Trojaner FakeMS --- Festplatte angeblich "beschädigt"

FFXTidus · 02.06.2011, 14:20

Guten Abend zusammen.
Hab mir die Regeln schon durchgelesen und mich etwas über mein Problem hier im Forum informiert. Hab auch einige Beiträge gefunden die über den FakeMS berichtet haben --> http://www.trojaner-board.de/99613-f...-ide-sata.html dort z.B.

Nunr erstmal zu meinem Fall:
Ich hab mir leider irgendwie einen Trojaner eingefangen (FakeMS).
Es fing mit der Nachricht an, dass meine Festplatte nicht richtig gelesen werden könne und dann wurden ein Neustart aufgefordert. Wollte erst AntiMalWare ausführen, aber leider war auf dem Desktop alles verschwunden und auch über Start war nur noch der Ordner zu finden ohne Inhalt.
Ohne lange zu überlegen hab ich meinen Laptop zu einem frühere Zeitpunkt wiederhergestellt. Danach hab ich sofort Microsoft Security Essentials und Malwarebytes Anti-Malware ausgeführt. Beim Durchlauf wurde eben der genannte Trojaner (FakeMS) gefunden und entfernt. Die Log-Datei zu dem Zeitpunkt :

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6693

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01.06.2011 20:49:53
mbam-log-2011-06-01 (20-49-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154563
Laufzeit: 14 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\XXXX\AppData\Local\Temp\0.1341985509452498.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\XXXX\AppData\Local\Temp\jar_cache128678843318208655.tmp (Trojan.FakeMS) -> Quarantined and deleted successfully.

Habe dann noch einmal einen Neustart ausgeführt und wieder MBAM ausgeführt --> Log-Datei:

Zitat:

Datenbank Version: 6693

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.06.2011 03:09:46
mbam-log-2011-06-02 (03-09-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Q:\|)
Durchsuchte Objekte: 254958
Laufzeit: 2 Stunde(n), 4 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was sollte ich jetzt noch tun und wie kann ich mich vor so etwas schützen ?
In den goldenen Regeln habt ihr geschrieben das jedes Problem individuell ist und somit will ich lieber nicht so fortfahren wie in dem Beitrag (Link oben angegeben).

Für Hilfe wäre ich sehr Dankbar

Mit freundlichen Grüßen
D.S.

kira · 02.06.2011, 15:08

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

-> Momentan läuft alles gut? sonst irgendwelche Probleme?

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in Code-Tags hier in den Thread.

2.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

FFXTidus · 02.06.2011, 16:00

Danke für die schnelle Antwort

Die ganzen Textdateien hab ich mal als Zip angehängt.
Sonst wirds das ein bisschen zu viel Text ^^

Zu deiner Frage: Gestern kam mir mein Laptop ein bisschen langsam vor, aber heute ist alles irgendwie wieder normal.

So Chef was muss ich jetzt noch so tun ?

kira · 02.06.2011, 21:27

1.
Antivir/Avira & Microsoft Security Essentials
- Beide Scanner haben nämlich nur ein Ziel, dein System sinnvoll gegen Schädlingen zu prüfen/schützen.
Da aber laufen beide parallel, sie behindern sich gegenseitig, die Folge kann ein Crash sein, oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen!! Ausserdem den Zugang zu deinem System ist völlig frei für Viren und Malware! Mehr AV Programme bedeutet nicht mehr Sicherheit!
Deinstalliere also eines der AV-Programme und lass nur noch eins auf deinem PC laufen!!

Zitat:

►Bevor du ein anderes Antivirenprogramm installierst solltest du auf jeden Fall das vorherige vollständig deinstallieren!

2.
gehört nicht auf ein sauberes System:
unter `Systemsteuerung -->Software -->Ändern/Entfernen...`

Code:

ATTFilter

DAEMON Tools Toolbar

- meiste Toolbars wollen sich doch nur wichtig machen

3.
Wenn Du nicht absichtlich installiert hast, da oft mit andere Programm wird mitinstalliert bzw angeboten (vermutlich durch Adobe Reader), deinstalliere:

Code:

ATTFilter

McAfee Security Scan Plus

obwohl selbst die Programmierer/hersteller ein sehr gute Ruf hat, durch dieses "Helferprinzip" wird dein PC nicht noch mehr geschützt, aber beeinträchtigt die Systemleistung
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
Bei Installation bitte die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen bzw gesetzten Haken belassen, weil damit stimmt man nämlich zu, dass andere "Fremdprogramm", oder sogar Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert.

4.
Wenn Du live Poker spielst, achte darauf, dass Du auf der sicheren Seite bleibst!
blocklisted-Poker-Websites- malwareremoval.com

5.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

6.
Proxyeinstellungen zu überprüfen, hast Du bewusst so eingestellt?:

Code:

ATTFilter

FF - prefs.js..network.proxy.backup.ftp: ""
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.gopher: ""
FF - prefs.js..network.proxy.backup.gopher_port: 0
FF - prefs.js..network.proxy.backup.socks: ""
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: ""
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 0

im Firefox: Proxyeinstellungen fr Mozilla Firefox
über das Menü Extras-> Einstellungen-> klicke auf den Reiter "Erweitert"-> Netzwerk-> bei "Verbindung" schauen
Wenn nicht, dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

7.
Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

ATTFilter

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.06.10 18:32:46 | 000,000,049 | -HS- | M] () - Q:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{4e48fe90-1cf3-11e0-95da-5cff350461f8}\Shell - "" = AutoRun
O33 - MountPoints2\{4e48fe90-1cf3-11e0-95da-5cff350461f8}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.hta
O33 - MountPoints2\{643e8f87-6da1-11df-bc13-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{643e8f87-6da1-11df-bc13-806e6f6e6963}\Shell\AutoRun\command - "" = Q:\LenovoQDrive.exe -- [2009.08.10 23:01:24 | 000,267,576 | -HS- | M] (Lenovo Group Limited)
[2011.06.01 20:21:00 | 000,000,400 | -H-- | M] () -- C:\ProgramData\28434168
[2011.06.01 20:18:43 | 000,000,152 | -H-- | M] () -- C:\ProgramData\~28434168r
[2011.06.01 20:18:43 | 000,000,136 | -H-- | M] () -- C:\ProgramData\~28434168

:Files
C:\judhfkashfi 

:Commands
[purity]
[emptytemp]

und füge es hier ein:
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Deinen Thread.

8.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

FFXTidus · 03.06.2011, 18:56

Einmal das "Extras" Dokument:

Code:

ATTFilter

OTL Extras logfile created on: 02.06.2011 16:23:18 - Run 1
OTL by OldTimer - Version 3.2.23.0     Folder = C:\Users\x x\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,93 Gb Total Physical Memory | 1,69 Gb Available Physical Memory | 57,69% Memory free
5,85 Gb Paging File | 4,40 Gb Available in Paging File | 75,30% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 221,95 Gb Total Space | 182,62 Gb Free Space | 82,28% Space Free | Partition Type: NTFS
Drive Q: | 9,77 Gb Total Space | 3,19 Gb Free Space | 32,63% Space Free | Partition Type: NTFS
 
Computer Name: xx | User Name: x x | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{022CBB38-CEF0-42BA-906A-A49BEFAE0BEE}" = RICOH R5U230 Media Driver ver.2.06.02.02
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{044F9133-B8D7-4d11-BF39-803FA20F5C8B}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{0C19D563-5F25-4621-BF10-01F741BD283F}" = Microsoft SQL Server Compact 3.5 SP1 Design Tools English
"{17CBC505-D1AE-459D-B445-3D2000A85842}" = Dienstprogramm "ThinkPad UltraNav"
"{196E77C5-F524-4B50-BD1A-2C21EEE9B8F7}" = Microsoft SQL Server 2008 Common Files
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{25C64847-B900-48AD-A164-1B4F9B774650}" = System Update
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}" = SQL Server System CLR Types
"{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}" = Überwachungstool für die Intel® Turbo-Boost-Technik
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{4112625F-2D38-49EF-924F-48511BC5CD34}" = Microsoft SQL Server 2008 Database Engine Services
"{46A84694-59EC-48F0-964C-7E76E9F8A2ED}" = ThinkVantage System für aktiven Festplattenschutz
"{4815BD99-96A4-49FE-A885-DCF06E9E4E78}" = Microsoft SQL Server 2008 Database Engine Shared
"{4A6F34E2-09E5-4616-B227-4A26A488A6F9}" = Microsoft SQL Server 2008 Common Files
"{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 SP2
"{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies
"{50DC5136-21E8-48BC-97E5-1AD055F6B0B6}" = Create Recovery Media
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{586509F0-350D-48B5-B763-9CC2F8D96C4C}" = Windows Live Sync
"{5BE1E709-30E4-3D6D-A708-96CE8D5E5E8D}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - enu
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{70AA9B4F-64F7-4B0D-ADD8-05802D61AF72}" = Windows Live Toolbar
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37}" = ICQ7.4
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{774088D4-0777-4D78-904D-E435B318F5D2}" = Microsoft Antimalware
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{77A776C4-D10F-416D-88F0-53F2D9DCD9B3}" = Microsoft Security Client
"{7B15D70E-9449-4CFB-B9BC-798465B2BD5C}" = Norton Internet Security
"{7FB12670-0F93-4E1E-B2F5-4F339199A03A}" = Microsoft SQL Server Native Client
"{842FAF7C-50EF-4463-9B8F-6222E1384D7D}" = Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
"{850C7BD3-9F3F-46AD-9396-E7985B38C55E}" = Windows Live Fotogalerie
"{859B9BCA-5376-4566-9F88-C6C9DAA7A925}" = Microsoft Security Client DE-DE Language Pack
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{88C6A6D9-324C-46E8-BA87-563D14021442}_is1" = ThinkVantage Communications Utility
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8E5233E1-7495-44FB-8DEB-4BE906D59619}" = Junk Mail filter update
"{8E537894-A559-4D60-B3CB-F4485E3D24E3}" = ThinkVantage Access Connections
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components
"{9202762E-4B4C-48C9-A6CC-C27F9F85190A}" = Mobile Broadband Connect
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}" = Microsoft Search Enhancement Pack
"{9D6D76A6-4328-49E8-97A7-531A74841DA5}" = Microsoft SQL Server 2008 Setup Support Files (English)
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = ThinkPad Bluetooth with Enhanced Data Rate Software
"{a0fe116e-9a8a-466f-aee0-625cb7c207e3}" = Microsoft Visual C++ 2005 Redistributable - KB2467175
"{A4418082-E601-3954-805B-D56A2B50EC8B}" = Microsoft Visual C# 2008 Express Edition with SP1 - ENU
"{A7496F46-78AE-4DB2-BCF5-95F210FA6F96}" = Windows Live Movie Maker
"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.4 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B383F243-0ABC-4E56-AA30-923B8D85076E}" = Rescue and Recovery
"{B857D868-F8B0-43EE-BC2B-D9E5ED21F237}" = Microsoft SQL Server VSS Writer
"{B8E9F8A1-9F4D-43D5-ABD6-1DF067FAA469}" = Microsoft SQL Server 2008 Database Engine Services
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C3CD17B4-08B0-492D-8A4C-81716D33E520}" = Integrated Camera Driver Installer Package Ver.1.1.0.17
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C64A877E-DF8D-4017-AA82-000A77C6D809}" = Verizon Wireless Mobile Broadband Self Activation
"{C688457E-03FD-4941-923B-A27F4D42A7DD}" = Microsoft SQL Server 2008 Browser
"{C6FA39A7-26B1-480A-BC74-6D17531AC222}" = Access Help
"{C965F01C-76EA-4BD7-973E-46236AE312D7}" = Sql Server Customer Experience Improvement Program
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CCAFF072-4DDB-4846-963D-15F02A8E9472}" = Intel(R) PROSet/Wireless WiFi-Software
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D8087907-E255-3A41-A46D-D0F798709C71}" = Microsoft Visual C++ 2008 Express Edition with SP1 - ENU
"{D81486A1-2371-4059-AC70-1AB894AC96E6}" = AT&T Service Activation
"{D9D937B0-E842-4130-9588-B948E876904A}" = Microsoft SQL Server 2008 Native Client
"{DAC01CEE-5BAE-42D5-81FC-B687E84E8405}" = ThinkPad Energie-Manager
"{DD622B1D-A78E-3FE8-9C8C-246F5764B0D0}" = Microsoft Visual Basic 2008 Express Edition with SP1 - ENU
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E59113EB-0285-4BFD-A37A-B79EAC6B8F4B}" = Microsoft SQL Server Compact 3.5 SP1 English
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver
"{F1DC7648-8623-442F-92B7-E118DF61872E}" = Microsoft SQL Server 2008 RsFx Driver
"{F3494AB6-6900-41C6-AF57-823626827ED8}" = Microsoft SQL Server 2008 Database Engine Shared
"{F5E87B12-3C27-452F-8E78-21D42164FD83}" = Microsoft SQL Server 2008 Management Objects
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8A9085D-4C7A-41a9-8A77-C8998A96C421}" = Intel(R) Control Center
"{FD331A3B-F7A5-4C31-B8D4-DF413C85AF7A}" = Message Center Plus
"{FD4EC278-C1B1-4496-99ED-C0BE1B0AA521}" = Lenovo Warranty Information
"098EBB26BF07167AB12D1575EC24F883F9435E59" = Windows-Treiberpaket - Intel System  (10/28/2009 9.1.1.1022)
"114EB224AD576F278686036AA9E1EFB7847E3935" = Windows-Treiberpaket - Lenovo 1.60.0.4 (11/18/2009 1.60.0.4)
"30A4777E896192B8D398199AE1AB235B69BAB26D" = Windows-Treiberpaket - Intel (HECI) System  (09/17/2009 6.0.0.1179)
"573C3C32A1DB5625CA00E633E584E8A0E6383672" = Windows-Treiberpaket - Intel System  (10/28/2009 9.1.1.1022)
"5C7A2989588CD51E7DBF313D9E4B7DB4F66AE192" = Windows-Treiberpaket - Intel (e1kexpress) Net  (12/10/2009 11.5.10.0)
"A6A8668C0A13640CA28FE2A7D9654BE4AE478B13" = Windows Driver Package - Broadcom Bluetooth  (07/30/2009 6.2.0.9405)
"A7B0B8D913E4DC2FA0B31E392E1512A901CA66B9" = Windows-Treiberpaket - Intel USB  (08/20/2009 9.1.1.1020)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AVI Splitter_is1" = AVI Splitter
"B7541EC5F72AA713F557569278EB6273725F5607" = Windows Driver Package - Broadcom Bluetooth  (06/15/2009 6.2.0.9000)
"BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800)
"Business Contact Manager" = Business Contact Manager für Outlook 2007 SP2
"CNXT_AUDIO_HDA" = Conexant 20585 SmartAudio HD
"CNXT_MODEM_HDA_HSF" = ThinkPad Modem Adapter
"DAEMON Tools Lite" = DAEMON Tools Lite
"DivX Setup.divx.com" = DivX-Setup
"E7B58217635B8F723D4744A328A4B3237DB35FA9" = Windows-Treiberpaket - Intel System  (06/04/2009 1.0.0.0002)
"EnablePS" = Registry Patch to Enable Maximum Power Saving on WiFi Adapters for Windows 7
"FD5ED5E16405CDAA5385DE461B9E5379F91ACCCF" = Windows-Treiberpaket - Ricoh Company MS Host Controller (10/26/2009 6.10.02.07)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.8
"Free YouTube Download_is1" = Free YouTube Download version 2.10.31
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.37.426
"JDownloader" = JDownloader
"Lenovo Welcome_is1" = Lenovo Welcome
"LENOVO.SMIIF" = Lenovo System Interface Driver
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Microsoft SQL Server 10 Release" = Microsoft SQL Server 2008
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Microsoft Visual Basic 2008 Express Edition with SP1 - ENU" = Microsoft Visual Basic 2008 Express Edition with SP1 - ENU
"Microsoft Visual C# 2008 Express Edition with SP1 - ENU" = Microsoft Visual C# 2008 Express Edition with SP1 - ENU
"Microsoft Visual C++ 2008 Express Edition with SP1 - ENU" = Microsoft Visual C++ 2008 Express Edition with SP1 - ENU
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OnScreenDisplay" = Anzeige am Bildschirm
"ParadisePoker" = ParadisePoker
"PC-Doctor for Windows" = Lenovo ThinkVantage Toolbox
"PokerStars" = PokerStars
"Power Management Driver" = ThinkPad Power Management Driver
"ProInst" = Intel PROSet Wireless
"SynTPDeinstKey" = ThinkPad UltraNav Driver
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"Uninstall_is1" = Uninstall 1.0.0.1
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 23.05.2011 18:12:24 | Computer Name = xx | Source = MsiInstaller | ID = 1024
Description = 
 
Error - 24.05.2011 18:45:40 | Computer Name = xx | Source = MsiInstaller | ID = 10005
Description = 
 
Error - 24.05.2011 18:45:40 | Computer Name = xx | Source = MsiInstaller | ID = 1024
Description = 
 
Error - 25.05.2011 16:26:46 | Computer Name = xx | Source = MsiInstaller | ID = 10005
Description = 
 
Error - 25.05.2011 16:26:46 | Computer Name = xx | Source = MsiInstaller | ID = 1024
Description = 
 
Error - 26.05.2011 16:56:35 | Computer Name = xx | Source = Application Hang | ID = 1002
Description = Programm mbam.exe, Version 1.50.1.3 kann nicht mehr unter Windows 
ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 1020    Startzeit:
 01cc1be7379beca2    Endzeit: 6    Anwendungspfad: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

Berichts-ID:
 95627760-87da-11e0-b5d5-5cff350461f8  
 
Error - 26.05.2011 18:36:56 | Computer Name = xx | Source = MsiInstaller | ID = 10005
Description = 
 
Error - 26.05.2011 18:36:56 | Computer Name = xx | Source = MsiInstaller | ID = 1024
Description = 
 
Error - 27.05.2011 15:32:06 | Computer Name = xx | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Lenovo\Access
 Connections\AcCryptHlpr.dll". Fehler in Manifest- oder Richtliniendatei "C:\Program
 Files\Lenovo\Access Connections\AcCryptHlpr.dll" in Zeile 0.  Ungültige XML-Syntax.
 
Error - 27.05.2011 15:33:58 | Computer Name = xx | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft\search
 enhancement pack\search helper\searchhelper.dll". Fehler in Manifest- oder Richtliniendatei
 "c:\program files\microsoft\search enhancement pack\search helper\searchhelper.dll"
 in Zeile 2.  Ungültige XML-Syntax.
 
[ System Events ]
Error - 01.06.2011 14:18:06 | Computer Name = xx | Source = Microsoft-Windows-Eventlog | ID = 22
Description = Der Ereignisprotokollierungsdienst hat einen Fehler beim Initialisieren
 der Veröffentlichung von Ressourcen für Kanal "DebugChannel" erkannt. Falls ein
 direkter Kanal festgelegt ist, kann dies ein Hinweis darauf sein, dass auch das
 Protokollieren der Ressourcen nicht initialisiert werden konnte.
 
Error - 01.06.2011 14:33:22 | Computer Name = xx | Source = Microsoft Antimalware | ID = 2004
Description = Fehler in %%860 beim Laden von Signaturen. Es wird versucht, einen
 bekannten Signatursatz wiederherzustellen.     Versuchte Signaturen: %%824     Fehlercode:
 0x80070002     Fehlerbeschreibung: Das System kann die angegebene Datei nicht finden.
      Signaturversion: 0.0.0.0;0.0.0.0     Modulversion: 0.0.0.0
 
Error - 01.06.2011 14:33:22 | Computer Name = xx | Source = Microsoft-Windows-Eventlog | ID = 22
Description = Der Ereignisprotokollierungsdienst hat einen Fehler beim Initialisieren
 der Veröffentlichung von Ressourcen für Kanal "DebugChannel" erkannt. Falls ein
 direkter Kanal festgelegt ist, kann dies ein Hinweis darauf sein, dass auch das
 Protokollieren der Ressourcen nicht initialisiert werden konnte.
 
Error - 01.06.2011 14:41:18 | Computer Name = xx | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office PowerPoint
 2007 (KB2535818)
 
Error - 01.06.2011 14:51:20 | Computer Name = xx | Source = Microsoft-Windows-Eventlog | ID = 22
Description = Der Ereignisprotokollierungsdienst hat einen Fehler beim Initialisieren
 der Veröffentlichung von Ressourcen für Kanal "DebugChannel" erkannt. Falls ein
 direkter Kanal festgelegt ist, kann dies ein Hinweis darauf sein, dass auch das
 Protokollieren der Ressourcen nicht initialisiert werden konnte.
 
Error - 01.06.2011 14:57:16 | Computer Name = xx | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office PowerPoint
 2007 (KB2535818)
 
Error - 01.06.2011 19:03:31 | Computer Name = xx | Source = Microsoft-Windows-Eventlog | ID = 22
Description = Der Ereignisprotokollierungsdienst hat einen Fehler beim Initialisieren
 der Veröffentlichung von Ressourcen für Kanal "DebugChannel" erkannt. Falls ein
 direkter Kanal festgelegt ist, kann dies ein Hinweis darauf sein, dass auch das
 Protokollieren der Ressourcen nicht initialisiert werden konnte.
 
Error - 01.06.2011 21:02:18 | Computer Name = xx | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft Office PowerPoint
 2007 (KB2535818)
 
Error - 02.06.2011 09:09:31 | Computer Name = xx | Source = Microsoft-Windows-Eventlog | ID = 22
Description = Der Ereignisprotokollierungsdienst hat einen Fehler beim Initialisieren
 der Veröffentlichung von Ressourcen für Kanal "DebugChannel" erkannt. Falls ein
 direkter Kanal festgelegt ist, kann dies ein Hinweis darauf sein, dass auch das
 Protokollieren der Ressourcen nicht initialisiert werden konnte.
 
Error - 02.06.2011 09:10:20 | Computer Name = xx | Source = bowser | ID = 8003
Description = 
 
 
< End of report >

dann die OTL Textdatei:

Code:

ATTFilter

OTL logfile created on: 02.06.2011 16:23:18 - Run 1
OTL by OldTimer - Version 3.2.23.0     Folder = C:\Users\x x\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,93 Gb Total Physical Memory | 1,69 Gb Available Physical Memory | 57,69% Memory free
5,85 Gb Paging File | 4,40 Gb Available in Paging File | 75,30% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 221,95 Gb Total Space | 182,62 Gb Free Space | 82,28% Space Free | Partition Type: NTFS
Drive Q: | 9,77 Gb Total Space | 3,19 Gb Free Space | 32,63% Space Free | Partition Type: NTFS
 
Computer Name: xx | User Name: x x | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\x x\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Lenovo\ZOOM\TpScrex.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\Communications Utility\TPKNRSVC.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\Communications Utility\TPKNRRES.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\Communications Utility\CamMute.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\HOTKEY\TPHKSVC.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\HOTKEY\micmute.exe (Lenovo Group Limited)
PRC - C:\Programme\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Lenovo\Access Connections\AcSvc.exe (Lenovo)
PRC - C:\Programme\Lenovo\Access Connections\AcPrfMgrSvc.exe (Lenovo)
PRC - C:\Programme\Lenovo\Access Connections\SvcGuiHlpr.exe (Lenovo)
PRC - C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)
PRC - c:\Programme\Lenovo\System Update\SUService.exe (Lenovo Group Limited)
PRC - C:\Programme\ThinkPad\Utilities\DOZESVC.EXE (Lenovo.)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe (Lenovo Group Limited)
PRC - C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics Incorporated)
PRC - C:\Programme\Lenovo\HOTKEY\TPONSCR.exe (Lenovo Group Limited)
PRC - C:\Programme\Lenovo\HOTKEY\tpnumlkd.exe (Lenovo Group Limited)
PRC - C:\Programme\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe (Intel Corporation)
PRC - C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)
PRC - C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)
PRC - C:\Programme\Common Files\Lenovo\tvt_reg_monitor_svc.exe (Lenovo Group Limited)
PRC - C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\Programme\ThinkPad\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Programme\Lenovo\Message Center Plus\MCPLaunch.exe ()
PRC - C:\Programme\Lenovo\HOTKEY\tpnumlk.exe (Lenovo Group Limited)
PRC - C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corp.)
PRC - C:\Programme\Integrated Camera Driver\RCIMGDIR.exe (Ricoh co.,Ltd.)
PRC - c:\Programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\x x\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV - (LENOVO.TPKNRSVC) -- C:\Programme\Lenovo\Communications Utility\TPKNRSVC.exe (Lenovo Group Limited)
SRV - (LENOVO.CAMMUTE) -- C:\Programme\Lenovo\Communications Utility\CamMute.exe (Lenovo Group Limited)
SRV - (TPHKSVC) -- C:\Programme\Lenovo\HOTKEY\TPHKSVC.exe (Lenovo Group Limited)
SRV - (LENOVO.MICMUTE) -- C:\Programme\Lenovo\HOTKEY\micmute.exe (Lenovo Group Limited)
SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (AcSvc) -- C:\Programme\Lenovo\Access Connections\AcSvc.exe (Lenovo)
SRV - (AcPrfMgrSvc) -- C:\Programme\Lenovo\Access Connections\AcPrfMgrSvc.exe (Lenovo)
SRV - (UNS) Intel(R) -- C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)
SRV - (SUService) -- c:\Program Files\Lenovo\System Update\SUService.exe (Lenovo Group Limited)
SRV - (DozeSvc) -- C:\Programme\ThinkPad\Utilities\DOZESVC.EXE (Lenovo.)
SRV - (Power Manager DBC Service) -- C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE (Lenovo)
SRV - (McComponentHostService) -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (LMS) Intel(R) -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)
SRV - (TurboBoost) -- C:\Program Files\Intel\TurboBoost\TurboBoost.exe (Intel(R) Corporation)
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)
SRV - (RegSrvc) Intel(R) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)
SRV - (ThinkVantage Registry Monitor Service) -- C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe (Lenovo Group Limited)
SRV - (btwdins) -- C:\Programme\ThinkPad\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (HsfXAudioService) -- C:\Windows\System32\XAudio32.dll (Conexant Systems, Inc.)
SRV - (BcmSqlStartupSvc) -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MpKsl0aaacba7) -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{783B697A-75C8-463A-BDAF-8077970AB475}\MpKsl0aaacba7.sys (Microsoft Corporation)
DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV - (NisDrv) -- C:\Windows\System32\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV - (MpNWMon) -- C:\Windows\System32\drivers\MpNWMon.sys (Microsoft Corporation)
DRV - (pmxdrv) -- C:\Windows\System32\drivers\pmxdrv.sys ()
DRV - (PCDSRVC{3037D694-FD904ACA-06020000}_0) -- c:\Programme\PC-Doctor\pcdsrvc.pkms (PC-Doctor, Inc.)
DRV - (DozeHDD) -- C:\Windows\System32\DRIVERS\DozeHDD.sys (Lenovo.)
DRV - (TPPWRIF) -- C:\Windows\System32\drivers\TPPWR32V.SYS (Lenovo Group Limited)
DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.)
DRV - (e1kexpress) Intel(R) -- C:\Windows\System32\drivers\e1k6232.sys (Intel Corporation)
DRV - (IntcDAud) Intel(R) -- C:\Windows\System32\drivers\IntcDAud.sys (Intel(R) Corporation)
DRV - (5U877) -- C:\Windows\System32\drivers\5U877.sys (Ricoh co.,Ltd.)
DRV - (rimspci) -- C:\Windows\System32\drivers\rimspe86.sys (REDC)
DRV - (Impcd) -- C:\Windows\System32\drivers\Impcd.sys (Intel Corporation)
DRV - (Shockprf) -- C:\Windows\System32\DRIVERS\Apsx86.sys (Lenovo.)
DRV - (TPDIGIMN) -- C:\Windows\System32\DRIVERS\ApsHM86.sys (Lenovo.)
DRV - (TurboB) -- C:\Windows\System32\drivers\TurboB.sys ()
DRV - (TVTI2C) -- C:\Windows\System32\drivers\tvti2c.sys (Lenovo (United States) Inc.)
DRV - (HECI) Intel(R) -- C:\Windows\System32\drivers\HECI.sys (Intel Corporation)
DRV - (NETw5s32) Intel(R) -- C:\Windows\System32\drivers\NETw5s32.sys (Intel Corporation)
DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation)
DRV - (TPM) -- C:\Windows\System32\drivers\tpm.sys (Microsoft Corporation)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (psadd) -- C:\Windows\System32\drivers\psadd.sys (Lenovo (United States) Inc.)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio32.sys (Conexant Systems, Inc.)
DRV - (RsFx0102) -- C:\Windows\System32\drivers\RsFx0102.sys (Microsoft Corporation)
DRV - (lenovo.smi) -- C:\Windows\System32\drivers\smiif32.sys (Lenovo Group Limited)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo.msn.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://www.lenovo.com/welcome/thinkpad [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.google.de/ [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hotmail.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0
FF - prefs.js..network.proxy.backup.ftp: ""
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.gopher: ""
FF - prefs.js..network.proxy.backup.gopher_port: 0
FF - prefs.js..network.proxy.backup.socks: ""
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: ""
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "proxy.pb.bib.de:8080"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.05.01 11:46:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.05.22 00:15:48 | 000,000,000 | ---D | M]
 
[2010.08.14 22:34:44 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\x x\AppData\Roaming\mozilla\Extensions
[2011.06.02 15:11:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\x x\AppData\Roaming\mozilla\Firefox\Profiles\nrlgl31v.default\extensions
[2011.06.01 20:32:17 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Users\x x\AppData\Roaming\mozilla\Firefox\Profiles\nrlgl31v.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.06.01 20:32:17 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\x x\AppData\Roaming\mozilla\Firefox\Profiles\nrlgl31v.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.04.11 17:01:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (Microsoft Corp.)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [AcWin7Hlpr] C:\Programme\Lenovo\Access Connections\AcTBenabler.exe ()
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [IMSS] C:\Program Files\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe ()
O4 - HKLM..\Run: [LENOVO.TPKNRRES] C:\Programme\Lenovo\Communications Utility\TPKNRRES.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [Message Center Plus] C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe ()
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [PWMTRV] C:\Programme\ThinkPad\Utilities\PWMTR32V.DLL (Lenovo Group Limited)
O4 - HKLM..\Run: [RotateImage] C:\Programme\Integrated Camera Driver\RCIMGDIR.exe (Ricoh co.,Ltd.)
O4 - HKLM..\Run: [SmartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe ()
O4 - HKLM..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe (Lenovo Group Limited)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.4\ICQ.exe (ICQ, LLC.)
O4 - Startup: C:\Users\x x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
O4 - Startup: C:\Users\x x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskv33.dll (Comp)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Free YouTube Download - C:\Users\x x\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\x x\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Program Files\ThinkPad\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\ThinkPad\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm ()
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2008.06.10 18:32:46 | 000,000,049 | -HS- | M] () - Q:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{4e48fe90-1cf3-11e0-95da-5cff350461f8}\Shell - "" = AutoRun
O33 - MountPoints2\{4e48fe90-1cf3-11e0-95da-5cff350461f8}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\setup.hta
O33 - MountPoints2\{643e8f87-6da1-11df-bc13-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{643e8f87-6da1-11df-bc13-806e6f6e6963}\Shell\AutoRun\command - "" = Q:\LenovoQDrive.exe -- [2009.08.10 23:01:24 | 000,267,576 | -HS- | M] (Lenovo Group Limited)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.02 16:21:59 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Users\x x\Desktop\OTL.exe
[2011.06.01 20:40:54 | 000,000,000 | ---D | C] -- C:\Users\x x\Desktop\Neuer Ordner
[2011.06.01 20:18:43 | 000,000,000 | -H-D | C] -- C:\Users\x x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Recovery
[2011.05.27 22:35:06 | 000,000,000 | ---D | C] -- C:\oracle
[2011.05.27 22:35:02 | 000,000,000 | ---D | C] -- C:\Programme\Oracle
[2011.05.25 22:28:04 | 000,026,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\Diskdump.sys
[2011.05.24 17:07:54 | 000,123,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\poqexec.exe
[2011.05.18 01:13:35 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2011.05.11 18:30:36 | 003,957,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2011.05.11 18:30:36 | 003,901,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2011.05.08 01:47:56 | 000,000,000 | ---D | C] -- C:\Users\x x\Desktop\Block 02
[2011.05.03 22:03:50 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Plasmoo
[2010.06.01 19:28:55 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.02 16:22:07 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Users\x x\Desktop\OTL.exe
[2011.06.02 16:07:06 | 000,021,161 | ---- | M] () -- C:\Users\x x\Desktop\Kino.png
[2011.06.02 16:00:00 | 000,000,332 | ---- | M] () -- C:\Windows\tasks\SystemToolsDailyTest.job
[2011.06.02 15:17:07 | 000,016,768 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.06.02 15:17:07 | 000,016,768 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.06.02 15:09:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.06.02 15:09:21 | 2355,892,224 | -HS- | M] () -- C:\hiberfil.sys
[2011.06.01 20:21:00 | 000,000,400 | -H-- | M] () -- C:\ProgramData\28434168
[2011.06.01 20:18:43 | 000,000,152 | -H-- | M] () -- C:\ProgramData\~28434168r
[2011.06.01 20:18:43 | 000,000,136 | -H-- | M] () -- C:\ProgramData\~28434168
[2011.05.27 23:32:05 | 000,000,000 | ---- | M] () -- C:\Windows\System32\nmesrvc_core_2011_5_27_23_32_5.dmp
[2011.05.22 00:15:48 | 000,001,995 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2011.05.18 01:13:35 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2011.05.09 17:01:01 | 000,030,447 | ---- | M] () -- C:\Users\x x\Desktop\44.jpg
[2011.05.04 00:59:35 | 000,778,548 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.05.04 00:59:35 | 000,730,128 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.05.04 00:59:35 | 000,178,934 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.05.04 00:59:35 | 000,149,312 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.05.03 22:04:14 | 000,001,208 | ---- | M] () -- C:\Users\x x\Desktop\DVDVideoSoft Free Studio.lnk
[2011.05.03 22:03:51 | 000,001,367 | ---- | M] () -- C:\Users\x x\Desktop\Free YouTube to MP3 Converter.lnk
 
========== Files Created - No Company Name ==========
 
[2011.06.02 16:07:06 | 000,021,161 | ---- | C] () -- C:\Users\x x\Desktop\Kino.png
[2011.06.01 20:18:43 | 000,000,152 | -H-- | C] () -- C:\ProgramData\~28434168r
[2011.06.01 20:18:43 | 000,000,136 | -H-- | C] () -- C:\ProgramData\~28434168
[2011.06.01 20:18:40 | 000,000,400 | -H-- | C] () -- C:\ProgramData\28434168
[2011.05.27 23:32:05 | 000,000,000 | ---- | C] () -- C:\Windows\System32\nmesrvc_core_2011_5_27_23_32_5.dmp
[2011.05.09 17:01:01 | 000,030,447 | ---- | C] () -- C:\Users\x x\Desktop\44.jpg
[2011.05.03 22:04:05 | 000,001,208 | ---- | C] () -- C:\Users\x x\Desktop\DVDVideoSoft Free Studio.lnk
[2011.04.11 17:02:06 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.06.02 05:09:30 | 000,778,548 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2010.06.02 05:09:30 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2010.06.02 05:09:30 | 000,178,934 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2010.06.02 05:09:30 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2010.06.01 19:28:55 | 000,870,544 | ---- | C] () -- C:\Windows\System32\igkrng575.bin
[2010.06.01 19:28:55 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2010.06.01 19:28:55 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2010.06.01 19:28:55 | 000,127,896 | ---- | C] () -- C:\Windows\System32\igcompkrng575.bin
[2010.06.01 19:28:55 | 000,050,036 | ---- | C] () -- C:\Windows\System32\igfcg575m.bin
[2010.06.01 19:28:55 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2010.06.01 19:27:55 | 000,000,661 | ---- | C] () -- C:\Windows\System32\VoipUpdate.ini
[2010.06.01 19:27:26 | 000,816,792 | ---- | C] () -- C:\Windows\System32\drivers\pmxdrv.sys
[2009.09.29 17:25:42 | 000,013,752 | ---- | C] () -- C:\Windows\System32\drivers\TurboB.sys
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,429,544 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,730,128 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,149,312 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 000,982,196 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2009.07.14 00:09:19 | 000,417,344 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2009.07.14 00:09:19 | 000,139,824 | ---- | C] () -- C:\Windows\System32\igfcg500.bin
[2009.07.14 00:09:19 | 000,097,448 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat

< End of report >

Die Textdatei nach dem Neustart ist als Datei angehängt.

Also ich hab nur Microsoft Security Essentials gefunden in meiner Softwareliste auch unter Programm hab ich kein Antivir.
Deamon Tools Toolbar sollte weg sein und McAfee ist auch gelöscht.
Wie gehts weiter

Nochmal ganz lieben Dank für die ganze Arbeit die in mich reininvestiert wird ^^

kira · 03.06.2011, 23:06

-> Im Startmenü fehlen nicht die Programmverknüpfungen? Ordner/Programme sind überall gut sichtbar?

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien

Code:

ATTFilter

C:\Users\x x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskv33.dll

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code:

ATTFilter

File name: 
<<Dateiname>>
Submission date:
2010-10-22 03:34:01 (UTC)
Current status:
queued queued analysing finished
Result:
.....%
    
VT Community

goodware/badware
 Safety score: 100.0% 
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.10.22.00    2010.10.21    -
AntiVir    7.10.13.15    2010.10.21    -
Antiy-AVL    2.0.3.7    2010.10.22    -
Authentium    5.2.0.5    2010.10.22    -
Avast    4.8.1351.0    2010.10.21    -
Avast5    5.0.594.0    2010.10.21    -
usw........

...über 40 Virenscannern...also Geduld!!

FFXTidus · 04.06.2011, 16:53

So, ich hoffe das war alles richtig so ^^

Code:

ATTFilter

File name:
scanjdiskv33.dll
Submission date:
2011-06-04 15:33:40 (UTC)
Current status:
queued queued (#38) analysing finished
Result:
2/ 43 (4.7%)

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.06.04.00 2011.06.03	-
AntiVir	7.11.9.24	2011.06.04	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.7	2011.06.04	-
Avast	        4.8.1351.0	2011.06.04	-
Avast5	5.0.677.0	2011.06.04	-
AVG	        10.0.0.1190	2011.06.04	-
BitDefender	        7.2	2011.06.04	-
CAT-QuickHeal	11.00	2011.06.04	-
ClamAV	0.97.0.0	2011.06.04	-
Commtouch	5.3.2.6	2011.06.04	-
Comodo	8947	2011.06.04	-
DrWeb	5.0.2.03300	2011.06.04	-
Emsisoft	5.1.0.5	2011.06.04	-
eSafe	        7.0.17.0	2011.06.02	-
eTrust-Vet	36.1.8366	2011.06.03	-
F-Prot	4.6.2.117	2011.06.03	-
F-Secure	9.0.16440.0	2011.06.04	-
Fortinet	4.2.257.0	2011.06.04	-
GData	22	2011.06.04	-
Ikarus	T3.1.1.104.0	2011.06.04	-
Jiangmin	13.0.900	2011.06.01	-
K7AntiVirus	9.104.4763	2011.06.03	-
Kaspersky	9.0.0.837	2011.06.04 HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.06.04	-
McAfee-GW-Edition	2010.1D	2011.06.04	-
Microsoft	1.6903	2011.06.04	-
NOD32	6180	2011.06.04	-
Norman	6.07.07	2011.06.04	-
nProtect	2011-06-04.01	2011.06.04	-
Panda	10.0.3.5	2011.06.04	-
PCTools	7.0.3.5	2011.06.03	-
Prevx	3.0	2011.06.04	-
Rising	23.60.03.09	2011.06.03	-
Sophos	4.66.0	2011.06.04	-
SUPERAntiSpyware	4.40.0.1006	2011.06.04	-
Symantec	20111.1.0.186	2011.06.04	-
TheHacker	6.7.0.1.215	2011.06.02	-
TrendMicro	9.200.0.1012	2011.06.04	-
TrendMicro-HouseCall	9.200.0.1012	2011.06.04	-
VBA32	3.12.16.0	2011.06.03	-
VIPRE	9482	2011.06.04	-
ViRobot	2011.6.4.4496	2011.06.04	-
VirusBuster	14.0.67.1	2011.06.04	-

Additional information
Show all
MD5   : 5949d43a46412eca18df9fbd791c8826
SHA1  : 93669a482459efd8319dd6411e78cf22c093f516
SHA256: 7004d0756692b01c11977d3c9233ea5fc0438fb49e29d277a43cc3f13ea55eb7
ssdeep: 6144:1D01DrTRqpT9enkx0M4RXvmazWsVlzG/mh5ONTIsMJ5ASyxHWdoGw2vyjAkM/:p01/m9wn
vTzW+5ETJSBoGCA
File size : 598016 bytes
First seen: 2011-06-04 15:33:40
Last seen : 2011-06-04 15:33:40
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Comp
copyright....: Copyright (C) Comp 2011
product......: wobneummlraidlkhenrldwl
description..: wobneummlraidlkhenrldwl
original name: wobneummlraidlkhenrldwl.exe
internal name: wobneummlraidlkhenrldwl
file version.: 9, 3, 0, 7
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x27DE
timedatestamp....: 0x3FB9650C (Tue Nov 18 00:17:16 2003)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x46F5, 0x5000, 5.96, 95340d0ac0b78a8423729ceb157f68c2
.data, 0x6000, 0x8942C, 0x8A000, 7.39, 34dce414ebec06e9624bbb339230b46b
.rsrc, 0x90000, 0x388, 0x1000, 0.95, 542d766e317623ab9918f24a1dbaa6c0
.reloc, 0x91000, 0x746, 0x1000, 0.67, fed0c87992291e3497d8c1b8e3bd34fa

[[ 2 import(s) ]]
KERNEL32.dll: FileTimeToSystemTime, GetTimeZoneInformation, SetEndOfFile, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, CreateFileA, CompareStringW, CompareStringA, InterlockedExchange, HeapSize, RtlUnwind, InitializeCriticalSection, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualProtect, VirtualAlloc, SetStdHandle, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetCPInfo, GetOEMCP, GetACP, UnhandledExceptionFilter, SetEnvironmentVariableW, SetEnvironmentVariableA, FlushFileBuffers, TlsGetValue, TlsSetValue, TlsFree, SetLastError, TlsAlloc, ReadFile, FileTimeToLocalFileTime, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, WideCharToMultiByte, DeleteCriticalSection, HeapFree, HeapReAlloc, HeapAlloc, GetVersionExA, CreateThread, GetCurrentThreadId, ExitThread, GetFileAttributesA, MultiByteToWideChar, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcess, TerminateProcess, GetModuleHandleA, ExitProcess, FindClose, FindNextFileA, FindFirstFileA, GetExitCodeThread, LoadLibraryA, GetProcAddress, FreeLibrary, GetCommandLineA, CreateProcessA, WaitForSingleObject, GetExitCodeProcess, CloseHandle, GetLastError, FormatMessageA, LocalFree, QueryPerformanceFrequency, QueryPerformanceCounter, GetModuleFileNameA, GetProcessHeap, FreeResource, LoadResource, ReadDirectoryChangesW, GetDriveTypeA, GetFullPathNameA, GetCurrentDirectoryA, WriteFile, Beep
ADVAPI32.dll: RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA, RegCloseKey

[[ 1 export(s) ]]
xfny
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 20480
CompanyName: Comp
EntryPoint: 0x27de
FileDescription: wobneummlraidlkhenrldwl
FileFlagsMask: 0x0017
FileOS: Win32
FileSize: 584 kB
FileSubtype: 0
FileType: Win32 DLL
FileVersion: 9, 3, 0, 7
FileVersionNumber: 9.3.0.7
ImageVersion: 0.0
InitializedDataSize: 573440
InternalName: wobneummlraidlkhenrldwl
LanguageCode: English (U.S.)
LegalCopyright: Copyright (C) Comp 2011
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OriginalFilename: wobneummlraidlkhenrldwl.exe
PEType: PE32
ProductName: wobneummlraidlkhenrldwl
ProductVersion: 12, 0, 1, 5
ProductVersionNumber: 12.0.1.5
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2003:11:18 01:17:16+01:00
UninitializedDataSize: 0
Symantec reputation:Suspicious.Insight

bei Additional informations hab ich mal Show all gemacht.

kira · 04.06.2011, 20:35

Bevor wir fortfahren, eantworte mir bitte folgende Frage: -> Im Startmenü alle Ordner/Programme sind vorhanden und gut sichtbar? sonst auch überall?

FFXTidus · 05.06.2011, 00:20

Ach sorry ganz vergessen.
Also unter Start kann ich alle Ordner/Programme sehen.
Das merkwürdige war, dass einige Dateien auf dem Desktop unsichtbar waren.
Ich hab sie einfach wieder auf sichtbar gemacht.

kira · 05.06.2011, 00:36

da die Datei noch Relativ unbekannt ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse:

Datei Upload

Klicke bitte auf diesen Link UploadMalware.com

Gib im obersten Feld deinen Namen ein
Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/99874-t...schaedigt.html)
Lade dann diese Datei von deinem Rechner hoch:

C:\Users\x x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskv33.dll

Gib im Kommentarfeld Folgendes an:
"Unknown file"
diese Information:

Code:

ATTFilter

File name:
scanjdiskv33.dll
Submission date:
2011-06-04 15:33:40 (UTC)
Current status:
queued queued (#38) analysing finished
Result:
2/ 43 (4.7%)

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.06.04.00 2011.06.03	-
AntiVir	7.11.9.24	2011.06.04	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.7	2011.06.04	-
Avast	        4.8.1351.0	2011.06.04	-
Avast5	5.0.677.0	2011.06.04	-
AVG	        10.0.0.1190	2011.06.04	-
BitDefender	        7.2	2011.06.04	-
CAT-QuickHeal	11.00	2011.06.04	-
ClamAV	0.97.0.0	2011.06.04	-
Commtouch	5.3.2.6	2011.06.04	-
Comodo	8947	2011.06.04	-
DrWeb	5.0.2.03300	2011.06.04	-
Emsisoft	5.1.0.5	2011.06.04	-
eSafe	        7.0.17.0	2011.06.02	-
eTrust-Vet	36.1.8366	2011.06.03	-
F-Prot	4.6.2.117	2011.06.03	-
F-Secure	9.0.16440.0	2011.06.04	-
Fortinet	4.2.257.0	2011.06.04	-
GData	22	2011.06.04	-
Ikarus	T3.1.1.104.0	2011.06.04	-
Jiangmin	13.0.900	2011.06.01	-
K7AntiVirus	9.104.4763	2011.06.03	-
Kaspersky	9.0.0.837	2011.06.04 HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.06.04	-
McAfee-GW-Edition	2010.1D	2011.06.04	-
Microsoft	1.6903	2011.06.04	-
NOD32	6180	2011.06.04	-
Norman	6.07.07	2011.06.04	-
nProtect	2011-06-04.01	2011.06.04	-
Panda	10.0.3.5	2011.06.04	-
PCTools	7.0.3.5	2011.06.03	-
Prevx	3.0	2011.06.04	-
Rising	23.60.03.09	2011.06.03	-
Sophos	4.66.0	2011.06.04	-
SUPERAntiSpyware	4.40.0.1006	2011.06.04	-
Symantec	20111.1.0.186	2011.06.04	-
TheHacker	6.7.0.1.215	2011.06.02	-
TrendMicro	9.200.0.1012	2011.06.04	-
TrendMicro-HouseCall	9.200.0.1012	2011.06.04	-
VBA32	3.12.16.0	2011.06.03	-
VIPRE	9482	2011.06.04	-
ViRobot	2011.6.4.4496	2011.06.04	-
VirusBuster	14.0.67.1	2011.06.04	-

Additional information
Show all
MD5   : 5949d43a46412eca18df9fbd791c8826
SHA1  : 93669a482459efd8319dd6411e78cf22c093f516
SHA256: 7004d0756692b01c11977d3c9233ea5fc0438fb49e29d277a43cc3f13ea55eb7
ssdeep: 6144:1D01DrTRqpT9enkx0M4RXvmazWsVlzG/mh5ONTIsMJ5ASyxHWdoGw2vyjAkM/:p01/m9wn
vTzW+5ETJSBoGCA
File size : 598016 bytes
First seen: 2011-06-04 15:33:40
Last seen : 2011-06-04 15:33:40
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Comp
copyright....: Copyright (C) Comp 2011
product......: wobneummlraidlkhenrldwl
description..: wobneummlraidlkhenrldwl
original name: wobneummlraidlkhenrldwl.exe
internal name: wobneummlraidlkhenrldwl
file version.: 9, 3, 0, 7
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x27DE
timedatestamp....: 0x3FB9650C (Tue Nov 18 00:17:16 2003)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x46F5, 0x5000, 5.96, 95340d0ac0b78a8423729ceb157f68c2
.data, 0x6000, 0x8942C, 0x8A000, 7.39, 34dce414ebec06e9624bbb339230b46b
.rsrc, 0x90000, 0x388, 0x1000, 0.95, 542d766e317623ab9918f24a1dbaa6c0
.reloc, 0x91000, 0x746, 0x1000, 0.67, fed0c87992291e3497d8c1b8e3bd34fa

[[ 2 import(s) ]]
KERNEL32.dll: FileTimeToSystemTime, GetTimeZoneInformation, SetEndOfFile, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, CreateFileA, CompareStringW, CompareStringA, InterlockedExchange, HeapSize, RtlUnwind, InitializeCriticalSection, SetFilePointer, VirtualQuery, GetSystemInfo, VirtualProtect, VirtualAlloc, SetStdHandle, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetCPInfo, GetOEMCP, GetACP, UnhandledExceptionFilter, SetEnvironmentVariableW, SetEnvironmentVariableA, FlushFileBuffers, TlsGetValue, TlsSetValue, TlsFree, SetLastError, TlsAlloc, ReadFile, FileTimeToLocalFileTime, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, WideCharToMultiByte, DeleteCriticalSection, HeapFree, HeapReAlloc, HeapAlloc, GetVersionExA, CreateThread, GetCurrentThreadId, ExitThread, GetFileAttributesA, MultiByteToWideChar, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcess, TerminateProcess, GetModuleHandleA, ExitProcess, FindClose, FindNextFileA, FindFirstFileA, GetExitCodeThread, LoadLibraryA, GetProcAddress, FreeLibrary, GetCommandLineA, CreateProcessA, WaitForSingleObject, GetExitCodeProcess, CloseHandle, GetLastError, FormatMessageA, LocalFree, QueryPerformanceFrequency, QueryPerformanceCounter, GetModuleFileNameA, GetProcessHeap, FreeResource, LoadResource, ReadDirectoryChangesW, GetDriveTypeA, GetFullPathNameA, GetCurrentDirectoryA, WriteFile, Beep
ADVAPI32.dll: RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA, RegCloseKey

[[ 1 export(s) ]]
xfny
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 20480
CompanyName: Comp
EntryPoint: 0x27de
FileDescription: wobneummlraidlkhenrldwl
FileFlagsMask: 0x0017
FileOS: Win32
FileSize: 584 kB
FileSubtype: 0
FileType: Win32 DLL
FileVersion: 9, 3, 0, 7
FileVersionNumber: 9.3.0.7
ImageVersion: 0.0
InitializedDataSize: 573440
InternalName: wobneummlraidlkhenrldwl
LanguageCode: English (U.S.)
LegalCopyright: Copyright (C) Comp 2011
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
OriginalFilename: wobneummlraidlkhenrldwl.exe
PEType: PE32
ProductName: wobneummlraidlkhenrldwl
ProductVersion: 12, 0, 1, 5
ProductVersionNumber: 12.0.1.5
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2003:11:18 01:17:16+01:00
UninitializedDataSize: 0
Symantec reputation:Suspicious.Insight

Drücke nun auf den Button "Send File"
**Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
.

FFXTidus · 05.06.2011, 11:09

Wurde soeben erfolgreich hochgeladen

Zitat:

The number of files that have been submitted to UploadMalware.com is 25704

Your file (scanjdiskv33.dll) was successfully submitted. If someone requested you submit this file please let them know that you have submitted the file.

kira · 05.06.2011, 21:49

1.
Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript:

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
[2011.06.01 20:21:00 | 000,000,400 | -H-- | M] () -- C:\ProgramData\28434168
[2011.06.01 20:18:43 | 000,000,152 | -H-- | M] () -- C:\ProgramData\~28434168r
[2011.06.01 20:18:43 | 000,000,136 | -H-- | M] () -- C:\ProgramData\~28434168

:Commands
[purity]
[REBOOT]

und füge es hier ein:
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Deinen Thread.

2.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

FFXTidus · 07.06.2011, 05:07

soo erstmal OTL

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
File C:\ProgramData\28434168 not found.
File C:\ProgramData\~28434168r not found.
File C:\ProgramData\~28434168 not found.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.23.0 log created on 06062011_223735

SuperAntiSpyware

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/06/2011 at 11:27 PM

Application Version : 4.53.1000

Core Rules Database Version : 7215
Trace Rules Database Version: 5027

Scan type       : Complete Scan
Total Scan Time : 00:37:18

Memory items scanned      : 771
Memory threats detected   : 0
Registry items scanned    : 10837
Registry threats detected : 0
File items scanned        : 28380
File threats detected     : 156

Adware.Tracking Cookie
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@zanox[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ads.creative-serving[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@advertising[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ad2.adfarm1.adition[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@adform[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@questionmarket[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@tracking.quisma[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@unitymedia[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@www.zanox-affiliate[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@traffictrack[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@atwola[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@bs.serving-sys[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@zbox.zanox[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@tradedoubler[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ad4.adfarm1.adition[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@at.atwola[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@zanox-affiliate[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@mediaplex[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@fastclick[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@doubleclick[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@track.adform[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@www.active-tracking[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@content.yieldmanager[3].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@vdwp.solution.weborama[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@content.yieldmanager[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@atdmt[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ad.zanox[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@imrworldwide[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@atdmt.combing[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@serving-sys[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@sevenoneintermedia.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@weborama[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ad3.adfarm1.adition[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@adtech[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@tacoda[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@adfarm1.adition[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@ad.yieldmanager[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@revsci[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@apmebf[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\deniz_semik@eyewonder[2].txt
	cdn1.static.pornhub.phncdn.com [ C:\Users\Deniz Semik\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4694Z3RA ]
	s0.2mdn.net [ C:\Users\Deniz Semik\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4694Z3RA ]
	www.naiadsystems.com [ C:\Users\Deniz Semik\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4694Z3RA ]
	www.teenist.com [ C:\Users\Deniz Semik\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4694Z3RA ]
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@apmebf[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@studivz.adfarm1.adition[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adserver.edv-visions[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.googleadservices[4].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.technologyquestions[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@counters.gigya[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@technologyquestions[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@fl01.ct2.comclick[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adlegend[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@microsoftinternetexplorer.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@tribalfusion[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad2.adfarm1.adition[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad4.adfarm1.adition[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@webmasterplan[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adserver2.clipkit[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@media6degrees[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@unitymedia[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@serving-sys[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@usenext[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@komtrack[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.googleadservices[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@bbtrack[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@accountservices.betfair[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@msnportal.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adservercentral[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@specificclick[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adviva[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wnkosmazwho.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@track.adform[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@invitemedia[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@traffictrack[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.traffective-tracking[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@content.yieldmanager[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ads.poker-pionier[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6aekoomazalp.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adfarm1.adition[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.adnet[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@tradedoubler[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ru4[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.adservercentral[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.burstnet[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.zanox-affiliate[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@imrworldwide[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6aek4smdpslp.stats.esomniture[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@user.lucidmedia[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.zanox[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@bs.serving-sys[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@stats.paypal[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@usenext.122.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@atdmt[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adbrite[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@zbox.zanox[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@fastclick[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@revsci[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.googleadservices[3].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wnmiqkczoaq.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@superrtl.122.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ads.quartermedia[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.reklamport[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.googleadservices[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@microsoftsto.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wgkyckdpmdp.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@smartadserver[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@zedo[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@collective-media[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@burstnet[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wcl4aodzido.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@mediaplex[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@tracking.quisma[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.yieldmanager[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@statcounter[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@chitika[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@statse.webtrendslive[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@toplist[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@track.effiliation[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wnkoegajado.stats.esomniture[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@eas.apm.emediate[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@clickshift[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6aekiqldzcbp.stats.esomniture[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@zanox[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6aekykhdjmdo.stats.esomniture[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@partypoker[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.active-tracking[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@msnaccountservices.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@server.cpmstar[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adform[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ww251.smartadserver[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wdlyqlczebp.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@guj.122.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad1.adfarm.adtelligence[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adecn[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6wdlywkczocp.stats.esomniture[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@komtrack[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@paypal.112.2o7[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@zanox-affiliate[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adsrv1.admediate[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@content.yieldmanager[3].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@e-2dj6aekoeoajeco.stats.esomniture[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@track.effiliation[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adserver.traffictrack[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@www.etracker[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.adc-serv[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@rts.pgmediaserve[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad1.adfarm1.adition[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@im.banner.t-online[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad.ad-srv[1].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@ad3.adfarm1.adition[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@nextag[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@adtech[2].txt
	C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Cookies\Low\deniz_semik@doubleclick[1].txt

Rogue.AntiMalwareDoctor
	C:\Users\Deniz Semik\AppData\Roaming\859E8F8DDA2E6790D1C42797B1287B85

und dann noch Eset

Code:

ATTFilter

C:\ProgramData\~1\AppData\Local\Temp\Macromedia\swfupdate\swfupdate.dll	Variante von Win32/Chksyn.AJ Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Deniz Semik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskv33.dll	Variante von Win32/TrojanDownloader.Mebload.AO Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert

Wie mein Laptop z.Z. läuft:
z.Z. läuft mein Laptop eigentlich ohne Probleme.
Das einzigie was komisch ist, war das mit den ganzen unsichtbaren Dateien.
(Also alle meine Dateien wurden unsichtbar gemacht)

kira · 07.06.2011, 06:56

Zitat:

Falls treten folgende Symptome auf:
Ordner sind leer, unter Startmenü Programme fehlen etc., dieses Tool bietet dir die Lösung:

1.

Lade Dir Unhide.exe (http://filepony.de/download-unhide/) (by Grinler) herunter und speichere auf deinem Desktop
für Windows 7 und Vista mit Rechtsklick als Administrator ausführen
Doppelklick auf das Unhide.exe Icon auf dem Desktop - Alles braucht seine Zeit, also ein bisschen Geduld

<Achtung!>: Wenn Dateien etc, die absichtlich von Dir verborgen waren, also unter eigenschaften versteckt eingestellt hast, musst Du wieder auszublenden, nachdem das Tool ausgeführt wird.

Zitat:

Alles wieder sichtbar? Bitte kontrolliere es und berichte mir genau über den Zustand!

wenn das nicht hilft:

habe einige Varianten überlegt, die Du ausprobieren kannst:

1.
Es kann sein, dass die Startmenueeinträge zwar da, aber noch immer versteckt sind.
Gehe in den Ordner:
C:\Dokumente und Einstellungen\BENUTZERNAME\Startmenü
Dort findest du die Ordner des Startmenüs.
Schau dir die Eigenschaften der sich darin befindenden Ordner an, ob die Ordner einen Schreibschutz haben.
Entferne diesen, falls vorhanden.
Schau auch gleich, ob die normalen Verknüpfungen, die normalerweise im Startmenue sein sollten, hier zu finden sind.
Sie könnten wie gesagt versteckt sein.
Also wieder in die Eigenschaften der Dateien und Schreibschutz sowie das Attribut "Versteckt" entfernen.
Sollte in diesen Ordnern hier jedoch keine Verknüpfungen sein, dann müssen wir weiter schauen
eventuell probieren im abgesicherten Modus versuchen:-> (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

2.
Rechte Maustaste (Kontextmenü) bei der Anwendung für die Du eine dauerhafte Verknüfung oben links im Startmenü haben möchtest und wähle "Am Startmenü anheften" aus

3.

Linksklick auf Startmenü
Eingabe des gesuchten Programmes in die Suchleiste.
Rechtsklick auf das gefundene Programm. Dabei die rechte Maustaste nicht loslassen, sondern gleich das Programm, die Datei, oder wie auch immer, aus dem Panel herausziehen, und bei Bedarf dort ablegen, wo du es brauchst (Desktop, Taskleiste, etc)

- falls kommt eine Frage von Windows, ob du kopieren, verschieben oder eine Verknüpfung erstellen willst - kannst kopieren wählen).
- wenn du das Symbol dann einmal isoliert hast, kannst du es mit Rechtsklick überall anheften, wo du willst (Taskleiste, Startmenü, Programmenü, Bibliothek, wie auch immer).

4.
Rechtklick auf Taskleiste -> Eigenschaften
Tab "Startmenü" auswählen
Unter Datenschutz beide Haken setzen
Button "Anpassen" -> Standardeinstellungen

[QUOTE]- berichte mir welche Methode davon Erfolg gebracht hat?!

FFXTidus · 07.06.2011, 22:07

Unhide.exe hat mir geholfen

Super, vielen Dank für die Hilfe. Echt Klasse.
Eine Frage hätte ich da noch.
Wie kann ich mich in Zukunft vor so etwas Schützen ?

Trojaner FakeMS --- Festplatte angeblich "beschädigt"

Log-Analyse und Auswertung: Trojaner FakeMS --- Festplatte angeblich "beschädigt"