\Programme\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe (Acer Inc.)
PRC - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe (Acer Inc.)
PRC - C:\Acer\Empowering Technology\SysMonitor.exe ()
PRC - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe (Acer Inc.)
PRC - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\****\Desktop\lichtinsdunkel.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (CLTNetCnService) --  File not found
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TeamViewer) -- C:\Program Files\TeamViewer3\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (vsmon) -- C:\Windows\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (Acer HomeMedia Connect Service) -- C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe (CyberLink)
SRV - (SQLWriter) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (MSSQLSERVER) SQL Server (MSSQLSERVER) -- C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (eRecoveryService) -- C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe (Acer Inc.)
SRV - (AcerMemUsageCheckService) -- C:\Acer\Empowering Technology\ePerformance\MemCheck.exe ()
SRV - (MSSQLServerADHelper) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (Vsdatant) -- C:\Windows\System32\drivers\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell)
DRV - (NTIDrvr) -- C:\Windows\System32\drivers\NTIDrvr.sys (NewTech Infosystems, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (int15) -- C:\Acer\Empowering Technology\eRecovery\int15.sys ()
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (SiSRaid2) -- C:\Windows\system32\drivers\sisraid2.sys (Silicon Integrated Systems Corp.)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Logic Corporation)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (AtiPcie) ATI PCI Express (3GIO) -- C:\Windows\system32\DRIVERS\AtiPcie.sys (ATI Technologies Inc.)
DRV - (NPPTNT2) -- C:\Windows\System32\npptNT2.sys (INCA Internet Co., Ltd.)
DRV - (zntport) -- C:\Windows\System32\drivers\zntport.sys (Zeal SoftStudio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.intl.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.intl.acer.yahoo.com
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SEARCH PAGE = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hotel-****.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.hotel-****.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {91aa5abe-9de4-4347-b7b5-322c38dd9271}:3.1.2
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36605
FF - prefs.js..extensions.enabledItems: fb_add_on@avm.de:1.5.5
FF - prefs.js..extensions.enabledItems: {DAD0F81A-CF67-4eed-98D6-26F6E47274CA}:1.5
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.07.21 07:25:09 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.07.21 07:25:09 | 000,000,000 | ---D | M]
 
[2010.04.15 09:06:54 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\mozilla\Extensions
[2010.04.15 09:23:26 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\fdjirouv.default\extensions
[2010.04.15 09:23:17 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\fdjirouv.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.07.22 09:10:54 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions
[2010.07.22 09:10:42 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.07.02 15:58:54 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.07.04 18:38:31 | 000,000,000 | ---D | M] (Clippings) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\{91aa5abe-9de4-4347-b7b5-322c38dd9271}
[2010.07.15 10:46:24 | 000,000,000 | ---D | M] (Tweak Network) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\{DAD0F81A-CF67-4eed-98D6-26F6E47274CA}
[2010.07.15 10:46:24 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\fb_add_on@avm.de
[2010.07.15 07:29:43 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com
[2010.07.15 07:29:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.22 07:09:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O4 - HKLM..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe ()
O4 - HKLM..\Run: [Acer Tour]  File not found
O4 - HKLM..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe (Acer Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (Acer Inc.)
O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - Startup: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} ****://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} ****://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ****://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} ****://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} ****://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} ****://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ****://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk C:\
O32 - Unable to obtain root file information for disk D:\
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.22 09:19:45 | 000,562,176 | ---- | C] (OldTimer Tools) -- C:\Users\****\Desktop\lichtinsdunkel.exe
[2010.07.20 07:40:03 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.07.20 07:39:58 | 000,000,000 | ---D | C] -- C:\rsit
[2010.07.19 10:14:25 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Malwarebytes
[2010.07.19 10:14:11 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.07.19 10:14:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.07.19 10:14:07 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.07.19 10:14:07 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.19 09:44:23 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.07.18 21:07:04 | 000,000,000 | ---D | C] -- C:\Programme\X-Cleaner
[2010.07.16 08:36:03 | 000,000,000 | ---D | C] -- C:\!KillBox
[2010.07.16 08:35:34 | 000,092,672 | ---- | C] (Option^Explicit Software                        vbtechcd@gmail.com) -- C:\Users\****\Desktop\KillBox.exe
[2010.07.15 12:13:23 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Avira
[2010.07.15 12:10:20 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2010.07.15 12:10:19 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2010.07.15 12:10:19 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2010.07.15 12:10:19 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\Windows\System32\drivers\avgntdd.sys
[2010.07.15 12:10:19 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\Windows\System32\drivers\avgntmgr.sys
[2010.07.15 11:23:41 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2010.07.15 11:14:35 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Local\ApplicationHistory
[2010.07.15 11:07:17 | 000,000,000 | ---D | C] -- C:\Windows\System32\URTTEMP
[2010.07.15 11:04:23 | 000,000,000 | ---D | C] -- C:\LocalService
[2010.07.15 10:57:27 | 000,000,000 | ---D | C] -- C:\AiO-Files
[2010.07.15 10:07:36 | 000,000,000 | --SD | C] -- C:\Users\****\Documents\Eigene Datenquellen
[2010.07.15 07:29:49 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Local\Cooliris
[2007.05.07 01:07:10 | 000,053,248 | ---- | C] ( ) -- C:\Windows\System32\Interop.Shell32.dll
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.22 09:29:47 | 002,359,296 | -HS- | M] () -- C:\Users\****\ntuser.dat
[2010.07.22 09:22:51 | 000,000,306 | ---- | M] () -- C:\Users\****\Documents\Licht ins Dunkel.rtf
[2010.07.22 09:19:51 | 000,562,176 | ---- | M] (OldTimer Tools) -- C:\Users\****\Desktop\lichtinsdunkel.exe
[2010.07.22 09:08:50 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.07.22 09:08:50 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.07.22 09:07:01 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.22 05:12:03 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2010.07.22 05:09:01 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.22 05:08:58 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.07.22 05:08:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.07.22 05:08:41 | 804,773,888 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.21 23:55:24 | 000,524,288 | -HS- | M] () -- C:\Users\****\ntuser.dat{58223910-4a46-11df-ad5d-001c252e741e}.TMContainer00000000000000000001.regtrans-ms
[2010.07.21 23:55:24 | 000,065,536 | -HS- | M] () -- C:\Users\****\ntuser.dat{58223910-4a46-11df-ad5d-001c252e741e}.TM.blf
[2010.07.21 23:54:55 | 001,902,827 | -H-- | M] () -- C:\Users\****\AppData\Local\IconCache.db
[2010.07.20 07:34:07 | 000,339,991 | ---- | M] () -- C:\Users\****\Desktop\RSIT.exe
[2010.07.20 07:18:23 | 151,579,587 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.07.19 10:14:14 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.19 09:56:12 | 000,030,792 | ---- | M] () -- C:\Users\****\Documents\cc_20100719_095540.reg
[2010.07.19 09:44:29 | 000,000,808 | ---- | M] () -- C:\Users\****\Desktop\CCleaner.lnk
[2010.07.16 08:35:41 | 000,092,672 | ---- | M] (Option^Explicit Software                        vbtechcd@gmail.com) -- C:\Users\****\Desktop\KillBox.exe
[2010.07.15 12:10:40 | 000,001,851 | ---- | M] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2010.07.15 11:16:27 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\oyizoyiz.dll
[2010.07.15 11:15:16 | 000,093,368 | ---- | M] () -- C:\Users\****\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.07.15 11:14:35 | 000,000,092 | ---- | M] () -- C:\Users\****\AppData\Local\fusioncache.dat
[2010.07.15 11:13:06 | 000,000,306 | RHS- | M] () -- C:\ProgramData\ntuser.pol
[2010.07.15 11:12:26 | 000,355,240 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.07.15 11:08:26 | 001,622,222 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.07.15 11:08:26 | 000,685,642 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.07.15 11:08:26 | 000,642,456 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.07.15 11:08:26 | 000,150,432 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.07.15 11:08:26 | 000,122,300 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.07.15 10:43:13 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\orobojebuqagetey.dll
[2010.07.15 10:35:09 | 000,014,848 | ---- | M] () -- C:\Users\****\Desktop\adressen.xls
[2010.07.15 10:34:53 | 000,126,976 | ---- | M] () -- C:\Users\****\Documents\KiGa_Luftballon2010_07.doc
[2010.07.15 09:10:11 | 000,122,880 | ---- | M] () -- C:\Users\****\Documents\KiGa_Spatzennest2010_07.doc
[2010.07.15 09:09:09 | 000,122,880 | ---- | M] () -- C:\Users\****\Documents\KiGa_Spatzennest2010_06.doc
[2010.07.15 09:08:09 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\oxehuziqizo.dll
[2010.07.15 08:19:40 | 000,002,575 | ---- | M] () -- C:\Users\****\Desktop\Microsoft Word.lnk
[2010.07.15 07:06:09 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ulofusocacez.dll
[2010.07.14 23:43:28 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uxagogagimo.dll
[2010.07.14 23:38:05 | 000,241,664 | ---- | M] () -- C:\Users\****\Documents\Wendrich.doc
[2010.07.14 22:53:30 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ocosifizi.dll
[2010.07.14 20:51:29 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\olopewuk.dll
[2010.07.14 18:49:29 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\eciyijike.dll
[2010.07.14 16:47:28 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\umajaxakuqe.dll
[2010.07.14 14:45:28 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uwojoyexamecu.dll
[2010.07.14 12:43:28 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\onucefuhelico.dll
[2010.07.14 10:41:27 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\etocapaqeko.dll
[2010.07.14 08:39:27 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ixafivutamuxu.dll
[2010.07.14 06:37:27 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\opajilesoqa.dll
[2010.07.13 23:35:21 | 000,232,448 | ---- | M] () -- C:\Users\****\Desktop\Hotel_Preisinfo.doc
[2010.07.13 22:50:10 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ubosakor.dll
[2010.07.13 20:48:10 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uxixufap.dll
[2010.07.13 18:46:09 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\azubetovapuz.dll
[2010.07.13 16:44:09 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ijunisix.dll
[2010.07.13 14:42:29 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\akaginuk.dll
[2010.07.13 12:40:28 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\iyureqij.dll
[2010.07.13 10:38:07 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ogasudihoso.dll
[2010.07.13 08:36:07 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\enijelehefonu.dll
[2010.07.13 06:34:06 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\obuticab.dll
[2010.07.12 23:34:17 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\abucukalibiki.dll
[2010.07.12 21:32:17 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\emocotez.dll
[2010.07.12 19:30:15 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\afinahukoziye.dll
[2010.07.12 17:28:15 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\azuperulazexizux.dll
[2010.07.12 15:26:14 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uqekobox.dll
[2010.07.12 13:24:14 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\erutahix.dll
[2010.07.12 11:22:15 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\eqopitucig.dll
[2010.07.12 09:20:17 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\alomibah.dll
[2010.07.12 07:18:14 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\urulometa.dll
[2010.07.12 05:16:14 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uzavurog.dll
[2010.07.11 14:21:58 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ewilesoqa.dll
[2010.07.11 12:19:48 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ojomocin.dll
[2010.07.11 10:17:51 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uzesoyaq.dll
[2010.07.11 08:15:48 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uravefogutudi.dll
[2010.07.10 23:16:43 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ucocavalegacu.dll
[2010.07.10 21:14:43 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\erulusefubemobel.dll
[2010.07.10 19:12:43 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\okuruyaxu.dll
[2010.07.10 17:10:42 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ojedicuvuh.dll
[2010.07.10 15:08:42 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\okeboqax.dll
[2010.07.10 13:06:44 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\epekiqaqojuneho.dll
[2010.07.10 11:04:41 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ecasezej.dll
[2010.07.10 09:02:42 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uyifiqej.dll
[2010.07.10 07:00:41 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ihukubub.dll
[2010.07.09 23:10:44 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ifahugil.dll
[2010.07.09 21:08:44 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\azudicuvuh.dll
[2010.07.09 19:06:43 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\ojugavopiwam.dll
[2010.07.09 17:05:07 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\uwoyelovawubixax.dll
[2010.07.07 13:58:48 | 000,002,603 | ---- | M] () -- C:\Users\****\Desktop\Microsoft Excel.lnk
[2010.07.05 07:25:10 | 000,231,424 | ---- | M] () -- C:\Users\****\Desktop\StarLight.doc
[1 C:\Windows\System32\drivers\*.tmp files -> C:\Windows\System32\drivers\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.22 09:22:51 | 000,000,306 | ---- | C] () -- C:\Users\****\Documents\Licht ins Dunkel.rtf
[2010.07.20 07:34:01 | 000,339,991 | ---- | C] () -- C:\Users\****\Desktop\RSIT.exe
[2010.07.19 10:57:44 | 804,773,888 | -HS- | C] () -- C:\hiberfil.sys
[2010.07.19 10:24:59 | 151,579,587 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.07.19 10:14:14 | 000,000,822 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.19 09:55:51 | 000,030,792 | ---- | C] () -- C:\Users\****\Documents\cc_20100719_095540.reg
[2010.07.19 09:44:29 | 000,000,808 | ---- | C] () -- C:\Users\****\Desktop\CCleaner.lnk
[2010.07.15 12:10:40 | 000,001,851 | ---- | C] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2010.07.15 11:16:27 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\oyizoyiz.dll
[2010.07.15 11:14:35 | 000,000,092 | ---- | C] () -- C:\Users\****\AppData\Local\fusioncache.dat
[2010.07.15 10:43:13 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\orobojebuqagetey.dll
[2010.07.15 10:32:33 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2010.07.15 10:11:47 | 000,014,848 | ---- | C] () -- C:\Users\****\Desktop\adressen.xls
[2010.07.15 10:01:23 | 000,126,976 | ---- | C] () -- C:\Users\****\Documents\KiGa_Luftballon2010_07.doc
[2010.07.15 09:08:43 | 000,122,880 | ---- | C] () -- C:\Users\****\Documents\KiGa_Spatzennest2010_07.doc
[2010.07.15 09:08:09 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\oxehuziqizo.dll
[2010.07.15 07:06:09 | 000,000,000 | ---- | C] () -- C:\Users\********\AppData\Local\ulofusocacez.dll
[2010.07.14 23:43:28 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uxagogagimo.dll
[2010.07.14 23:38:04 | 000,241,664 | ---- | C] () -- C:\Users\****\Documents\Wendrich.doc
[2010.07.14 22:53:30 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ocosifizi.dll
[2010.07.14 20:51:29 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\olopewuk.dll
[2010.07.14 18:49:29 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\eciyijike.dll
[2010.07.14 16:47:28 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\umajaxakuqe.dll
[2010.07.14 14:45:28 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uwojoyexamecu.dll
[2010.07.14 12:43:28 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\onucefuhelico.dll
[2010.07.14 10:41:27 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\etocapaqeko.dll
[2010.07.14 08:39:27 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ixafivutamuxu.dll
[2010.07.14 06:37:27 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\opajilesoqa.dll
[2010.07.13 22:50:10 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ubosakor.dll
[2010.07.13 20:48:10 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uxixufap.dll
[2010.07.13 18:46:09 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\azubetovapuz.dll
[2010.07.13 16:44:09 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ijunisix.dll
[2010.07.13 14:42:29 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\akaginuk.dll
[2010.07.13 12:40:28 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\iyureqij.dll
[2010.07.13 10:38:07 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ogasudihoso.dll
[2010.07.13 08:36:07 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\enijelehefonu.dll
[2010.07.13 06:34:06 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\obuticab.dll
[2010.07.12 23:34:17 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\abucukalibiki.dll
[2010.07.12 21:32:17 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\emocotez.dll
[2010.07.12 19:30:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\afinahukoziye.dll
[2010.07.12 17:28:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\azuperulazexizux.dll
[2010.07.12 15:26:14 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uqekobox.dll
[2010.07.12 13:24:14 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\erutahix.dll
[2010.07.12 11:22:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\eqopitucig.dll
[2010.07.12 09:20:17 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\alomibah.dll
[2010.07.12 07:18:14 | 000,000,000 | ---- | C] () -- C:\Users\********\AppData\Local\urulometa.dll
[2010.07.12 05:16:14 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uzavurog.dll
[2010.07.11 14:21:58 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ewilesoqa.dll
[2010.07.11 12:19:48 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ojomocin.dll
[2010.07.11 10:17:51 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uzesoyaq.dll
[2010.07.11 08:15:48 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uravefogutudi.dll
[2010.07.10 23:16:43 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ucocavalegacu.dll
[2010.07.10 21:14:43 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\erulusefubemobel.dll
[2010.07.10 19:12:43 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\okuruyaxu.dll
[2010.07.10 17:10:42 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ojedicuvuh.dll
[2010.07.10 15:08:42 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\okeboqax.dll
[2010.07.10 13:06:44 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\epekiqaqojuneho.dll
[2010.07.10 11:04:41 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ecasezej.dll
[2010.07.10 09:02:42 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\uyifiqej.dll
[2010.07.10 07:00:41 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ihukubub.dll
[2010.07.09 23:10:44 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ifahugil.dll
[2010.07.09 21:08:44 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\azudicuvuh.dll
[2010.07.09 19:06:43 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\ojugavopiwam.dll
[2010.07.09 17:05:07 | 000,000,000 | ---- | C] () -- C:\Users\********\AppData\Local\uwoyelovawubixax.dll
[2010.06.29 11:18:58 | 000,231,424 | ---- | C] () -- C:\Users\****\Desktop\StarLight.doc
[2010.06.14 07:11:03 | 000,022,967 | ---- | C] () -- C:\Users\****\clipdat2.rdf
[2010.05.11 20:37:10 | 000,041,872 | ---- | C] () -- C:\Windows\System32\xfcodec.dll
[2010.04.17 19:26:47 | 000,524,288 | -HS- | C] () -- C:\Users\****\ntuser.dat{58223910-4a46-11df-ad5d-001c252e741e}.TMContainer00000000000000000002.regtrans-ms
[2010.04.17 19:26:46 | 000,524,288 | -HS- | C] () -- C:\Users\****\ntuser.dat{58223910-4a46-11df-ad5d-001c252e741e}.TMContainer00000000000000000001.regtrans-ms
[2010.04.17 19:26:46 | 000,065,536 | -HS- | C] () -- C:\Users\****\ntuser.dat{58223910-4a46-11df-ad5d-001c252e741e}.TM.blf
[2008.12.22 11:49:13 | 001,091,414 | ---- | C] () -- C:\Users\********\of_Speisekarte_Vorn.cdr
[2008.12.01 10:40:06 | 000,174,308 | ---- | C] () -- C:\Users\****\RG_Logo_2008_Neu.CDR
[2008.11.17 12:43:09 | 000,001,074 | RH-- | C] () -- C:\Users\****\XrxWm.ini
[2008.11.17 12:43:08 | 000,000,522 | RH-- | C] () -- C:\Users\****\xw45cpdy.dyc
[2008.11.13 13:37:27 | 000,018,794 | ---- | C] () -- C:\Users\****\Schrift_Vivaldi.CDR
[2008.11.13 10:46:57 | 000,413,700 | ---- | C] () -- C:\Users\****\Flyer_Front.CDR
[2008.11.13 10:20:06 | 000,012,826 | ---- | C] () -- C:\Users\****\Flyer Rahmen.CDR
[2008.11.08 22:31:27 | 000,025,088 | ---- | C] () -- C:\Users\****\GetränkeListe_Bierwagen.doc
[2008.11.08 22:31:27 | 000,013,944 | ---- | C] () -- C:\Users\****\Grünkohlfest_Preisliste.cdr
[2008.11.08 22:31:27 | 000,012,688 | ---- | C] () -- C:\Users\****\WC.cdr
[2008.11.08 22:31:26 | 000,012,684 | ---- | C] () -- C:\Users\****\Geschirr.cdr
[2008.11.04 12:17:22 | 000,079,688 | ---- | C] () -- C:\Users\****\LGT_Würfel_Neu.jpg
[2008.11.04 11:57:50 | 000,013,024 | ---- | C] () -- C:\Users\****\LGT_Würfel_Neu.cdr
[2008.10.31 11:59:07 | 018,651,250 | ---- | C] () -- C:\Users\****\Backup_of_Speisekarte_Vorn.cdr
[2008.10.31 11:57:26 | 018,651,236 | ---- | C] () -- C:\Users\****\Speisekarte_Vorn.cdr
[2008.10.13 07:22:32 | 000,026,274 | ---- | C] () -- C:\Users\****\Backup_of_Backup_of_RG_Kopf_Bild2.CDR
[2008.10.05 12:05:11 | 000,000,162 | -H-- | C] () -- C:\Users\****\~$iefkopf.dot
[2008.07.16 21:33:31 | 000,013,562 | ---- | C] () -- C:\Users\****\Spagetti_Vogel.cdr
[2008.05.10 00:46:46 | 000,169,984 | ---- | C] () -- C:\Users\****\Rechjnung.dot
[2008.05.09 23:21:55 | 000,175,104 | ---- | C] () -- C:\Users\****\Briefkopf_Neu.dot
[2008.05.08 23:36:17 | 000,026,262 | ---- | C] () -- C:\Users\****\Backup_of_RG_Kopf_Bild2.CDR
[2008.05.08 23:22:58 | 000,026,354 | ---- | C] () -- C:\Users\****\RG_Kopf_Bild2.CDR
[2008.05.07 08:55:01 | 018,516,646 | ---- | C] () -- C:\Users\****\Backup_of_RG_Kopf_Bild.CDR
[2008.05.07 07:46:10 | 018,517,176 | ---- | C] () -- C:\Users\****\RG_Kopf_Bild.CDR
[2008.04.12 22:07:20 | 001,005,056 | ---- | C] () -- C:\Users\****\Briefkopf.dot
[2008.04.07 09:00:36 | 000,078,848 | ---- | C] () -- C:\Users\****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.04 14:50:31 | 000,015,174 | ---- | C] () -- C:\Windows\System32\SELF32.INI
[2008.04.04 14:50:30 | 000,372,736 | ---- | C] () -- C:\Windows\System32\KSDB32.DLL
[2008.04.02 11:25:15 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2008.04.02 07:45:23 | 000,112,688 | ---- | C] () -- C:\Windows\System32\shw32.dll
[2008.04.01 19:30:24 | 000,002,102 | ---- | C] () -- C:\Users\****\AppData\Roaming\wklnhst.dat
[2008.04.01 17:29:57 | 000,524,288 | -HS- | C] () -- C:\Users\****\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms
[2008.04.01 17:29:57 | 000,524,288 | -HS- | C] () -- C:\Users\****\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2008.04.01 17:29:57 | 000,065,536 | -HS- | C] () -- C:\Users\****\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2008.04.01 17:29:57 | 000,000,020 | -HS- | C] () -- C:\Users\****\ntuser.ini
[2008.04.01 17:29:55 | 002,359,296 | -HS- | C] () -- C:\Users\****\ntuser.dat
[2008.04.01 17:29:55 | 000,262,144 | -H-- | C] () -- C:\Users\****\ntuser.dat.LOG1
[2008.04.01 17:29:55 | 000,000,000 | -H-- | C] () -- C:\Users\****\ntuser.dat.LOG2
[2008.02.04 19:23:10 | 000,693,792 | ---- | C] () -- C:\Windows\System32\OGACheckControl.DLL
[2007.10.31 04:52:43 | 000,000,044 | ---- | C] () -- C:\Windows\Acer(Normal).ini
[2007.10.31 04:52:43 | 000,000,042 | ---- | C] () -- C:\Windows\Acer(Wide).ini
[2007.05.07 10:41:16 | 000,001,024 | RH-- | C] () -- C:\Windows\System32\NTIBUN4.dll
[2007.05.07 09:22:38 | 000,000,834 | ---- | C] () -- C:\Windows\generic.ini
[2007.05.07 09:22:38 | 000,000,123 | ---- | C] () -- C:\Windows\Alaunch.ini
[2007.05.07 09:22:34 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2007.05.07 01:07:10 | 000,331,776 | ---- | C] () -- C:\Windows\System32\ScrollBarLib.dll
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2002.03.21 14:39:02 | 000,073,728 | R--- | C] () -- C:\Windows\System32\UNACEV2.DLL
[2002.03.21 12:51:52 | 000,503,808 | R--- | C] () -- C:\Windows\System32\lt_xtrans.dll
[2002.03.21 12:51:52 | 000,286,720 | R--- | C] () -- C:\Windows\System32\MrSIDD.dll
[2002.03.21 12:51:52 | 000,163,840 | R--- | C] () -- C:\Windows\System32\lt_common.dll
[2002.03.21 12:51:52 | 000,126,976 | R--- | C] () -- C:\Windows\System32\lt_trans.dll
[2002.03.21 12:51:52 | 000,069,632 | R--- | C] () -- C:\Windows\System32\lt_meta.dll
[2002.03.21 12:51:52 | 000,053,248 | R--- | C] () -- C:\Windows\System32\lt_encrypt.dll
[2002.03.21 12:51:52 | 000,020,480 | R--- | C] () -- C:\Windows\System32\lt_messagetext.dll
[2002.03.20 21:01:06 | 000,006,688 | R--- | C] () -- C:\Windows\System32\Digita.sys
[2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\Windows\System32\TransportUSB.dll
[2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\Windows\System32\TransportSerial.dll
[2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\Windows\System32\TransportIrDA.dll
[2002.03.20 21:00:20 | 000,049,152 | R--- | C] () -- C:\Windows\System32\TransportIrCOMM.dll
[2001.12.26 15:12:30 | 000,065,536 | ---- | C] () -- C:\Windows\System32\multiplex_vcd.dll
[2001.09.03 22:46:38 | 000,110,592 | ---- | C] () -- C:\Windows\System32\Hmpg12.dll
[2001.07.30 15:33:56 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC.dll
[2001.07.23 21:04:36 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC_MMX.dll
< End of report >

Gruß

Rainer

cosinus · 22.07.2010, 14:15

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:Files
C:\Users\****\AppData\Local\*.dll
C:\Windows\System32\msqpdxvdceresx.dll
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

BADRAIN · 23.07.2010, 06:13

Moin Arne, hier der gewünschte Log

Code:

ATTFilter

All processes killed
========== FILES ==========
C:\Users\****\AppData\Local\abucukalibiki.dll moved successfully.
C:\Users\****\AppData\Local\afinahukoziye.dll moved successfully.
C:\Users\****\AppData\Local\akaginuk.dll moved successfully.
C:\Users\****\AppData\Local\alomibah.dll moved successfully.
C:\Users\****\AppData\Local\azubetovapuz.dll moved successfully.
C:\Users\****\AppData\Local\azudicuvuh.dll moved successfully.
C:\Users\****\AppData\Local\azuperulazexizux.dll moved successfully.
C:\Users\****\AppData\Local\ecasezej.dll moved successfully.
C:\Users\****\AppData\Local\eciyijike.dll moved successfully.
C:\Users\****\AppData\Local\emocotez.dll moved successfully.
C:\Users\****\AppData\Local\enijelehefonu.dll moved successfully.
C:\Users\********\AppData\Local\epekiqaqojuneho.dll moved successfully.
C:\Users\****\AppData\Local\eqopitucig.dll moved successfully.
C:\Users\****\AppData\Local\erulusefubemobel.dll moved successfully.
C:\Users\****\AppData\Local\erutahix.dll moved successfully.
C:\Users\****\AppData\Local\etocapaqeko.dll moved successfully.
C:\Users\****\AppData\Local\ewilesoqa.dll moved successfully.
C:\Users\****\AppData\Local\ifahugil.dll moved successfully.
C:\Users\********\AppData\Local\ihukubub.dll moved successfully.
C:\Users\****\AppData\Local\ijunisix.dll moved successfully.
C:\Users\****\AppData\Local\ixafivutamuxu.dll moved successfully.
C:\Users\****\AppData\Local\iyureqij.dll moved successfully.
C:\Users\****\AppData\Local\obuticab.dll moved successfully.
C:\Users\****\AppData\Local\ocosifizi.dll moved successfully.
C:\Users\****\AppData\Local\ogasudihoso.dll moved successfully.
C:\Users\****\AppData\Local\ojedicuvuh.dll moved successfully.
C:\Users\****\AppData\Local\ojomocin.dll moved successfully.
C:\Users\****\AppData\Local\ojugavopiwam.dll moved successfully.
C:\Users\****\AppData\Local\okeboqax.dll moved successfully.
C:\Users\****\AppData\Local\okuruyaxu.dll moved successfully.
C:\Users\****\AppData\Local\olopewuk.dll moved successfully.
C:\Users\****\AppData\Local\onucefuhelico.dll moved successfully.
C:\Users\****\AppData\Local\opajilesoqa.dll moved successfully.
C:\Users\****\AppData\Local\orobojebuqagetey.dll moved successfully.
C:\Users\****\AppData\Local\oxehuziqizo.dll moved successfully.
C:\Users\****\AppData\Local\oyizoyiz.dll moved successfully.
C:\Users\****\AppData\Local\ubosakor.dll moved successfully.
C:\Users\****\AppData\Local\ucocavalegacu.dll moved successfully.
C:\Users\****\AppData\Local\ulofusocacez.dll moved successfully.
C:\Users\****\AppData\Local\umajaxakuqe.dll moved successfully.
C:\Users\****\AppData\Local\uqekobox.dll moved successfully.
C:\Users\****\AppData\Local\uravefogutudi.dll moved successfully.
C:\Users\****\AppData\Local\urulometa.dll moved successfully.
C:\Users\****\AppData\Local\uwojoyexamecu.dll moved successfully.
C:\Users\****\AppData\Local\uwoyelovawubixax.dll moved successfully.
C:\Users\****\AppData\Local\uxagogagimo.dll moved successfully.
C:\Users\****\AppData\Local\uxixufap.dll moved successfully.
C:\Users\********\AppData\Local\uyifiqej.dll moved successfully.
C:\Users\****\AppData\Local\uzavurog.dll moved successfully.
C:\Users\****\AppData\Local\uzesoyaq.dll moved successfully.
File move failed. C:\Windows\System32\msqpdxvdceresx.dll scheduled to be moved on reboot.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ****
->Temp folder emptied: 1075994 bytes
->Temporary Internet Files folder emptied: 8905876 bytes
->Java cache emptied: 59299290 bytes
->FireFox cache emptied: 133313853 bytes
->Flash cache emptied: 1919147 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 279440 bytes
Windows Temp folder emptied: 528910 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 196,00 mb
 
 
OTL by OldTimer - Version 3.2.1.2 log created on 07232010_065951

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\msqpdxvdceresx.dll scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Nach Neustart hat Avira beim ausführen von Firefox den Trojaner wieder gefunden. Allerdings kam die Meldung nur 1x und nicht wie gewohnt 3x

Gruß
Rainer

cosinus · 23.07.2010, 16:00

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BADRAIN · 27.07.2010, 05:51

Hi Arne, hat verdammt lange gedauert, hab den dann bis heute morgen durchlaufen lassen. Nach dem Neustart kam bis jetzt noch keine Fehlermeldung von Avira......aber ich warte mal ab

Code:

ATTFilter

ComboFix 10-07-24.04 - **** 26.07.2010   9:28.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.767.214 [GMT 2:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\acer\AcerTour\Reminder.exe
C:\Autorun.inf
C:\resycled
c:\windows\system32\drivers\msqpdxiofvfdft.sys
c:\windows\system32\msqpdxvdceresx.dll
D:\autorun.inf
D:\resycled

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_msqpdxserv.sys
-------\Service_msqpdxserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2010-06-26 bis 2010-07-26  ))))))))))))))))))))))))))))))
.

2010-07-26 07:43 . 2010-07-26 07:45	--------	d-----w-	c:\users\****\AppData\Local\temp
2010-07-26 07:43 . 2010-07-26 07:43	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-07-23 04:59 . 2010-07-23 04:59	--------	d-----w-	C:\_OTL
2010-07-20 05:40 . 2010-07-20 05:40	--------	d-----w-	c:\program files\trend micro
2010-07-20 05:39 . 2010-07-20 05:40	--------	d-----w-	C:\rsit
2010-07-19 08:14 . 2010-07-19 08:14	--------	d-----w-	c:\users\****\AppData\Roaming\Malwarebytes
2010-07-19 08:14 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-19 08:14 . 2010-07-19 08:14	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-19 08:14 . 2010-07-19 08:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-19 08:14 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-19 07:44 . 2010-07-19 07:44	--------	d-----w-	c:\program files\CCleaner
2010-07-18 19:07 . 2010-07-19 05:34	--------	d-----w-	c:\program files\X-Cleaner
2010-07-16 08:03 . 2010-07-16 08:03	56832	----a-w-	c:\windows\system32\msqpdxvdceresx.dll.VIR
2010-07-16 06:36 . 2010-07-19 08:56	--------	d-----w-	C:\!KillBox
2010-07-15 10:13 . 2010-07-15 10:13	--------	d-----w-	c:\users\****\AppData\Roaming\Avira
2010-07-15 10:10 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-15 10:10 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-15 10:10 . 2009-05-11 10:49	51992	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-15 10:10 . 2009-05-11 10:49	17016	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-15 09:23 . 2010-07-15 09:59	--------	d-----w-	c:\program files\Panda Security
2010-07-15 09:14 . 2010-07-26 06:58	--------	d-----w-	c:\users\****\AppData\Local\ApplicationHistory
2010-07-15 09:14 . 2010-07-15 09:14	92	----a-w-	c:\users\****\AppData\Local\fusioncache.dat
2010-07-15 09:07 . 2010-07-15 09:07	--------	d-----w-	c:\windows\system32\URTTEMP
2010-07-15 09:04 . 2010-07-15 09:04	--------	d-----w-	C:\LocalService
2010-07-15 08:57 . 2010-07-15 08:57	--------	d-----w-	C:\AiO-Files
2010-07-15 05:29 . 2010-07-15 05:29	--------	d-----w-	c:\users\****\AppData\Local\Cooliris

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-26 07:28 . 2008-04-03 05:45	--------	d-----w-	c:\programdata\Google Updater
2010-07-23 22:34 . 2008-04-03 05:49	--------	d-----w-	c:\users\****\AppData\Roaming\ICQ
2010-07-18 13:09 . 2010-07-18 13:10	1574912	----a-w-	c:\windows\Internet Logs\xDB83EE.tmp
2010-07-15 10:19 . 2010-07-15 10:26	1552896	----a-w-	c:\windows\Internet Logs\xDBA8EC.tmp
2010-07-15 10:19 . 2010-07-15 10:26	2727424	----a-w-	c:\windows\Internet Logs\xDBA082.tmp
2010-07-15 09:15 . 2008-04-01 15:35	93368	----a-w-	c:\users\****\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-15 09:08 . 2006-11-02 15:33	685642	----a-w-	c:\windows\system32\perfh007.dat
2010-07-15 09:08 . 2006-11-02 15:33	150432	----a-w-	c:\windows\system32\perfc007.dat
2010-07-06 05:12 . 2010-01-05 08:03	--------	d-----w-	c:\users\****\AppData\Roaming\Xfire
2010-07-02 09:49 . 2008-07-01 03:21	33556127	----a-w-	c:\windows\Internet Logs\tvDebug.zip
2010-06-17 12:35 . 2010-07-02 13:58	1496064	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-06-17 12:35 . 2010-07-02 13:58	43008	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-06-17 12:35 . 2010-07-02 13:58	339456	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-06-17 12:35 . 2010-07-02 13:58	346112	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-06-01 08:05 . 2009-10-05 06:07	--------	d-----w-	c:\users\****\AppData\Roaming\FileZilla
2010-05-26 17:10 . 2010-07-15 05:29	57856	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2010-05-26 17:10 . 2010-07-15 05:29	545280	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2010-05-26 17:10 . 2010-07-15 05:29	4687360	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\libs\cooliris192.dll
2010-05-26 17:10 . 2010-07-15 05:29	425984	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2010-05-26 17:10 . 2010-07-15 05:29	153088	----a-w-	c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2010-05-26 17:10 . 2010-07-15 05:29	103424	----a-w-	c:\users\********\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2010-05-24 03:43 . 2010-05-24 18:44	2733568	----a-w-	c:\windows\Internet Logs\xDB76F3.tmp
2010-05-11 18:37 . 2010-05-11 18:37	41872	----a-w-	c:\windows\system32\xfcodec.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-03 68856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"Acer Empowering Technology Monitor"="c:\acer\Empowering Technology\SysMonitor.exe" [2007-01-24 319488]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader - Schnellstart.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-5-7 528384]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-5-7 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"FirewallOverride"=dword:00000001

R2 gupdate1c9dad620542c1;Google Update Service (gupdate1c9dad620542c1);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-22 133104]
R3 dump_wmimmc;dump_wmimmc;c:\maxga\SnowBoundOnline\GameGuard\dump_wmimmc.sys [x]
S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2007-04-04 266343]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]

.
Inhalt des "geplante Tasks" Ordners

2010-07-26 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-03 11:17]

2010-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-22 12:08]

2010-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-22 12:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hotel-****.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://de.intl.acer.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\programme\Microsoft Office\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.hotel-****.de/
FF - component: c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll
FF - component: c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\oeff2mul.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe
HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe
HKU-Default-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-26 09:45
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{1edec5a3-119a-4dcf-ae8f-ce15d981b329}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0b001c25
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{210c7017-e52f-4642-9169-44e19118ad6b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e020054
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{7204a659-b2bf-436f-9672-a8e55f5e5dc4}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c00016c
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{b717fbc1-7ea6-4839-b28c-760a6df4f63d}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e000000
"Dhcpv6State"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet060\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\TeamViewer3\TeamViewer_Service.exe
c:\windows\system32\WUDFHost.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\windows\ehome\ehmsas.exe
c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-26  10:01:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-26 08:01

Vor Suchlauf: 16 Verzeichnis(se), 42.632.953.856 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 42.402.140.160 Bytes frei

- - End Of File - - 03D94AF81F94062320A456A824C619EC

Gruß Rainer

BADRAIN · 27.07.2010, 12:00

MÖÖÖÖP - System sauber, dann machte Windows 66!! Updates - danach neuer Trojaner TR/Rootkit.Gen2 gefungen - Vista Service Pack2 Installation nicht erfolgreich

hier Avira Log

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 27. Juli 2010  10:17

Es wird nach 2569567 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 1)  [6.0.6001]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HOTEL-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 10:12:14
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 10:12:15
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 05:23:09
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 05:23:09
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 05:23:10
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 05:23:10
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 05:23:10
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 05:23:10
VBASE013.VDF   : 7.10.9.171      2048 Bytes  23.07.2010 05:23:10
VBASE014.VDF   : 7.10.9.172      2048 Bytes  23.07.2010 05:23:10
VBASE015.VDF   : 7.10.9.173      2048 Bytes  23.07.2010 05:23:10
VBASE016.VDF   : 7.10.9.174      2048 Bytes  23.07.2010 05:23:10
VBASE017.VDF   : 7.10.9.175      2048 Bytes  23.07.2010 05:23:10
VBASE018.VDF   : 7.10.9.176      2048 Bytes  23.07.2010 05:23:11
VBASE019.VDF   : 7.10.9.177      2048 Bytes  23.07.2010 05:23:11
VBASE020.VDF   : 7.10.9.178      2048 Bytes  23.07.2010 05:23:11
VBASE021.VDF   : 7.10.9.179      2048 Bytes  23.07.2010 05:23:11
VBASE022.VDF   : 7.10.9.180      2048 Bytes  23.07.2010 05:23:11
VBASE023.VDF   : 7.10.9.181      2048 Bytes  23.07.2010 05:23:11
VBASE024.VDF   : 7.10.9.182      2048 Bytes  23.07.2010 05:23:11
VBASE025.VDF   : 7.10.9.183      2048 Bytes  23.07.2010 05:23:11
VBASE026.VDF   : 7.10.9.184      2048 Bytes  23.07.2010 05:23:12
VBASE027.VDF   : 7.10.9.185      2048 Bytes  23.07.2010 05:23:12
VBASE028.VDF   : 7.10.9.186      2048 Bytes  23.07.2010 05:23:12
VBASE029.VDF   : 7.10.9.187      2048 Bytes  23.07.2010 05:23:12
VBASE030.VDF   : 7.10.9.188      2048 Bytes  23.07.2010 05:23:12
VBASE031.VDF   : 7.10.9.194    107520 Bytes  25.07.2010 06:58:35
Engineversion  : 8.2.4.26  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  15.07.2010 10:12:20
AESCRIPT.DLL   : 8.1.3.41     1364346 Bytes  23.07.2010 03:10:25
AESCN.DLL      : 8.1.6.1       127347 Bytes  15.07.2010 10:12:20
AESBX.DLL      : 8.1.3.1       254324 Bytes  15.07.2010 10:12:20
AERDL.DLL      : 8.1.8.2       614772 Bytes  23.07.2010 03:10:25
AEPACK.DLL     : 8.2.3.2       471414 Bytes  23.07.2010 03:10:24
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  23.07.2010 03:10:24
AEHEUR.DLL     : 8.1.2.6      2793846 Bytes  23.07.2010 03:10:24
AEHELP.DLL     : 8.1.13.2      242039 Bytes  23.07.2010 03:10:22
AEGEN.DLL      : 8.1.3.17      385396 Bytes  23.07.2010 03:10:22
AEEMU.DLL      : 8.1.2.0       393588 Bytes  15.07.2010 10:12:18
AECORE.DLL     : 8.1.16.2      192887 Bytes  23.07.2010 03:10:21
AEBB.DLL       : 8.1.1.0        53618 Bytes  15.07.2010 10:12:18
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d2fb4b4\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 27. Juli 2010  10:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wermgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spinstall.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Windows6.0-KB948465-X86.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCMMediaSharing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SysMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMSServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\winsxs\Temp\PendingRenames\0da31de8632dcb016e3000002c151811.x86_microsoft-windows-gdi_31bf3856ad364e35_6.0.6002.18262_none_ab7ab4ea57db7e87_atmfd.dll_ff796bf0'
C:\Windows\winsxs\Temp\PendingRenames\0da31de8632dcb016e3000002c151811.x86_microsoft-windows-gdi_31bf3856ad364e35_6.0.6002.18262_none_ab7ab4ea57db7e87_atmfd.dll_ff796bf0
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen2

Beginne mit der Desinfektion:
C:\Windows\winsxs\Temp\PendingRenames\0da31de8632dcb016e3000002c151811.x86_microsoft-windows-gdi_31bf3856ad364e35_6.0.6002.18262_none_ab7ab4ea57db7e87_atmfd.dll_ff796bf0
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen2
    [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Dienstag, 27. Juli 2010  10:19
Benötigte Zeit: 00:21 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     65 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     64 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

cosinus · 27.07.2010, 13:33

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

BADRAIN · 28.07.2010, 06:09

Moinsen Arne,
Service Pack 2 wurde beim 3. Anlauf installiert - keine weitere Fehlermeldung oder Virenfund (auch der neue Trojaner scheint verschwunden), aber jetzt ist genau das passiert was ich unbedingt verhindern mußte, die Datenbank meines wichtigsten Programms wurde zerstört und hat jetzt eine schwere Fehlermeldung - somit komme ich wahrscheinlich um ein neu aufsetzen nicht mehr herum. Ich versuche heute die Datenbank mit dem Backup noch einmal zu resetten und das Pragramm zu reparieren. Wenn das geht mache ich die Scans.

Gruß Rainer

cosinus · 29.07.2010, 13:52

Zitat:

die Datenbank meines wichtigsten Programms wurde zerstört und hat jetzt eine schwere Fehlermeldung

Wie hast Du denn das hinbekommen?

BADRAIN · 29.07.2010, 17:22

Hi Arne,

Zitat:

Zitat von cosinus

Wie hast Du denn das hinbekommen?

es sind einige dll's nicht mehr vorhanden, die für die sehr komplexe Datenbank von nöten sind - (Aussage vom Support)
Im Grunde hatte ich nach der Installation vom Servicepack2 erst das Problem. Ein zurücksetzen auf eine jüngeres Datum vor SP2 war nicht mehr möglich.

Gruß
Rainer

cosinus · 29.07.2010, 18:59

Hm wie heißt die Datenbank genau? Welche Version?

Isses der hier?

Zitat:

R2 MSSQLSERVER;SQL Server (MSSQLSERVER); C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224]

BADRAIN · 29.07.2010, 21:43

ja das könnte sein - aber ehrlich gesagt weiß ich es nicht genau. Die Datenbank wird im Augenblick nicht mehr aktualisiert, ebenso die Fensteraktualisierung der Programms selbst
Gruß Rainer

Trojaner TR/Crypt.BA' - mbam-scan 4 mal bluescreen

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Crypt.BA' - mbam-scan 4 mal bluescreen