Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mehrere Trojaner gefunden durch Malwarebytes Antimalware (https://www.trojaner-board.de/110276-mehrere-trojaner-gefunden-malwarebytes-antimalware.html)

AC9 21.02.2012 22:19
mehrere Trojaner gefunden durch Malwarebytes Antimalware
 
Hallo Leute,

ich hab hier nen Rechner, der nicht mehr so sauber läuft. hab dann gemäß Anleitung alles gemacht ( autostart, ccleaner, ...), jedoch blieben die Probleme, vor allem wird oft die W-Lan verbindung etrennt oder man empfängt nur sehr wenig.
Hab dann ein Scan mit malwarebytes anti... gemacht (siehe Anhang); der hat dann schließlich das ein oder andere gefunden, hab es jedoch noch nicht gelöscht (sind in Quarantäne). Weitere Scans mit antivr oder Eset-Online Scaner haben nichts mehr ergeben.
Alle weitern Systemscans wie OTL oder dds oder Gmer hab ich schon gemacht und sind im Anhang. Wäre nett wenn jemand drüberschauen könnte
Sollten die Funde von Malwarebytes... entfernt werden?

Haut rein!

cosinus 22.02.2012 22:07
Zitat:
31.12.2011 18:00:18
Wieso hast du nur ein Log von Silvester? Ist ja fast 2 Monate alt!

AC9 22.02.2012 23:37
seit diesen Log hat sich nichts geändert...alle weiteren Logs waren ohne Funde.

Das war´s jetzt schon mit der Hilfe oder wie?:rolleyes:

cosinus 23.02.2012 09:48
Zitat:
Das war´s jetzt schon mit der Hilfe oder wie? :rolleyes:
Wenn ich eine wichtige Frage habe, stell ich erstmal nur diese! Ich hab oft die Erfahrung gemacht, dass dann bestimmte Dinge vom TO übersehen werden wenn ich zuviel reinposte was ich zuerst mal schnell klären will. Also provoziere bitte keine Hektik mit solchen Floskeln!


Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


AC9 23.02.2012 16:18
"Weitere Scans mit antivir oder Eset Online Scanner" haben nichts ergeben"...
steht bereits im ersten Beitrag oben:balla:

cosinus 23.02.2012 17:37
Zitat:
haben nichts ergeben"...
steht bereits im ersten Beitrag oben
Die Logs wären trotzdem schön. Wie lange lief ESET da? Sowas zB seh ich im Log.

AC9 23.02.2012 20:19
ESET lief da 1:53, Log ist nicht mehr vorhanden, aktueller Scan ist noch am laufen
1. Was siehst du eigentlich bis jetzt ( aus den ganzen Logs)?
2. Sollten die Trojaner gelöscht werden?

AC9 23.02.2012 21:03
..........

cosinus 23.02.2012 21:48
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

AC9 23.02.2012 23:01
Bitteschön:

Code:
OTL logfile created on: 23.02.2012 22:29:25 - Run 2
OTL by OldTimer - Version 3.2.33.1    Folder = C:\Users\***\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1013,31 Mb Total Physical Memory | 407,23 Mb Available Physical Memory | 40,19% Memory free
2,42 Gb Paging File | 1,70 Gb Available in Paging File | 70,28% Paging File free
Paging file location(s): c:\pagefile.sys 1500 3000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 106,62 Gb Total Space | 49,78 Gb Free Space | 46,69% Space Free | Partition Type: NTFS
Drive D: | 5,17 Gb Total Space | 1,22 Gb Free Space | 23,53% Space Free | Partition Type: NTFS
Drive E: | 643,92 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe ()
PRC - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe ()
PRC - C:\Program Files\Mousometer\mousometer.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Program Files\Mousometer\mousometer.exe ()
MOD - C:\Program Files\Mousometer\ProSpeed.dll ()
MOD - C:\Program Files\Mousometer\res.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (TeamViewer6) -- C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (LVSrvLauncher) -- C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.)
SRV - (LVPrcSrv) -- C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
SRV - (LVCOMSer) -- C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe (Logitech Inc.)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe ()
SRV - (AddFiltr) -- C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (Hewlett-Packard Development Company, L.P.)
SRV - (IDriverT) -- C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)
DRV - (HBtnKey) -- C:\Windows\System32\drivers\CPQBTTN.sys (Hewlett-Packard Company)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.)
DRV - (LVUSBSta) -- C:\Windows\System32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\Windows\System32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (pepifilter) -- C:\Windows\System32\drivers\lv302af.sys (Logitech Inc.)
DRV - (LVPr2Mon) -- C:\Windows\System32\drivers\LVPr2Mon.sys ()
DRV - (LVcKap) -- C:\Windows\System32\drivers\Lvckap.sys (Logitech Inc.)
DRV - (camfilt2) -- C:\Windows\System32\drivers\camfilt2.sys (Guillemot Corporation)
DRV - (SNPSTD3) -- C:\Windows\System32\drivers\snpstd3.sys (Sonix Co. Ltd.)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (HdAudAddService) -- C:\Windows\System32\drivers\CHDART.sys (Conexant Systems Inc.)
DRV - (rimmptsk) -- C:\Windows\System32\drivers\rimmptsk.sys (REDC)
DRV - (rimsptsk) -- C:\Windows\System32\drivers\rimsptsk.sys (REDC)
DRV - (rismxdp) -- C:\Windows\System32\drivers\rixdptsk.sys (REDC)
DRV - (NETw3v32) Intel(R) -- C:\Windows\System32\drivers\NETw3v32.sys (Intel® Corporation)
DRV - (wanatw) WAN Miniport (ATW) -- C:\Windows\System32\drivers\wanatw4.sys (America Online, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_Deutsch Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://google.com/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0:  File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.20 22:02:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.12.24 19:54:58 | 000,000,000 | ---D | M]
 
[2008.09.21 01:03:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christian\AppData\Roaming\mozilla\Extensions
[2012.02.20 21:55:00 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christian\AppData\Roaming\mozilla\Firefox\Profiles\97s6gqsg.default\extensions
[2010.10.22 10:04:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Christian\AppData\Roaming\mozilla\Firefox\Profiles\97s6gqsg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.07.26 18:46:25 | 000,002,238 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\askcom.xml
[2008.12.22 14:27:48 | 000,000,894 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\conduit.xml
[2012.02.20 21:57:20 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-1.xml
[2009.08.05 08:18:49 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-2.xml
[2009.09.04 21:36:25 | 000,000,961 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-3.xml
[2010.11.07 13:07:37 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-4.xml
[2010.12.13 15:49:21 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-5.xml
[2011.03.09 13:57:34 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-6.xml
[2011.03.25 19:31:28 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-7.xml
[2010.06.21 16:35:24 | 000,001,042 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin.xml
[2011.12.30 22:06:28 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2009.07.18 13:33:06 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Program Files\mozilla firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.12.30 22:06:33 | 000,000,000 | ---D | M] (G Data BankGuard) -- C:\Program Files\mozilla firefox\extensions\{906305f7-aafc-45e9-8bbd-941950a84dad}
() (No name found) -- C:\USERS\***\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\97S6GQSG.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012.02.20 22:02:27 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.02.20 22:02:19 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.20 22:02:19 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.02.20 22:02:19 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.20 22:02:19 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.20 22:02:19 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.20 22:02:19 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: ICQ Search (Enabled)
CHR - default_search_provider: search_url = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=icq-fx-plug&q={searchTerms}&ch_id=icq-fx-plug
CHR - default_search_provider: suggest_url =
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\15.0.874.106\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\15.0.874.106\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\15.0.874.106\pdf.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprjplug.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Updater (Enabled) = C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: AdBlock = C:\Users\Christian\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.4.28_0\
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Launcher] C:\Windows\SMINST\Launcher.exe (soft thinks)
O4 - Startup: C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mousometer.lnk = C:\Program Files\Mousometer\mousometer.exe ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DDA476D0-B0AF-4E82-9BBC-E75662642EC0}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Christian\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Christian\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.09.11 16:18:54 | 000,000,340 | -HS- | M] () - D:\AUTOMODE -- [ NTFS ]
O32 - AutoRun File - [2004.11.21 11:00:23 | 000,000,053 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{618e71c7-c725-11db-9349-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{618e71c7-c725-11db-9349-806e6f6e6963}\Shell\AutoRun\command - "" = E:\nw1_as.exe -- [2005.09.01 09:04:43 | 000,413,696 | R--- | M] (Langenscheidt ELT)
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk - C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE - (Adobe Systems, Inc.)
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk - C:\PROGRA~1\Adobe\READER~1.0\Reader\READER~1.EXE - (Adobe Systems Incorporated)
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk - C:\PROGRA~1\Adobe\READER~1.0\Reader\ADOBEC~1.EXE - (Adobe Systems Incorporated)
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech Desktop Messenger.lnk -  - File not found
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk -  - File not found
MsConfig - StartUpFolder: C:^Users^Anita Schmitt^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk - C:\PROGRA~1\OPENOF~1.3\program\QUICKS~1.EXE - ()
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
MsConfig - StartUpReg: ISUSPM Startup - hkey= - key= -  File not found
MsConfig - StartUpReg: LogitechCommunicationsManager - hkey= - key= - C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe ()
MsConfig - StartUpReg: LogitechQuickCamRibbon - hkey= - key= - C:\Program Files\Logitech\QuickCam\Quickcam.exe ()
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: QlbCtrl - hkey= - key= -  File not found
MsConfig - StartUpReg: QlbCtrl.exe - hkey= - key= - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe ( Hewlett-Packard Development Company, L.P.)
MsConfig - StartUpReg: QPService - hkey= - key= - C:\Program Files\HP\QuickPlay\QPService.exe (CyberLink Corp.)
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Program Files\QuickTime\QTTask.exe (Apple Inc.)
MsConfig - StartUpReg: swg - hkey= - key= - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
MsConfig - StartUpReg: TkBellExe - hkey= - key= -  File not found
MsConfig - State: "startup" - 2
MsConfig - State: "services" - 2
 
SafeBootMin: AppMgmt - Service
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: NTDS -  File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: WinDefend - C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet: AppMgmt - Service
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS -  File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WinDefend - C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SafeBootNet: WudfPf - Driver
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {9EA5E84D-7EB1-485D-7339-09E1A2A36EDF} - Microsoft Windows Media Player 11.0
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3codecp -  File not found
Drivers32: msacm.lhacm - C:\Windows\System32\lhacm.acm (Microsoft Corporation)
Drivers32: MSVideo - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.I420 - C:\Windows\System32\lvcodec2.dll (Logitech Inc.)
Drivers32: VIDC.IV41 - C:\Windows\System32\ir41_32.ax (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.02.23 18:58:25 | 000,000,000 | ---D | C] -- C:\Users\Christian\Desktop\Logs
[2012.02.21 21:53:21 | 000,583,168 | ---- | C] (OldTimer Tools) -- C:\Users\Christian\Desktop\OTL.exe
[2012.02.21 20:34:10 | 000,607,260 | R--- | C] (Swearware) -- C:\Users\Christian\Desktop\dds.com
[2012.02.21 16:37:47 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012.02.21 16:35:50 | 002,322,184 | ---- | C] (ESET) -- C:\Users\Christian\Desktop\esetsmartinstaller_enu(1).exe
[2012.02.20 23:17:57 | 000,000,000 | ---D | C] -- C:\Users\Christian\AppData\Roaming\Avira
[2012.02.20 23:13:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.02.20 23:12:40 | 000,137,416 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2012.02.20 23:12:40 | 000,074,640 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.02.20 23:12:40 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.02.20 23:12:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.02.20 23:12:32 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2009.08.10 19:07:39 | 000,001,356 | ---- | C] () -- C:\Users\Christian\AppData\Local\d3d9caps.dat
[2008.02.27 16:31:10 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.02.18 21:03:20 | 000,000,032 | ---- | C] () -- C:\ProgramData\ezsid.dat
[2008.02.03 15:08:52 | 000,006,656 | ---- | C] () -- C:\Users\Christian\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.01.20 13:59:19 | 000,122,328 | ---- | C] () -- C:\Users\Christian\AppData\Local\GDIPFONTCACHEV1.DAT
[2007.02.27 22:20:01 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLec.DAT
 
========== Files - Modified Within 30 Days ==========
 
[2012.02.23 22:22:47 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.02.23 22:22:47 | 000,593,860 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.02.23 22:22:47 | 000,126,260 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.02.23 22:22:47 | 000,101,934 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.02.23 22:22:17 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.02.23 22:20:15 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.02.23 22:18:23 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.02.23 22:18:23 | 000,003,168 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.02.23 22:17:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.02.23 21:06:31 | 000,002,038 | ---- | M] () -- C:\Users\Public\Desktop\English Network 1 Aussprache-CD-ROM.lnk
[2012.02.21 21:53:26 | 000,583,168 | ---- | M] (OldTimer Tools) -- C:\Users\Christian\Desktop\OTL.exe
[2012.02.21 20:46:46 | 000,302,592 | ---- | M] () -- C:\Users\Christian\Desktop\w4sc6mrr.exe
[2012.02.21 20:34:15 | 000,607,260 | R--- | M] (Swearware) -- C:\Users\Christian\Desktop\dds.com
[2012.02.21 16:36:09 | 002,322,184 | ---- | M] (ESET) -- C:\Users\Christian\Desktop\esetsmartinstaller_enu(1).exe
[2012.02.21 14:28:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2012.02.21 01:18:04 | 000,000,000 | ---- | M] () -- C:\Users\Christian\defogger_reenable
[2012.02.21 00:44:07 | 000,050,477 | ---- | M] () -- C:\Users\Christian\Desktop\Defogger.exe
[2012.02.20 23:26:35 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.02.20 23:13:16 | 000,001,847 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.02.18 18:01:42 | 000,001,971 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2012.02.16 14:28:25 | 000,435,664 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.01.31 08:56:33 | 000,137,416 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2012.01.31 08:56:33 | 000,074,640 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.01.26 13:26:11 | 000,529,468 | ---- | M] () -- C:\Windows\System32\sig.bin
[2012.01.26 13:26:11 | 000,036,224 | ---- | M] () -- C:\Windows\System32\nmp.map
 
========== Files Created - No Company Name ==========
 
[2012.02.23 21:06:31 | 000,002,038 | ---- | C] () -- C:\Users\Public\Desktop\English Network 1 Aussprache-CD-ROM.lnk
[2012.02.21 20:46:44 | 000,302,592 | ---- | C] () -- C:\Users\Christian\Desktop\w4sc6mrr.exe
[2012.02.21 01:18:04 | 000,000,000 | ---- | C] () -- C:\Users\Christian\defogger_reenable
[2012.02.21 00:43:26 | 000,050,477 | ---- | C] () -- C:\Users\Christian\Desktop\Defogger.exe
[2012.02.20 23:13:16 | 000,001,847 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2011.12.31 17:00:45 | 000,529,468 | ---- | C] () -- C:\Windows\System32\sig.bin
[2011.06.13 11:51:26 | 000,000,000 | ---- | C] () -- C:\Users\Christian\AppData\Local\{04A685E2-D665-4503-A3C9-3FF6FABBB5B7}
 
========== LOP Check ==========
 
[2010.01.31 23:10:31 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\Auslogics
[2007.11.10 21:35:33 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\Groove Games
[2007.08.06 15:59:45 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\ICQ Toolbar
[2009.01.29 22:10:38 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\Leadertech
[2007.02.27 22:26:52 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\muvee Technologies
[2007.02.27 22:11:45 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\Nikon
[2011.04.26 15:23:01 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\TeamViewer
[2007.02.27 21:52:08 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\Template
[2011.01.01 19:36:34 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\.minecraft
[2008.12.29 21:36:53 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\AIMP
[2009.12.27 19:27:30 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Auslogics
[2010.12.20 12:26:39 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\de.3m5.wendel.flcd.FLCDB.4E7DF207D694E815646D9C9DD7DC91A41EB7FD23.1
[2009.06.06 19:06:50 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Groove Games
[2011.08.24 22:57:50 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\ICQ
[2009.12.12 18:39:20 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Leadertech
[2009.07.27 19:10:58 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Toblo
[2012.02.23 21:51:48 | 000,032,654 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.01.01 19:36:34 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\.minecraft
[2011.08.30 01:09:19 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Adobe
[2009.06.20 15:50:13 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Ahead
[2008.12.29 21:36:53 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\AIMP
[2008.10.03 15:10:01 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\AOL
[2010.04.10 09:48:53 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Apple Computer
[2009.12.27 19:27:30 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Auslogics
[2012.02.20 23:17:57 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Avira
[2010.12.20 12:26:39 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\de.3m5.wendel.flcd.FLCDB.4E7DF207D694E815646D9C9DD7DC91A41EB7FD23.1
[2011.08.07 17:01:21 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\dvdcss
[2008.11.10 22:21:10 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Google
[2009.06.06 19:06:50 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Groove Games
[2009.01.01 17:42:45 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\GTek
[2010.10.19 10:28:47 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Hewlett-Packard
[2008.01.24 20:45:56 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\HP
[2011.08.17 14:48:29 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\HpUpdate
[2011.08.24 22:57:50 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\ICQ
[2008.01.20 13:58:16 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Identities
[2009.12.12 18:39:20 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Leadertech
[2008.01.20 18:08:30 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Macromedia
[2011.12.31 17:58:54 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Malwarebytes
[2006.11.02 13:37:34 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Media Center Programs
[2011.02.27 20:46:22 | 000,000,000 | --SD | M] -- C:\Users\Christian\AppData\Roaming\Microsoft
[2008.09.21 01:03:59 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Mozilla
[2010.04.28 16:38:24 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\OpenOffice.org2
[2009.07.11 21:15:00 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Real
[2011.09.06 21:25:38 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Skype
[2011.09.06 18:10:07 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\skypePM
[2009.07.27 19:10:58 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\Toblo
[2011.08.07 22:32:48 | 000,000,000 | ---D | M] -- C:\Users\Christian\AppData\Roaming\vlc
 
< %APPDATA%\*.exe /s >
[2010.12.20 12:30:59 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Users\Christian\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_51b95d75\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\drivers\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\drivers\atapi.sys
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
[2008.02.13 20:21:07 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
[2008.02.13 20:21:07 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
[2008.02.13 20:21:07 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=E03E8C99D15D0381E02743C36AFC7C6F -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: IASTORV.SYS  >
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\drivers\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2006.11.02 10:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6000.16386_none_fb80f5473b0ed783\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\System32\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008.01.19 08:35:36 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\drivers\nvstor.sys
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008.01.19 08:36:19 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2006.11.02 10:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6000.16386_none_35d7205fdc305e3e\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\System32\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007.09.13 13:47:29 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=63B4F59D7C89B1BF5277F1FFEFD491CD -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16438_none_cb39bc5b7047127e\user32.dll
[2007.09.13 13:47:30 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=9D9F061EDA75425FC67F0365E3467C86 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.20537_none_cbc258dc896598f1\user32.dll
[2008.01.19 08:36:46 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
[2006.11.02 10:46:13 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=E698A5437B89A285ACA3FF022356810A -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16386_none_cb01aa4570716e5e\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2006.11.02 10:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2008.01.19 08:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008.01.19 08:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2006.11.02 10:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\System32\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2006.11.02 10:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe
[2008.01.19 08:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.11.02 09:58:26 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=84620AECDCFD2A7A14E6263927D8C0ED -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6000.16386_none_4d4fded8cae2956d\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2006.11.02 11:34:05 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 11:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 11:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >

< End of report >

cosinus 24.02.2012 10:55
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=71&bd=Pavilion&pf=laptop
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_Deutsch Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="
[2010.10.22 10:04:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Christian\AppData\Roaming\mozilla\Firefox\Profiles\97s6gqsg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.07.26 18:46:25 | 000,002,238 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\askcom.xml
[2008.12.22 14:27:48 | 000,000,894 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\conduit.xml
[2012.02.20 21:57:20 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-1.xml
[2009.08.05 08:18:49 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-2.xml
[2009.09.04 21:36:25 | 000,000,961 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-3.xml
[2010.11.07 13:07:37 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-4.xml
[2010.12.13 15:49:21 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-5.xml
[2011.03.09 13:57:34 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-6.xml
[2011.03.25 19:31:28 | 000,000,950 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin-7.xml
[2010.06.21 16:35:24 | 000,001,042 | ---- | M] () -- C:\Users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\searchplugins\icqplugin.xml
[2009.07.18 13:33:06 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Program Files\mozilla firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
CHR - default_search_provider: search_url = http://search.icq.com/search/results.php?q={searchTerms}&ch_id=icq-fx-plug&q={searchTerms}&ch_id=icq-fx-plug
CHR - default_search_provider: suggest_url =
O3 - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-2981063536-2297283949-2722536586-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.09.11 16:18:54 | 000,000,340 | -HS- | M] () - D:\AUTOMODE -- [ NTFS ]
O32 - AutoRun File - [2004.11.21 11:00:23 | 000,000,053 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{618e71c7-c725-11db-9349-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{618e71c7-c725-11db-9349-806e6f6e6963}\Shell\AutoRun\command - "" = E:\nw1_as.exe -- [2005.09.01 09:04:43 | 000,413,696 | R--- | M] (Langenscheidt ELT)
[2007.08.06 15:59:45 | 000,000,000 | ---D | M] -- C:\Users\Anita Schmitt\AppData\Roaming\ICQ Toolbar
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

AC9 24.02.2012 14:52
Hier ist der Log...musste neu hochfahren

cosinus 24.02.2012 15:56
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

AC9 24.02.2012 17:09
Bitteschön:

cosinus 24.02.2012 18:50
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

AC9 24.02.2012 19:48
Code:
ComboFix 12-02-24.02 - Christian 24.02.2012  19:27:59.1.1 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.1013.367 [GMT 1:00]
ausgeführt von:: c:\users\Christian\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-01-24 bis 2012-02-24  ))))))))))))))))))))))))))))))
.
.
2012-02-24 18:38 . 2012-02-24 18:38        --------        d-----w-        c:\users\Christian\AppData\Local\temp
2012-02-24 13:14 . 2012-02-24 13:14        --------        d-----w-        C:\_OTL
2012-02-23 16:16 . 2012-02-23 16:16        --------        d-----w-        c:\users\Anita Schmitt\AppData\Roaming\Avira
2012-02-21 15:37 . 2012-02-21 15:37        --------        d-----w-        c:\program files\ESET
2012-02-20 22:17 . 2012-02-20 22:17        --------        d-----w-        c:\users\Christian\AppData\Roaming\Avira
2012-02-20 22:12 . 2012-01-31 07:56        74640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-02-20 22:12 . 2012-01-31 07:56        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-02-20 22:12 . 2011-09-16 15:08        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2012-02-20 22:12 . 2012-02-20 22:12        --------        d-----w-        c:\programdata\Avira
2012-02-20 22:12 . 2012-02-20 22:12        --------        d-----w-        c:\program files\Avira
2012-02-20 21:02 . 2012-02-20 21:02        19416        ----a-w-        c:\program files\Mozilla Firefox\AccessibleMarshal.dll
2012-02-20 21:02 . 2012-02-20 21:02        2106216        ----a-w-        c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2012-02-20 21:02 . 2012-02-20 21:02        134104        ----a-w-        c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-02-16 13:12 . 2011-12-14 02:56        1427456        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-02-14 20:20 . 2011-12-14 16:17        680448        ----a-w-        c:\windows\system32\msvcrt.dll
2012-02-14 20:20 . 2012-01-12 19:52        2044416        ----a-w-        c:\windows\system32\win32k.sys
2012-02-14 20:19 . 2011-12-20 10:56        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
2012-01-26 12:23 . 2011-11-17 06:48        440192        ----a-w-        c:\windows\system32\drivers\ksecdd.sys
2012-01-26 12:23 . 2011-11-16 16:23        377344        ----a-w-        c:\windows\system32\winhttp.dll
2012-01-26 12:23 . 2011-11-16 16:23        72704        ----a-w-        c:\windows\system32\secur32.dll
2012-01-26 12:23 . 2011-11-16 16:23        278528        ----a-w-        c:\windows\system32\schannel.dll
2012-01-26 12:23 . 2011-11-16 16:21        1259008        ----a-w-        c:\windows\system32\lsasrv.dll
2012-01-26 12:23 . 2011-11-16 14:12        9728        ----a-w-        c:\windows\system32\lsass.exe
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-20 22:10 . 2011-05-16 18:41        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-31 16:42 . 2011-12-30 21:12        30256        ----a-w-        c:\windows\system32\drivers\GRD.sys
2011-12-30 21:09 . 2011-12-30 20:09        49016        ----a-w-        c:\windows\system32\drivers\PktIcpt.sys
2011-12-10 14:24 . 2011-12-31 16:58        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-02-20 21:02 . 2012-02-20 21:02        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-08 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-18 133656]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-18 141848]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-18 166424]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-08 44128]
.
c:\users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Mousometer.lnk - c:\program files\Mousometer\mousometer.exe [2008-11-17 344064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logitech Desktop Messenger.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Anita Schmitt^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk]
path=c:\users\Anita Schmitt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-29 19:59        937920        ----a-r-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-08-31 01:57        40368        ----a-w-        c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04        1164584        ----a-w-        c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-02-17 00:15        221184        ----a-w-        c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2008-02-13 12:02        564496        ----a-w-        c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-02-13 12:06        2196240        ----a-w-        c:\program files\Logitech\QuickCam\Quickcam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40        155648        ----a-w-        c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
2009-11-24 09:07        323640        ----a-w-        c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe]
2009-11-24 09:07        323640        ----a-w-        c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
2006-12-03 00:32        167936        ----a-w-        c:\program files\HP\QuickPlay\QPService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-11-08 18:32        39408        ----a-w-        c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        REG_MULTI_SZ          BthServ
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-24 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-05 15:21]
.
2012-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 11:01]
.
2012-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 11:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page =
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Christian\AppData\Roaming\Mozilla\Firefox\Profiles\97s6gqsg.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://google.com/
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-TkBellExe - c:\program files\Common Files\Real\Update_OB\realsched.exe
AddRemove-Toblo - c:\program files\Toblo\Uninstall Toblo.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-24 19:38
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-02-24  19:42:34
ComboFix-quarantined-files.txt  2012-02-24 18:42
.
Vor Suchlauf: 13 Verzeichnis(se), 54.038.269.952 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 53.979.451.392 Bytes frei
.
- - End Of File - - 789B5FE955B26902CFEC261C9F9BF04E

cosinus 24.02.2012 19:52
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

AC9 24.02.2012 21:07
GMER:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-02-24 21:05:01
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2 FUJITSU_MHV2120BH_PL rev.892C
Running: w4sc6mrr.exe; Driver: C:\Users\CHRIST~1\AppData\Local\Temp\afkcapog.sys


---- System - GMER 1.0.15 ----

SSDT            871E3C36                                                                                        ZwCreateSection
SSDT            871E3C40                                                                                        ZwRequestWaitReplyPort
SSDT            871E3C3B                                                                                        ZwSetContextThread
SSDT            871E3C45                                                                                        ZwSetSecurityObject
SSDT            871E3C4A                                                                                        ZwSystemDebugControl
SSDT            871E3BD7                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!KeSetEvent + 215                                                                    824C6998 4 Bytes  [36, 3C, 1E, 87]
.text          ntkrnlpa.exe!KeSetEvent + 539                                                                    824C6CBC 4 Bytes  [40, 3C, 1E, 87]
.text          ntkrnlpa.exe!KeSetEvent + 56D                                                                    824C6CF0 4 Bytes  [3B, 3C, 1E, 87]
.text          ntkrnlpa.exe!KeSetEvent + 5D1                                                                    824C6D54 4 Bytes  [45, 3C, 1E, 87]
.text          ntkrnlpa.exe!KeSetEvent + 619                                                                    824C6D9C 4 Bytes  [4A, 3C, 1E, 87]
.text          ...                                                                                             

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001641c78965                     
Reg            HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001641c78965 (not active ControlSet) 

---- EOF - GMER 1.0.15 ----

AC9 24.02.2012 21:33
OSAM:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:31:39 on 24.02.2012

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 10.0.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\Windows\system32\ISUSPM.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avkmgr.sys
"camfilt2" (camfilt2) - "Guillemot Corporation" - C:\Windows\System32\DRIVERS\camfilt2.sys
"catchme" (catchme) - ? - C:\Users\CHRIST~1\AppData\Local\Temp\catchme.sys  (File not found)
"Hercules Classic Silver" (SNPSTD3) - "Sonix Co. Ltd." - C:\Windows\System32\DRIVERS\snpstd3.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -  (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{1F77B17B-F531-44DB-ACA4-76ABB5010A28} "AIMP2: ShellExt" - ? -  (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -  (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -  (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -  (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{7F67036B-66F1-411A-AD85-759FB9C5B0DB} "ShellViewRTF" - "XSS" - C:\Windows\System32\ShellvRTF.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -  (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Mousometer.lnk" - ? - C:\Program Files\Mousometer\mousometer.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"HP Health Check Scheduler" - "Hewlett-Packard" - c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
"HP Software Update" - "Hewlett-Packard" - C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
"hpWirelessAssistant" - "Hewlett-Packard Development Company, L.P." - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce )-----
"Launcher" - "soft thinks" - %WINDIR%\SMINST\launcher.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"LIDIL hpzll5ha" - "Hewlett-Packard Company" - C:\Windows\system32\hpzll5ha.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@c:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"CyberLink Background Capture Service (CBCS)" (CLCapSvc) - ? - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
"CyberLink Task Scheduler (CTS)" (CLSched) - ? - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"RoxMediaDB9" (RoxMediaDB9) - "Sonic Solutions" - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
"TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

AC9 24.02.2012 21:55
aswMBR:
Code:
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-02-24 21:35:32
-----------------------------
21:35:32.790    OS Version: Windows 6.0.6002 Service Pack 2
21:35:32.790    Number of processors: 1 586 0xE08
21:35:32.790    ComputerName: ANITASCHMITT-PC  UserName: Christian
21:36:32.600    Initialize success
21:38:06.418    AVAST engine defs: 12022401
21:38:46.026    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2
21:38:46.026    Disk 0 Vendor: FUJITSU_MHV2120BH_PL 892C Size: 114473MB BusType: 3
21:38:46.057    Disk 0 MBR read successfully
21:38:46.057    Disk 0 MBR scan
21:38:46.073    Disk 0 unknown MBR code
21:38:46.073    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS      109176 MB offset 63
21:38:46.120    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS        5294 MB offset 223592670
21:38:46.120    Disk 0 scanning sectors +234436545
21:38:46.198    Disk 0 scanning C:\Windows\system32\drivers
21:38:58.943    Service scanning
21:39:33.902    Modules scanning
21:39:42.248    Disk 0 trace - called modules:
21:39:42.264    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys
21:39:42.794    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84e6aac8]
21:39:42.794    3 CLASSPNP.SYS[833a48b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-2[0x84368030]
21:39:44.042    AVAST engine scan C:\Windows
21:39:48.676    AVAST engine scan C:\Windows\system32
21:44:00.179    AVAST engine scan C:\Windows\system32\drivers
21:44:20.771    AVAST engine scan C:\Users\Christian
21:47:35.459    AVAST engine scan C:\ProgramData
21:48:47.141    Scan finished successfully
21:51:14.795    Disk 0 MBR has been saved successfully to "C:\Users\Christian\Desktop\Logs\MBR.dat"
21:51:14.810    The log file has been saved successfully to "C:\Users\Christian\Desktop\Logs\aswMBR.txt"

cosinus 24.02.2012 23:19
Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

AC9 25.02.2012 00:22
Frage: wo befinden sich die viren überhaupt....wenn ich jetzt die Daten auf eine andere Festplatte/ rechner ziehen, dann sind sie ja immer noch da:kaffee:

cosinus 25.02.2012 00:55
Diese Frage macht so keinen Sinn, nur wenn du davon ausgehst, dass bei einem Befall des Rechners auch gleich jede Datei befallen ist. Das ist so aber nicht der Fall. Oder hab ich dich völlig falsch verstanden?

Wenn nicht stell solche Fragen bitte einfach später, ich mag es nicht in der Analyse unterbrochen zu werden

AC9 26.02.2012 02:21
Während aswMBR den Scan gemacht hat, ist ne Meldung von Antivir reingekommen, und zwar wurde 3* "TR/Crypt.EPACK.Gen2" und 1* "TR/Crypt.XPACK.Gen" gefunden. Scan mit antivir und Malwarebytes läuft noch, Logs kommen später
Hier der aswMBR Log:

Code:
aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-02-26 01:45:42
-----------------------------
01:45:42.577    OS Version: Windows 6.0.6002 Service Pack 2
01:45:42.577    Number of processors: 1 586 0xE08
01:45:42.577    ComputerName: ANITASCHMITT-PC  UserName: Christian
01:46:47.410    Initialize success
01:48:15.368    AVAST engine defs: 12022502
01:48:31.842    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2
01:48:31.842    Disk 0 Vendor: FUJITSU_MHV2120BH_PL 892C Size: 114473MB BusType: 3
01:48:31.873    Disk 0 MBR read successfully
01:48:31.889    Disk 0 MBR scan
01:48:31.967    Disk 0 Windows VISTA default MBR code
01:48:31.982    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS      109176 MB offset 63
01:48:32.029    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS        5294 MB offset 223592670
01:48:32.076    Disk 0 scanning sectors +234436545
01:48:32.216    Disk 0 scanning C:\Windows\system32\drivers
01:49:06.817    Service scanning
01:49:57.579    Modules scanning
01:50:18.780    Disk 0 trace - called modules:
01:50:18.811    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys
01:50:19.326    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85322ac8]
01:50:19.357    3 CLASSPNP.SYS[833ac8b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-2[0x84368030]
01:50:21.198    AVAST engine scan C:\Windows
01:50:43.568    AVAST engine scan C:\Windows\system32
01:58:19.026    AVAST engine scan C:\Windows\system32\drivers
01:58:51.084    AVAST engine scan C:\Users\Christian
02:03:22.758    AVAST engine scan C:\ProgramData
02:05:31.349    Scan finished successfully
02:07:34.183    Disk 0 MBR has been saved successfully to "C:\Users\Christian\Desktop\Logs\MBR.dat"
02:07:34.183    The log file has been saved successfully to "C:\Users\Christian\Desktop\Logs\aswMBR2.txt"

AC9 26.02.2012 13:04
Ok, Antivir hatte irgendwie nur 50 Dateien gescannt ( der Scan kam irgendwie automatisch, ohne dass ich etwas getan habe). Malewarebytes hat nichts ergeben. Eset ist am laufen. Sollte ich nochmal nen Scan mit OTL machen?

AC9 26.02.2012 14:59
Eset Log hat auch nichts gefunden:
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3a40966510ef9e4582755ac5b137f956
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-21 05:37:33
# local_time=2012-02-21 06:37:33 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 66719 66719 0 0
# compatibility_mode=4096 16777215 100 0 69069 69069 0 0
# compatibility_mode=5892 16776638 100 100 52387999 167371799 0 0
# compatibility_mode=8192 67108863 100 0 4004 4004 0 0
# scanned=174684
# found=0
# cleaned=0
# scan_time=6781
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3a40966510ef9e4582755ac5b137f956
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-23 07:54:39
# local_time=2012-02-23 08:54:39 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 247841 247841 0 0
# compatibility_mode=4096 16777215 100 0 250191 250191 0 0
# compatibility_mode=5892 16776638 100 100 52569121 167552921 0 0
# compatibility_mode=8192 67108863 100 0 185126 185126 0 0
# scanned=175051
# found=0
# cleaned=0
# scan_time=6686
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3a40966510ef9e4582755ac5b137f956
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-26 01:56:13
# local_time=2012-02-26 02:56:13 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 485403 485403 0 0
# compatibility_mode=4096 16777215 100 0 487753 487753 0 0
# compatibility_mode=5892 16776638 100 100 52806683 167790483 0 0
# compatibility_mode=8192 67108863 100 0 422688 422688 0 0
# scanned=170851
# found=0
# cleaned=0
# scan_time=6817

cosinus 26.02.2012 16:00
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

AC9 26.02.2012 16:11
Ich hatte heute Nacht schon nen Malwarebyte Scan gemacht:
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.25.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Christian :: ANITASCHMITT-PC [Administrator]

26.02.2012 02:08:38
mbam-log-2012-02-26 (02-08-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359873
Laufzeit: 3 Stunde(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

AC9 26.02.2012 20:39
ok, SuperSpyAnti hat mehrere Cookies als "Bedrohung" (?) gemeldet....soll ich die einfach löschen?
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/26/2012 at 08:12 PM

Application Version : 5.0.1144

Core Rules Database Version : 8279
Trace Rules Database Version: 6091

Scan type      : Complete Scan
Total Scan Time : 02:32:03

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Memory items scanned      : 622
Memory threats detected  : 0
Registry items scanned    : 36171
Registry threats detected : 0
File items scanned        : 200497
File threats detected    : 82

Adware.Tracking Cookie
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\HNXWCVV4.txt [ Cookie:anita schmitt@ad.yieldmanager.com/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\2YO5C5K5.txt [ Cookie:anita schmitt@atdmt.com/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\QWK1ERC1.txt [ Cookie:anita schmitt@apmebf.com/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\P8054EOM.txt [ Cookie:anita schmitt@yadro.ru/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\0S8QOA97.txt [ Cookie:anita schmitt@fl01.ct2.comclick.com/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\NKDG385Y.txt [ Cookie:anita schmitt@2o7.net/ ]
        C:\USERS\ANITA SCHMITT\AppData\Roaming\Microsoft\Windows\Cookies\Low\XYVB6HE4.txt [ Cookie:anita schmitt@adfarm1.adition.com/ ]
        .atdmt.com [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .msnportal.112.2o7.net [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .zedo.com [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .zedo.com [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .zedo.com [ C:\PROGRAMDATA\MOZILLA\FIREFOX\PROFILES\QTXZQE6D.DEFAULT\COOKIES.SQLITE ]
        .doubleclick.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .doubleclick.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .apmebf.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .mediaplex.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adxvalue.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        adx.chip.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        ad.zanox.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        track.adform.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        track.adform.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adform.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .tracking.quisma.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        tracking.quisma.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        tracking.quisma.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .traffictrack.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .zanox.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        tracking.mlsat02.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .tradedoubler.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        ad2.adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        adx.chip.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adtech.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        ad3.adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .e-2dj6wjk4ggczwhq.stats.esomniture.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .paypal.112.2o7.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .yadro.ru [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        www.etracker.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        statse.webtrendslive.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        tracking.tchibo.de [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .accounts.google.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .2o7.net [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]
        .e-2dj6wjkoqhdpmeq.stats.esomniture.com [ C:\USERS\ANITA SCHMITT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SVN7CN31.DEFAULT\COOKIES.SQLITE ]

cosinus 26.02.2012 21:04
Sieht ok aus, da wurden nur Cookies gefunden. Die können weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

AC9 26.02.2012 21:12
1. Naja, gestern wurden doch (während Malwarebytes lief) 4 Bedrohungen gefunden ( siehe älterer Beitrag). War das nur eine Fehlermeldung?
2. Es befinden sich ja noch mehrere Objekte in der Q ( von Malewarebyte). Was soll mit denen geschehen?
3. Sollten jetzt eigentlich die Internetprobleme verschwunden sein bzw. was genau war da eingetlich in meinem System?:crazy:

cosinus 26.02.2012 22:14
Zitat:
1. Naja, gestern wurden doch (während Malwarebytes lief) 4 Bedrohungen gefunden ( siehe älterer Beitrag). War das nur eine Fehlermeldung?
Ich weiß nicht von welchem Log oder welchen angeblichen vier Bedrohungen du sprichst, im letzten MBAM-Log sieht man nichts

Zitat:
2. Es befinden sich ja noch mehrere Objekte in der Q ( von Malewarebyte). Was soll mit denen geschehen?
Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Zitat:
3. Sollten jetzt eigentlich die Internetprobleme verschwunden
Wieso fragst du mciht das? Du sitzt vor deinem Rechner und nicht ich!

AC9 26.02.2012 22:20
Zitat:
Während aswMBR den Scan gemacht hat, ist ne Meldung von Antivir reingekommen, und zwar wurde 3* "TR/Crypt.EPACK.Gen2" und 1* "TR/Crypt.XPACK.Gen" gefunden.
das habe ich gemeint; war heute gegen 02:30

cosinus 26.02.2012 22:38
Und wo sind die Logs dazu? Ohne die kann ich ncihts sagen

AC9 26.02.2012 22:48
Naja, einen log gibt es nicht irklichh, das war lediglich eine Zwischenmeldung von Antivir:
Code:
'C:\Users\Christian\AppData\Local\temp\_avast4_\unp167727855.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
C:\Users\Christian\AppData\Local\temp\_avast4_\unp30365681.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
In der Datei 'C:\Users\Christian\AppData\Local\temp\_avast4_\unp268164006.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
In der Datei 'C:\Users\Christian\AppData\Local\temp\_avast4_\unp170932476.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner

AC9 26.02.2012 22:50
Ach ok, antivir hat wegen avast, der während der zeit lief, gemeckert:kloppen:, oder???

cosinus 27.02.2012 09:34
Ja das sind Fehlalarme, sieht man ja am Pfad => _avast4_

AC9 27.02.2012 14:06
Zu den internetproblemen: welche Möglichkeit gibts es no h, diese zu beseitigen? Neuer Browser ist drauf, Neues java update auch und das W Lan Modem wurde auch geupdated

cosinus 27.02.2012 15:03
Du meinst mit "Internetproblem" wohl eher ein WLAN-Verbindungsproblem.
Kannst du das mal genauer beschreiben? Die Infos sind doch ein wenig dünn. Ich weiß weder welche Hardware/Router noch welche Verschlüsselungsmethode da bei dir benutzt wird. Und vllt auch mal testen ob per Kabel alles stabil ist.

AC9 27.02.2012 20:24
naja, es ist eine Fritzbox 7170, per Kabel is alles stabil, da diese verbindungsprobleme nur bei hier diesem Lap Top kommen; das heißt konkret, dass die Surfgeschwindigkeit plötzlich sehr niedrig ist, der Seitenaufau nur schleppend voran geht, oder oft einfach nur die meldung " Server nicht gefunden" erscheint.
Sicherheitstyp: WPA2 Personal, Verschlüsselung: AES

cosinus 27.02.2012 21:45
Der Router at die aktuelle Firmware?
Wenn ja und das hilft nicht; bei etwas älteren WLAN-Adaptern bzw. Notebooks kann u.U. eine Änderung von WPA2 auf WPA helfen. Einfach mal testen. WPA2 ist zwar sicherer, aber was hilft das wenn die Funkverbindung damit instabil ist...

AC9 27.02.2012 22:04
Firmware wurde aktualisiert, mal gucken was sich ergibt...aber bevor ich ein fettes Danke an dich schicke:party:: was genau wurde da genau gemacht, mit dem Combofix, OTl Fix, bzw. der MBR???

cosinus 27.02.2012 22:23
Wie jetzt, soll ich alles nochmal zusammenfassen was wir gemacht haben? :wtf:

Was ist jetzt mit deinem Rechner, soweit wieder alles ok oder sind noch Probleme offen? Abgesehen vom instabilen WLAN, das du jetzt bebachtest?

AC9 27.02.2012 23:01
Scheint mit dem Rechner alles wieder zu funktionieren, auch das w-Lan....
Nein, du sollst nicht alles wieder zusammenfassen was wir gemacht haben:balla:
Was meine Frage ist: du hast gesagt, die trojaner in der Q sind sicher, d.h. mein System ist dann eigentlich auch sicher, weil wir ja sonst nichts mehr gefunden haben....wurden die ganze zeit also die Schäden, welche die Trpjaner angerichtet haben oder wie?

cosinus 28.02.2012 10:01
Zitat:
..wurden die ganze zeit also die Schäden, welche die Trpjaner angerichtet haben oder wie?
Ich versteh die Frage nicht ganz...
Falls du das wissen willst: wir haben die Schädlinge entfernt und die Logs sind jetzt unauffällig


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131