| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: AntiVir Pro Solution- ist es noch da?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.08.2010, 19:32
| #1 |
 |  AntiVir Pro Solution- ist es noch da? Hallo, zuerst muss ich sagen, dass ich es super finde, dass es euch gibt und wie gut ihr hier helft. Nun zu meinem Problem: Vorhin ging plötzlich das Fenster von Windows Media Player auf und ne Meldung, dass dieser irgend eine Datei nicht öffnen kann. Plötzlich das Bild von Antivir Pro Solution. (Hatte das vor Wochen schon, wurde im Computerladen entfernt) Habe rkill laufen lassen, dann den Haken bei Interneteinstellungen raus und dann kompletter Scan mit Malewarebytes gemacht und Neustart. Als der PC hochfuhr, kam die Meldung, dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird und nun kommt unten rechts öfters mal die Sprechblase von Antimaleware, dass der Zugang zu einer potentiellen schwerwiegenden Seite geblockt wird. Also muss da doch noch was sein. Was soll ich nun machen? Meine PC-Kenntnisse sind auf dem Gebiet doch recht mau, also verzeiht mir, falls ich mich blöd ausdrücke. Hier mal der Bericht von Antimalware, hoffe, es ist ok so: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4407 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.08.2010 20:10:39 mbam-log-2010-08-08 (20-10-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 217307 Laufzeit: 1 Stunde(n), 11 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\AVSolution (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AVSolution (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkjvqdvm (Malware.Gen) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkjvqdvm (Malware.Gen) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\kmermvsyi\lxnltautssd.exe (Malware.Gen) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Desktop\Privat\diverses\AI.Roboform.Pro.v6.9.82 100% OK\Patch.exe (RiskWare.Tool.CK) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\0.9069686363966039.exe (Malware.Gen) -> No action taken. C:\Programme\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. Wäre super, wenn mir jemand kurz sagen könnte, was da los ist und was ich noch machen muss/soll. Ich sag schon mal danke! |
|
08.08.2010, 20:33
| #2 |
| /// Selecta Jahrusso   | AntiVir Pro Solution- ist es noch da? Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Downloade Dir bitte Load.exe
Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf. Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.
__________________ |
|
08.08.2010, 21:01
| #3 |
| | AntiVir Pro Solution- ist es noch da? schreibe gerade vom Netbook. Hab load jetzt drauf, und die Schritte durchgeführt, aber: bei GMER stürzt Laptop ab, sobald der Scann startet und bei tfc hab ich das Problem, dass da steht: stopping running processes, aber wenn ich start klicke, passiert nichts. Hab letzt nen leeren Hintergrund und diese Sanduhr statts Mauszeiger, geht auch nicht zu schließen. Was nun? Die anderen Sachen hab ich gemacht
__________________ |
|
08.08.2010, 21:47
| #4 |
| /// Selecta Jahrusso | AntiVir Pro Solution- ist es noch da? kannst Du im Taskmanager (strg+alt+entf) den Process tfc.exe killen ? Starte danach den Rechner neu auf und poste mir die Logfiles aus der .pdf
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
08.08.2010, 22:19
| #5 |
| | AntiVir Pro Solution- ist es noch da? Ging auch nicht, musste den AUS-Knopf drücken. Was mir noch auffiel, seit ich antivir pro solution draufhatte, öffneten sich ständig Pornoseiten, selber konnte ich jedoch keine Seite im Internet öffnen. gmer stürzt immer ab, also xp startet neu, wenn ich scannen will. Die Sprechblase unten rechts (potent. gefährl. Seite) kommt noch immer. Hier mal die Reports der anderen: OTL: OTL Logfile: Code:
ATTFilter OTL logfile created on: 08.08.2010 22:54:51 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Kerstin\Desktop\MFTools Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 82,00% Memory free 8,00 Gb Paging File | 8,00 Gb Available in Paging File | 95,00% Paging File free Paging file location(s): C:\pagefile.sys 4985 9970 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 100,01 Gb Total Space | 24,90 Gb Free Space | 24,89% Space Free | Partition Type: NTFS Drive D: | 197,10 Gb Total Space | 197,03 Gb Free Space | 99,96% Space Free | Partition Type: NTFS Drive E: | 1004,03 Mb Total Space | 835,88 Mb Free Space | 83,25% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: PB Current User Name: Kerstin Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.08.08 21:36:22 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\MFTools\OTL.exe PRC - [2010.07.23 15:48:45 | 000,160,592 | ---- | M] (Siber Systems) -- C:\Programme\Siber Systems\AI RoboForm\robotaskbaricon.exe PRC - [2010.07.23 08:24:42 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe PRC - [2010.07.23 08:24:42 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe PRC - [2010.07.23 08:24:42 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.04.29 12:19:20 | 000,437,584 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2010.04.29 12:19:20 | 000,304,464 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2010.03.02 10:29:55 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.02.24 09:29:19 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.01.14 21:12:14 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.02.18 18:04:54 | 000,266,240 | ---- | M] () -- C:\WINDOWS\system32\CSHelper.exe PRC - [2009.02.03 09:01:10 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.03.03 18:06:00 | 001,848,648 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE PRC - [2008.01.22 10:35:52 | 000,103,808 | ---- | M] () -- C:\Programme\Canon\IJPLM\ijplmsvc.exe PRC - [2007.02.13 00:43:44 | 000,065,536 | ---- | M] (O2Micro International) -- C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE ========== Modules (SafeList) ========== MOD - [2010.08.08 21:36:22 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\MFTools\OTL.exe MOD - [2008.04.14 07:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\bgsvcgen.exe -- (bgsvcgen) SRV - [2010.07.23 08:24:42 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService) SRV - [2010.07.23 08:24:42 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService) SRV - [2010.07.23 08:24:42 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.04.29 12:19:20 | 000,304,464 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2010.03.18 13:16:28 | 000,753,504 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.02.24 09:29:19 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2009.07.09 12:22:18 | 000,144,712 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2009.02.18 18:04:54 | 000,266,240 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\CSHelper.exe -- (CSHelper) SRV - [2009.02.03 00:03:18 | 000,603,904 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\WINDOWS\system32\TUProgSt.exe -- (TuneUp.ProgramStatisticsSvc) SRV - [2009.02.03 00:03:14 | 000,360,192 | ---- | M] (TuneUp Software) [On_Demand | Stopped] -- C:\WINDOWS\system32\TuneUpDefragService.exe -- (TuneUp.Defrag) SRV - [2008.12.11 14:31:36 | 000,027,904 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp) SRV - [2008.06.10 20:26:28 | 000,222,456 | ---- | M] () [Disabled | Stopped] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2008.01.22 10:35:52 | 000,103,808 | ---- | M] () [Auto | Running] -- C:\Programme\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC) SRV - [2007.02.13 00:43:44 | 000,065,536 | ---- | M] (O2Micro International) [Auto | Running] -- C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe -- (O2Flash) SRV - [2004.10.22 04:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.09.29 13:14:36 | 000,069,632 | ---- | M] (HP) [Disabled | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM) SRV - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) [On_Demand | Stopped] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA) DRV - [2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.03.01 09:06:38 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.02.16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.08.28 10:33:50 | 000,228,784 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP) DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.03 00:27:27 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) DRV - [2009.01.14 09:14:01 | 003,455,488 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2008.12.25 18:32:32 | 003,721,664 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2008.11.19 18:09:10 | 000,024,832 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem) DRV - [2008.11.19 18:09:08 | 000,019,968 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag) DRV - [2008.11.19 18:09:08 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus) DRV - [2008.11.08 10:55:18 | 000,101,376 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard) DRV - [2008.11.04 10:52:38 | 000,114,472 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdm.sys -- (s1018mdm) DRV - [2008.11.04 10:52:38 | 000,108,328 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM) DRV - [2008.11.04 10:52:38 | 000,086,696 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM) DRV - [2008.11.04 10:52:38 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS) DRV - [2008.11.04 10:52:38 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdfl.sys -- (s1018mdfl) DRV - [2008.11.04 10:52:36 | 000,109,736 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM) DRV - [2008.11.04 10:52:36 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018obex.sys -- (s1018obex) DRV - [2008.11.03 13:16:06 | 000,712,704 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2860.sys -- (RT80x86) DRV - [2008.10.30 22:14:20 | 000,117,888 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008.10.21 10:22:48 | 000,114,600 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017mdm.sys -- (s0017mdm) DRV - [2008.10.21 10:22:48 | 000,109,736 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017unic.sys -- (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM) DRV - [2008.10.21 10:22:48 | 000,108,328 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017mgmt.sys -- (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM) DRV - [2008.10.21 10:22:48 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017obex.sys -- (s0017obex) DRV - [2008.10.21 10:22:48 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017bus.sys -- (s0017bus) Sony Ericsson Device 0017 driver (WDM) DRV - [2008.10.21 10:22:48 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017nd5.sys -- (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS) DRV - [2008.10.21 10:22:48 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0017mdfl.sys -- (s0017mdfl) DRV - [2008.10.09 16:42:42 | 000,017,408 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\KMWDFILTER.sys -- (KMWDFILTER) DRV - [2008.10.02 20:01:46 | 004,878,336 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.04.14 01:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE) DRV - [2008.04.13 22:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2008.01.15 18:34:58 | 000,048,472 | ---- | M] (O2Micro ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\o2media.sys -- (O2MDRDR) DRV - [2006.09.24 15:28:46 | 000,005,248 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan) DRV - [2006.02.20 17:01:00 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR) DRV - [2005.04.14 00:00:00 | 000,085,120 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ctxusbtv.sys -- (CXLWIRE) USB Hybrid Video Capture (DVB-T/PAL) DRV - [2005.02.23 14:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc) DRV - [2004.01.16 14:02:58 | 000,017,408 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\x10ufx2.sys -- (XUIF) DRV - [2002.09.16 18:32:08 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.sys -- (PQNTDrv) DRV - [1996.04.03 21:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 [2009.04.21 21:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Mozilla\Extensions [2009.04.21 21:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Mozilla\Extensions\songbird@songbirdnest.com O1 HOSTS File: ([2009.02.03 00:04:49 | 000,292,082 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 007guard.com - 007guard and Free Antivirus O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 10056 more lines... O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll (Siber Systems) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.) O2 - BHO: (Yahoo! Toolbar) - {EF2D6E36-5C05-4F40-B861-9E909B5BAE09} - C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\YahooToolbar\IE\YahooToolbar.dll (Yahoo! Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKLM\..\Toolbar: (&RoboForm) - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll (Siber Systems) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (&RoboForm) - {724D43A0-0D85-11D4-9908-00400523E39A} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll (Siber Systems) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKCU..\Run: [RoboForm] C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe (Siber Systems) O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O8 - Extra context menu item: RF - Formular ausfüllen - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html () O8 - Extra context menu item: RF - Formular speichern - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html () O8 - Extra context menu item: RF - Menü anpassen - C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html () O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html () O9 - Extra Button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html () O9 - Extra 'Tools' menuitem : RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html () O9 - Extra Button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html () O9 - Extra 'Tools' menuitem : RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html () O9 - Extra Button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html () O9 - Extra 'Tools' menuitem : RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell - "" = AutoRun O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell - "" = AutoRun O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell - "" = AutoRun O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell\AutoRun\command - "" = G:\USBAutoRun.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) NetSvcs: WmdmPmSp - File not found Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation) Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation) Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation) Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation) Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation) Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation) Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: VIDC.ACDV - C:\WINDOWS\System32\ACDV.dll (ACD Systems) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation) Drivers32: vidc.LEAD - C:\WINDOWS\System32\LCodcCMP.dll (LEAD Technologies, Inc.) Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation) Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation) Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation) Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation) Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation) CREATERESTOREPOINT Error starting restore point: System Restore is disabled. Error closing restore point: System Restore is disabled. ========== Files/Folders - Created Within 90 Days ========== [2010.08.08 21:39:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.08 21:38:54 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2010.08.08 21:36:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Desktop\MFTools [2010.08.08 19:34:03 | 009,157,960 | ---- | C] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\SUPERAntiSpyware.exe [2010.08.08 18:53:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.08 18:53:26 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.08 18:53:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.08 18:21:59 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\dududu.exe [2010.08.08 17:43:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\kmermvsyi [2010.08.08 10:33:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Desktop\KindskoepfeSCRMD_M2sbf [2010.08.06 11:00:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump [2010.07.30 06:24:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Avira [2010.07.29 20:19:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Desktop\ToyStory3DVDSCREENERChefflo_M1sbf [2010.07.26 14:40:13 | 000,000,000 | ---D | C] -- C:\Programme\Lavalys [2010.07.23 22:22:29 | 000,000,000 | ---D | C] -- C:\Programme\SpeedFan [2010.07.23 19:33:09 | 000,000,000 | ---D | C] -- C:\Programme\Synaptics [2010.07.23 19:33:03 | 000,228,784 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\drivers\SynTP.sys [2010.07.23 19:33:03 | 000,206,120 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\SynCtrl.dll [2010.07.23 19:33:03 | 000,161,064 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\SynTPAPI.dll [2010.07.23 19:33:03 | 000,120,104 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\SynTPCo4.dll [2010.07.23 19:33:02 | 000,169,256 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\SynCOM.dll [2010.07.23 16:00:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\YahooToolbar [2010.07.23 09:20:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\WindowsPowerShell [2010.07.23 09:20:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\winrm [2010.07.23 09:20:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\GroupPolicy [2010.07.23 09:20:27 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$968930Uinstall_KB968930$ [2010.07.23 08:30:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.07.23 08:28:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Avira [2010.07.23 08:20:51 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.07.23 08:20:50 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.07.23 08:20:50 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.07.23 08:20:50 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.07.23 08:20:50 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.07.23 08:20:50 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.07.22 16:10:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools [2010.07.22 15:02:59 | 000,081,288 | ---- | C] (PCTools Research Pty Ltd.) -- C:\WINDOWS\System32\drivers\iksyssec.sys [2010.07.22 15:02:59 | 000,066,952 | ---- | C] (PCTools Research Pty Ltd.) -- C:\WINDOWS\System32\drivers\iksysflt.sys [2010.07.22 15:02:59 | 000,040,840 | ---- | C] (PCTools Research Pty Ltd.) -- C:\WINDOWS\System32\drivers\ikfilesec.sys [2010.07.22 15:02:59 | 000,029,576 | ---- | C] (PCTools Research Pty Ltd.) -- C:\WINDOWS\System32\drivers\kcom.sys [2010.07.22 15:02:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\PC Tools [2010.07.22 14:58:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kerstin\IECompatCache [2010.07.22 14:57:55 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kerstin\PrivacIE [2010.07.22 14:38:18 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kerstin\IETldCache [2010.07.22 14:32:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.07.22 14:30:06 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [2010.07.22 13:34:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Malwarebytes [2010.07.22 13:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.06.02 18:18:10 | 000,621,056 | R--- | C] (DiBcom SA) -- C:\WINDOWS\System32\drivers\mod7700.sys [2010.06.02 18:18:10 | 000,113,664 | R--- | C] (Huawei Technologies Co., Ltd.) -- C:\WINDOWS\System32\drivers\ewusbnet.sys [2010.06.02 18:18:10 | 000,101,376 | R--- | C] (Huawei Technologies Co., Ltd.) -- C:\WINDOWS\System32\drivers\ewusbmdm.sys [2010.06.02 18:18:10 | 000,024,448 | R--- | C] (Huawei Tech. Co., Ltd.) -- C:\WINDOWS\System32\drivers\ewdcsc.sys [2010.06.02 18:17:31 | 000,000,000 | ---D | C] -- C:\Programme\Surf & E-Mail-Stick [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [29 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ] ========== Files - Modified Within 90 Days ========== [2010.08.08 23:03:12 | 000,585,472 | ---- | M] () -- C:\WINDOWS\System32\drivers\rhqnk.sys [2010.08.08 23:03:11 | 000,768,512 | ---- | M] () -- C:\WINDOWS\System32\drivers\hjjchzm.sys [2010.08.08 23:00:04 | 000,000,496 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2010.08.08 22:55:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.08 22:52:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.08 22:52:03 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.08.08 22:51:37 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.08 22:51:37 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.08 22:51:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.08 22:13:00 | 000,001,216 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2025429265-1960408961-1417001333-1003UA.job [2010.08.08 21:43:17 | 000,275,760 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.08 21:38:55 | 000,000,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\NTREGOPT.lnk [2010.08.08 21:38:55 | 000,000,577 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\ERUNT.lnk [2010.08.08 21:36:11 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Gmer.zip [2010.08.08 21:35:32 | 000,410,850 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Load.exe [2010.08.08 20:35:00 | 009,961,472 | -H-- | M] () -- C:\Dokumente und Einstellungen\Kerstin\NTUSER.DAT [2010.08.08 20:35:00 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Kerstin\ntuser.ini [2010.08.08 20:13:00 | 000,001,164 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-2025429265-1960408961-1417001333-1003Core.job [2010.08.08 20:08:11 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.08.08 20:08:04 | 000,060,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.08 19:34:11 | 009,157,960 | ---- | M] (SUPERAntiSpyware.com) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\SUPERAntiSpyware.exe [2010.08.08 18:53:30 | 000,000,681 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.08 18:21:59 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Kerstin\Desktop\dududu.exe [2010.08.08 15:37:54 | 000,502,272 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\amaz.doc [2010.07.28 15:13:44 | 000,002,385 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Google Chrome.lnk [2010.07.26 20:26:11 | 002,357,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\rowenta.doc [2010.07.26 14:40:15 | 000,000,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\EVEREST Home Edition.lnk [2010.07.24 17:06:27 | 000,019,811 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\sigpic7772_3.gif [2010.07.23 22:22:30 | 000,000,659 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\SpeedFan.lnk [2010.07.23 22:22:29 | 000,000,045 | ---- | M] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.23 22:21:58 | 001,891,864 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\installspeedfan440.exe [2010.07.23 19:33:26 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_SynTP_01009.Wdf [2010.07.23 19:33:23 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf [2010.07.23 19:33:22 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.07.23 16:02:26 | 001,140,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\ernsthafte_Frage.pps [2010.07.23 09:25:42 | 001,184,714 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.23 09:25:42 | 000,510,698 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.23 09:25:42 | 000,488,000 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.23 09:25:42 | 000,098,314 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.23 09:25:42 | 000,081,840 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.23 08:21:05 | 000,001,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.07.22 14:48:58 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010.07.22 13:26:03 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.07.17 16:39:15 | 000,005,446 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\blackberry.jpg [2010.07.16 21:13:41 | 000,017,940 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\pzr1(2).pdf [2010.06.30 14:04:02 | 000,364,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\screen odol.doc [2010.06.13 13:23:24 | 003,303,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\P1030248.JPG [2010.06.10 18:34:03 | 000,013,679 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\1255835726103.jpg [2010.06.02 20:32:27 | 000,016,358 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Z40420_321.jpg [2010.05.24 18:34:49 | 000,227,021 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\dancing_cat-12753.gif [2010.05.21 14:58:48 | 000,001,892 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ] [29 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.08 21:41:55 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\gmer.exe [2010.08.08 21:38:55 | 000,000,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\NTREGOPT.lnk [2010.08.08 21:38:55 | 000,000,577 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\ERUNT.lnk [2010.08.08 21:36:11 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Gmer.zip [2010.08.08 21:35:37 | 000,410,850 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Load.exe [2010.08.08 18:53:30 | 000,000,681 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.08 15:35:33 | 000,502,272 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\amaz.doc [2010.08.08 10:33:14 | 000,004,755 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Kindskoepfe.SCR.MD_M2.sbf [2010.07.28 23:09:02 | 000,768,512 | ---- | C] () -- C:\WINDOWS\System32\drivers\hjjchzm.sys [2010.07.28 23:08:48 | 000,585,472 | ---- | C] () -- C:\WINDOWS\System32\drivers\rhqnk.sys [2010.07.28 23:08:41 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\bawuho.dat [2010.07.26 14:40:15 | 000,000,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\EVEREST Home Edition.lnk [2010.07.25 16:34:07 | 002,357,760 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\rowenta.doc [2010.07.24 17:06:40 | 000,019,811 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\sigpic7772_3.gif [2010.07.23 22:22:30 | 000,000,659 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\SpeedFan.lnk [2010.07.23 22:22:28 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\initdebug.nfo [2010.07.23 22:21:58 | 001,891,864 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\installspeedfan440.exe [2010.07.23 19:33:26 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_SynTP_01009.Wdf [2010.07.23 19:33:23 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf [2010.07.23 16:02:25 | 001,140,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\ernsthafte_Frage.pps [2010.07.23 08:21:05 | 000,001,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.07.23 08:19:36 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\HBEDV.KEY [2010.07.22 13:26:03 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.07.17 16:39:26 | 000,005,446 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\blackberry.jpg [2010.07.16 21:13:41 | 000,017,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\pzr1(2).pdf [2010.06.30 14:04:02 | 000,364,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\screen odol.doc [2010.06.13 13:25:56 | 003,303,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\P1030248.JPG [2010.06.10 18:34:30 | 000,013,679 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\1255835726103.jpg [2010.06.02 20:33:55 | 000,016,358 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\Z40420_321.jpg [2010.05.24 18:36:40 | 000,227,021 | ---- | C] () -- C:\Dokumente und Einstellungen\Kerstin\Desktop\dancing_cat-12753.gif [2010.05.21 14:58:48 | 000,001,892 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.01.07 20:40:58 | 001,970,176 | ---- | C] () -- C:\WINDOWS\System32\d3dx9.dll [2009.09.18 17:28:54 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2009.08.14 22:20:42 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2009.08.14 22:20:28 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2009.04.27 16:43:13 | 000,001,322 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2009.02.10 18:50:49 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2009.02.10 18:36:39 | 000,198,144 | ---- | C] () -- C:\WINDOWS\System32\_psisdecd.dll [2009.02.07 16:35:09 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.02.03 00:21:42 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.02.02 23:08:04 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\NC_INST.DLL [2005.06.02 00:01:02 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll [2005.01.21 13:02:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll [1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys ========== LOP Check ========== [2009.08.19 20:52:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software [2009.08.10 14:57:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2010.02.28 14:57:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJ [2009.08.10 15:40:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEPPEX [2009.08.10 15:04:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJMyPrinter [2010.08.08 22:09:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM [2010.02.28 14:25:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJScan [2009.08.10 15:06:35 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSolutionMenu [2009.02.03 22:35:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.12.27 14:36:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2010.07.03 22:04:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! [2009.02.08 18:09:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PPLiveVA [2009.02.02 23:27:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ralink Driver [2009.02.03 19:01:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RoboForm [2010.07.23 08:12:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2009.02.03 00:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2009.02.03 00:02:39 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} [2009.08.19 22:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [2009.02.03 00:27:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\ACD Systems [2010.02.28 14:25:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Canon [2009.09.27 17:38:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\COMPUTERBILD-Abzockschutz [2009.02.03 01:03:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\DasTelefonbuch Deutschland [2010.05.01 16:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\DVDVideoSoftIEHelpers [2009.10.06 23:26:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\gtk-2.0 [2009.02.04 15:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\ICQ [2009.08.14 22:23:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\MAGIX [2009.02.03 15:51:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\MSNInstaller [2009.02.04 20:24:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\MyPhoneExplorer [2009.08.14 22:51:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Netscape [2010.07.15 06:56:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Ogpili [2009.02.05 10:29:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Opera [2009.12.27 14:35:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Panasonic [2009.08.14 22:50:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Photodex [2009.02.08 18:02:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\PPLiveVA [2009.12.27 14:33:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\PTV AG [2009.04.21 21:39:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Songbird2 [2009.08.19 20:46:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Sony [2009.02.03 00:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\TuneUp Software [2009.02.03 01:03:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\TVG [2009.05.14 16:04:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\WEBDE [2010.07.14 21:08:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Wifu [2010.07.23 16:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\YahooToolbar [2010.08.08 23:00:04 | 000,000,496 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2009.02.03 00:45:03 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2001.08.18 21:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2009.09.15 19:59:21 | 000,000,127 | ---- | M] () -- C:\Notizen.rtf [2008.04.13 22:13:04 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2008.04.14 00:01:56 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.08.08 22:51:29 | 932,184,063 | -HS- | M] () -- C:\pagefile.sys [2009.08.14 22:51:25 | 000,001,734 | ---- | M] () -- C:\photodex-presenter-install.log [2010.08.08 18:45:29 | 000,000,484 | ---- | M] () -- C:\rkill.log < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > [2006.04.18 16:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont [2006.06.29 15:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont [2006.04.18 16:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont [2006.06.29 15:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont < %systemroot%\Fonts\*.dll > < %systemroot%\Fonts\*.ini > [2009.02.02 21:04:48 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > [2008.03.31 22:00:00 | 000,027,136 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPD9H.DLL [2008.03.31 22:00:00 | 000,069,632 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPP9H.DLL [2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll [2005.05.05 09:48:54 | 000,067,072 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\hpzpp3xu.dll [2007.04.09 14:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll [2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > [2007.10.11 09:19:10 | 000,045,056 | ---- | M] () -- C:\WINDOWS\Sim AQUARIUM 2.scr [2009.02.26 22:23:38 | 010,366,976 | ---- | M] (Anders und Seim Neue Medien AG) -- C:\WINDOWS\SuesswasserAquarium3D.scr [2009.07.10 14:10:44 | 000,307,568 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WLXPGSS.SCR [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > < %PROGRAMFILES%\*.* > [2009.02.08 18:39:33 | 001,131,176 | ---- | M] (Blizzard Entertainment) -- C:\Programme\WoW-installer-3.0.1.8874-x86-Win-deDE.exe < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [29 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2009.02.02 21:52:50 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2009.02.02 21:52:50 | 001,089,536 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2009.02.02 21:52:50 | 000,475,136 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\user32.dll /md5 > [2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll [29 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 07:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll [29 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 07:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll [29 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-08-03 21:15:59 ========== Alternate Data Streams ========== @Alternate Data Stream - 156 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D1B5B4F1 @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 < End of report > Extras: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 08.08.2010 22:54:51 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Kerstin\Desktop\MFTools
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 82,00% Memory free
8,00 Gb Paging File | 8,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 4985 9970 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 100,01 Gb Total Space | 24,90 Gb Free Space | 24,89% Space Free | Partition Type: NTFS
Drive D: | 197,10 Gb Total Space | 197,03 Gb Free Space | 99,96% Space Free | Partition Type: NTFS
Drive E: | 1004,03 Mb Total Space | 835,88 Mb Free Space | 83,25% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: PB
Current User Name: Kerstin
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend)
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Kerstin\Desktop\sbf-loader_2009_final\leecher.exe" = C:\Dokumente und Einstellungen\Kerstin\Desktop\sbf-loader_2009_final\leecher.exe:*:Enabled:SBF Loader -- ()
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP240_series" = Canon MP240 series MP Drivers
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{283D4576-CBF8-4F65-84D3-7C5DC75F144E}" = ServicePack 1 Großer Reiseplaner 2008/2009
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{2FFE93F0-BB72-4E52-8761-354D1AAA9387}" = Sony Ericsson PC Suite 5.007.01
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{372B31CF-77FB-4E29-860C-A0EA2985AB7F}" = O2Micro Flash Memory Card Reader Driver (x86)
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40034B11-149E-4310-AE89-BB575B02525B}" = LG Internet Kit
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{55A29068-F2CE-456C-9148-C869879E2357}" = TuneUp Utilities 2009
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Ralink RT2860 Wireless LAN Card
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA7096C1-7BF8-483E-9CF1-E303842349BF}" = COMPUTERBILD-Abzockschutz
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.1 - Deutsch
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}" = Apple Mobile Device Support
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{C9C13822-A638-4331-99A3-4498A5901693}" = Media Go
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow 3.0
"{E1640DA5-89B4-4F52-B15D-5DA3D14F29D4}" = LG USB Modem Drivers
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.14
"{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AI RoboForm" = AI RoboForm (All Users)
"ArtistScope Plugin IE 424.2.0.0" = ArtistScope Plugin IE 42
"ATI Display Driver" = ATI Display Driver
"Audiograbber" = Audiograbber 1.83 SE
"Audiograbber-Lame" = Audiograbber Lame-MP3-Plugin
"Avira AntiVir Desktop" = Avira AntiVir Premium
"Canon MP240 series Benutzerregistrierung" = Canon MP240 series Benutzerregistrierung
"CANONIJPLM100" = Inkjet Printer/Scanner Extended Survey Program
"CanonMyPrinter" = Canon Utilities My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CCleaner" = CCleaner (remove only)
"Cheat Engine 5.5_is1" = Cheat Engine 5.5
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei)
"E.M. Free Photo Collage 1.30_is1" = E.M. Free Photo Collage 1.30
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ERUNT_is1" = ERUNT 1.1j
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Fantasy Moon 3D Screensaver_is1" = Fantasy Moon 3D Screensaver 1.3
"FotoWorks_is1" = FotoWorks
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 6.0
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.3
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"ICQToolbar" = ICQ Toolbar
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PowerQuest PartitionMagic 8.0
"InstallShield_{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04
"Kalenderchen_is1" = Kalenderchen 4
"LiveUpdate" = LiveUpdate
"MAGIX 3D Maker D" = MAGIX 3D Maker (embeded)
"MAGIX Online Druck Service D" = MAGIX Online Druck Service 3.4.3.0 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"MPE" = MyPhoneExplorer
"MSNINST" = MSN
"Navilog1_is1" = Navilog1 3.7.6
"Nero - Burning Rom!UninstallKey" = Nero 6
"Norton Commander" = Norton Commander
"Photodex Presenter" = Photodex Presenter
"Registry Mechanic_is1" = Registry Mechanic 8.0
"ShapeCollage" = Shape Collage
"Sim AQUARIUM 2_is1" = Sim AQUARIUM 2
"SopCast" = SopCast 3.0.3
"SpeedFan" = SpeedFan (remove only)
"SuesswasserAquarium3D" = Süßwasser-Aquarium 3D
"Surf & E-Mail-Stick" = Surf & E-Mail-Stick
"SWR3 RauchFrei_is1" = SWR3 RauchFrei Version 1.2
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"The KMPlayer" = The KMPlayer (remove only)
"Uninstall_is1" = Uninstall 1.0.0.1
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"X10Hardware" = X10 Hardware(TM)
"Xilisoft HD Video Converter" = Xilisoft HD Video Converter
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 25.07.2010 14:12:29 | Computer Name = PB | Source = WindowsLiveMessenger | ID = 15728647
Description =
Error - 06.08.2010 12:58:07 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:08 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:09 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:09 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:10 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:10 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:11 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 06.08.2010 12:58:12 | Computer Name = PB | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig. .
Error - 08.08.2010 16:02:21 | Computer Name = PB | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung TFC.exe, Version 3.1.7.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 08.08.2010 16:07:50 | Computer Name = PB | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 08.08.2010 16:11:22 | Computer Name = PB | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 08.08.2010 16:11:23 | Computer Name = PB | Source = Service Control Manager | ID = 7034
Description = Dienst "CopySafe Helper Service" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 08.08.2010 16:11:23 | Computer Name = PB | Source = Service Control Manager | ID = 7034
Description = Dienst "Inkjet Printer/Scanner Extended Survey Program" wurde unerwartet
beendet. Dies ist bereits 1 Mal passiert.
Error - 08.08.2010 16:11:24 | Computer Name = PB | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 08.08.2010 16:11:24 | Computer Name = PB | Source = Service Control Manager | ID = 7034
Description = Dienst "MBAMService" wurde unerwartet beendet. Dies ist bereits 1
Mal passiert.
Error - 08.08.2010 16:52:00 | Computer Name = PB | Source = Service Control Manager | ID = 7000
Description = Der Dienst "B's Recorder GOLD Library General Service" wurde aufgrund
folgenden Fehlers nicht gestartet: %%2
Error - 08.08.2010 16:52:43 | Computer Name = PB | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
TfFsMon TfSysMon
Error - 08.08.2010 16:55:45 | Computer Name = PB | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 08.08.2010 16:55:45 | Computer Name = PB | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%2
< End of report >
Gmer: ging nicht MBAM: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4407 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.08.2010 20:10:39 mbam-log-2010-08-08 (20-10-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 217307 Laufzeit: 1 Stunde(n), 11 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\AVSolution (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AVSolution (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkjvqdvm (Malware.Gen) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qkjvqdvm (Malware.Gen) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\kmermvsyi\lxnltautssd.exe (Malware.Gen) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Desktop\Privat\diverses\AI.Roboform.Pro.v6.9.82 100% OK\Patch.exe (RiskWare.Tool.CK) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\0.9069686363966039.exe (Malware.Gen) -> No action taken. C:\Programme\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken. C:\Dokumente und Einstellungen\Kerstin\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken. |
|
08.08.2010, 22:36
| #6 |
| /// Selecta Jahrusso | AntiVir Pro Solution- ist es noch da? Du musst die Funde von Malwarebytes schon auch löschen  Schritt 1
Code:
ATTFilter :OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\bgsvcgen.exe -- (bgsvcgen)
O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell - "" = AutoRun
O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{437a4f46-6e62-11df-9456-00238b4d8905}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found
O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell - "" = AutoRun
O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{437a4f49-6e62-11df-9456-00238b4d8905}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found
O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell - "" = AutoRun
O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ae1122f7-304f-11df-93ab-00238b4d8905}\Shell\AutoRun\command - "" = G:\USBAutoRun.exe -- File not found
[2010.08.08 17:43:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\kmermvsyi
[2010.08.08 23:03:12 | 000,585,472 | ---- | M] () -- C:\WINDOWS\System32\drivers\rhqnk.sys
[2010.08.08 23:03:11 | 000,768,512 | ---- | M] () -- C:\WINDOWS\System32\drivers\hjjchzm.sys
[2010.07.28 23:08:41 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\bawuho.dat
@Alternate Data Stream - 156 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D1B5B4F1
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
:services
rhqnk
hjjchzm
:files
:reg
:Commands
[purity]
[emptytemp]
[reboot]
Schritt 2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**  
Bitte poste in Deiner nächsten Antwort OTLFix Log COmbofix.txt
__________________ --> AntiVir Pro Solution- ist es noch da? |
Textbox.
.
FC5A2B2 deleted successfully.
Box.
Box klicke auf den 
Button.
links oben, um die Untersuchung zu starten
Linear-Darstellung
