Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Funde nach Neuinstallation von Win 7? (https://www.trojaner-board.de/122641-funde-neuinstallation-win-7-a.html)

Odin90 22.08.2012 23:12
Funde nach Neuinstallation von Win 7?
 
Guten Abend,

zu später Stunde habe ich, nachdem ich mein System mit Hilfe einer Recovery-Cd komplett neu aufgesetzt habe, einen Scan durch Antivir und Anti-Malware-Bytes durchgeführt. Leider gab es zu meiner Verwunderung einige Fehlermeldungen. Ich wäre sehr dankbar, wenn jemand von euch die Logfiles durchsehen könnte, ob etwas ernsthaftes dabei ist oder ob es sich eher um harmlose Sachen handelt.
Vielen Dank und Gute Nacht:)



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 22. August 2012 21:12

Es wird nach 4152127 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : Jan
Computername : Jan-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 18.07.2012 16:04:24
AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38
LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24
AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:37:35
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:04:37
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 16:04:37
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 16:04:37
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 16:04:37
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 16:04:37
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 16:04:37
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 16:04:37
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 16:04:37
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 16:04:37
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 19:11:51
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 19:11:52
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 19:11:52
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 19:11:52
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 19:11:52
VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 19:11:53
VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 19:11:53
VBASE021.VDF : 7.11.39.207 165888 Bytes 14.08.2012 19:11:53
VBASE022.VDF : 7.11.40.9 156160 Bytes 16.08.2012 19:11:53
VBASE023.VDF : 7.11.40.49 133120 Bytes 17.08.2012 19:11:53
VBASE024.VDF : 7.11.40.95 156160 Bytes 20.08.2012 19:11:54
VBASE025.VDF : 7.11.40.155 181760 Bytes 22.08.2012 19:11:54
VBASE026.VDF : 7.11.40.156 2048 Bytes 22.08.2012 19:11:54
VBASE027.VDF : 7.11.40.157 2048 Bytes 22.08.2012 19:11:54
VBASE028.VDF : 7.11.40.158 2048 Bytes 22.08.2012 19:11:54
VBASE029.VDF : 7.11.40.159 2048 Bytes 22.08.2012 19:11:54
VBASE030.VDF : 7.11.40.160 2048 Bytes 22.08.2012 19:11:54
VBASE031.VDF : 7.11.40.176 99840 Bytes 22.08.2012 19:11:54
Engineversion : 8.2.10.132
AEVDF.DLL : 8.1.2.10 102772 Bytes 22.08.2012 19:11:57
AESCRIPT.DLL : 8.1.4.42 459129 Bytes 22.08.2012 19:11:57
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.3.0.24 811381 Bytes 22.08.2012 19:11:56
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 22.08.2012 19:11:56
AEHEUR.DLL : 8.1.4.86 5165429 Bytes 22.08.2012 19:11:56
AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 16:04:17
AEGEN.DLL : 8.1.5.34 434548 Bytes 22.08.2012 19:11:55
AEEXP.DLL : 8.1.0.74 86387 Bytes 22.08.2012 19:11:58
AEEMU.DLL : 8.1.3.2 393587 Bytes 22.08.2012 19:11:55
AECORE.DLL : 8.1.27.4 201078 Bytes 22.08.2012 19:11:55
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25
AVPREF.DLL : 12.3.0.15 51920 Bytes 18.07.2012 16:04:23
AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23
AVARKT.DLL : 12.3.0.15 211408 Bytes 18.07.2012 16:04:21
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22
SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34
AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24
NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41
RCTEXT.DLL : 12.3.0.31 100088 Bytes 18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 22. August 2012 21:12

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '58' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '954' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
C:\Users\Jan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CEFP02G0\avira_free_antivirus_de_12001167[1].exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Jan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\V3YXUE5X\avira_free_antivirus_de_12001167[1].exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Windows.old\Users\Jan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\73dc140d-1ea4f3a6
[0] Archivtyp: ZIP
--> U_Oa/U_Od.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DE
--> U_Oa/U_Oa.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DF
--> U_Oa/U_Oc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.S
--> U_Oa/U_Ob.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DG
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Comedy\Switch\switch201[1].part1.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Comedy\Switch\swr202-proper.part1.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Dokus\6.Orgien.und.Intrigen.part1.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Dokus\Germanica.-.1v6.-.Germanen.und.Wikinger.DVDRiP.DivX.GERMAN.DOKU-DAtK.part1.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Dokus\Wir.Deutschen.E02.Karl.der.Grosse.German.DOKU.FS.DVDRiP.XviD-HiSTORY_mov-world.net.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Dokus\Wir_Europaeer_-_17._Jahrhundert_Europa_erringt_den_Frieden.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Dokus\Wir_europaeer_-_18._Jahrhundert_Europa_erkaempft_die_Freiheit.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Live Konzerte & Musikvideos\krisiun_-_live_armageddon.by_dresito.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Windows.old\Users\Jan\Desktop\Meine Dateien\Sprachen\SetupVirtualCloneDrive5.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Windows.old\Users\Jan\Downloads\SpywareTerminator30074Setup.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Beginne mit der Suche in 'D:\' <Recover>
D:\Tools\Corel Draw Essentials 4\AutoPlay\autorun.cdd
[WARNUNG] Die Datei ist kennwortgeschützt
D:\Tools\Sun Java 6\jre-6u20-windows-x64.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Desinfektion:
C:\Windows.old\Users\Jan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\73dc140d-1ea4f3a6
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '541dfb1f.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 23. August 2012 00:08
Benötigte Zeit: 2:54:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

64154 Verzeichnisse wurden überprüft
594843 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
594839 Dateien ohne Befall
6624 Archive wurden durchsucht
14 Warnungen
1 Hinweise
376488 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Und hier nochmal der (fast) vollständige Scan von Malwarebytes. Bin nun zu müde. Lasse ihn morgen nochmal durchlaufen.

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.22.06

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Jan :: Jan-PC [Administrator]

22.08.2012 21:13:24
mbam-log-2012-08-23 (00-45-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 293111
Laufzeit: 3 Stunde(n), 31 Minute(n), 56 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows.old\Users\Jan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\24TLZYHS\load[1].exe (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Windows.old\Users\Jan\AppData\Local\Temp\9261417679.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

t'john 23.08.2012 00:17
:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Odin90 23.08.2012 18:31
Und nochmal von OTL:OTL Logfile:
Code:
OTL logfile created on: 23.08.2012 12:54:30 - Run 1
OTL by OldTimer - Version 3.2.58.1    Folder = C:\Users\Jan\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,06 Gb Available Physical Memory | 68,69% Memory free
6,00 Gb Paging File | 5,03 Gb Available in Paging File | 83,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 890,41 Gb Total Space | 735,36 Gb Free Space | 82,59% Space Free | Partition Type: NTFS
Drive D: | 40,00 Gb Total Space | 23,52 Gb Free Space | 58,80% Space Free | Partition Type: NTFS
Drive E: | 3,31 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive I: | 4,13 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 957,59 Mb Total Space | 730,58 Mb Free Space | 76,29% Space Free | Partition Type: FAT
 
Computer Name: JAN-PC | User Name: Jan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Jan\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - \\?\C:\Windows\System32\wbem\WMIADAP.EXE ()
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
 
 
 
 
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 9C B1 23 75 99 80 CD 01  [binary data]
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.22 21:10:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
 
[2012.08.22 21:10:51 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jan\AppData\Roaming\mozilla\Extensions
[2012.08.22 21:10:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.07.14 02:15:45 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.07.14 02:45:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.07.14 02:45:08 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.14 02:45:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.14 02:45:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.14 02:45:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0BB3B466-F5F2-4F44-93BC-F94F8FA4DD9A}: DhcpNameServer = 192.168.178.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.07.14 11:26:40 | 000,000,043 | R--- | M] () - E:\AUTORUN.INF -- [ UDF ]
O32 - AutoRun File - [2006.07.16 19:03:18 | 000,000,206 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O32 - Unable to obtain root file information for disk J:\
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\LaunchU3.exe -- [2006.05.23 17:05:34 | 000,950,272 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.23 12:52:48 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.08.23 06:39:17 | 000,000,000 | ---D | C] -- C:\Windows\Panther
[2012.08.23 06:17:25 | 000,000,000 | ---D | C] -- C:\Windows.old
[2012.08.23 00:39:41 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Microsoft Games
[2012.08.22 23:26:11 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Adobe
[2012.08.22 23:26:11 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Adobe
[2012.08.22 23:24:54 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe
[2012.08.22 23:24:54 | 000,000,000 | ---D | C] -- C:\Program Files\Adobe
[2012.08.22 23:24:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Adobe
[2012.08.22 22:52:41 | 000,000,000 | -H-D | C] -- C:\ProgramData\CanonBJ
[2012.08.22 22:52:06 | 000,197,632 | ---- | C] (CANON INC.) -- C:\Windows\System32\CNMLM86.DLL
[2012.08.22 21:18:59 | 000,826,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcore.dll
[2012.08.22 21:17:28 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Diagnostics
[2012.08.22 21:12:36 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Avira
[2012.08.22 21:12:21 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Malwarebytes
[2012.08.22 21:12:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.22 21:12:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.22 21:12:11 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.08.22 21:12:11 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.08.22 21:11:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.08.22 21:11:06 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2012.08.22 21:11:06 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.08.22 21:11:06 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.08.22 21:11:06 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012.08.22 21:11:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.08.22 21:11:06 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012.08.22 21:10:46 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Mozilla
[2012.08.22 21:10:46 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Mozilla
[2012.08.22 21:10:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Mozilla
[2012.08.22 21:10:37 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Maintenance Service
[2012.08.22 21:10:35 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2012.08.22 21:10:18 | 000,000,000 | -HSD | C] -- C:\Windows\Installer
[2012.08.22 21:08:24 | 002,422,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wucltux.dll
[2012.08.22 21:08:24 | 000,045,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups2.dll
[2012.08.22 21:07:31 | 000,577,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapi.dll
[2012.08.22 21:07:31 | 000,088,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wudriver.dll
[2012.08.22 21:07:31 | 000,035,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups.dll
[2012.08.22 21:07:16 | 000,171,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuwebv.dll
[2012.08.22 21:07:16 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapp.exe
[2012.08.22 21:06:37 | 000,000,000 | R--D | C] -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2012.08.22 21:06:37 | 000,000,000 | R--D | C] -- C:\Users\Jan\Searches
[2012.08.22 21:06:37 | 000,000,000 | R--D | C] -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2012.08.22 21:06:21 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Identities
[2012.08.22 21:06:18 | 000,000,000 | R--D | C] -- C:\Users\Jan\Contacts
[2012.08.22 21:06:06 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\VirtualStore
[2012.08.22 21:06:02 | 000,000,000 | --SD | C] -- C:\Users\Jan\AppData\Roaming\Microsoft
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Videos
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Saved Games
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Pictures
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Music
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Links
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Favorites
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Downloads
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Documents
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\Desktop
[2012.08.22 21:06:02 | 000,000,000 | R--D | C] -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Vorlagen
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\AppData\Local\Verlauf
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\AppData\Local\Temporary Internet Files
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Startmenü
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\SendTo
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Recent
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Netzwerkumgebung
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Lokale Einstellungen
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Documents\Eigene Videos
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Documents\Eigene Musik
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Eigene Dateien
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Documents\Eigene Bilder
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Druckumgebung
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Cookies
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\AppData\Local\Anwendungsdaten
[2012.08.22 21:06:02 | 000,000,000 | -HSD | C] -- C:\Users\Jan\Anwendungsdaten
[2012.08.22 21:06:02 | 000,000,000 | -H-D | C] -- C:\Users\Jan\AppData
[2012.08.22 21:06:02 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Temp
[2012.08.22 21:06:02 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Local\Microsoft
[2012.08.22 21:06:02 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Media Center Programs
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Programme
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2012.08.22 21:05:39 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2012.08.22 20:47:46 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2012.08.22 20:40:49 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.23 12:57:28 | 000,684,756 | ---- | M] () -- C:\Windows\System32\perfh00C.dat
[2012.08.23 12:57:28 | 000,683,802 | ---- | M] () -- C:\Windows\System32\perfh00A.dat
[2012.08.23 12:57:28 | 000,681,158 | ---- | M] () -- C:\Windows\System32\perfh013.dat
[2012.08.23 12:57:28 | 000,679,812 | ---- | M] () -- C:\Windows\System32\perfh010.dat
[2012.08.23 12:57:28 | 000,679,444 | ---- | M] () -- C:\Windows\System32\perfh015.dat
[2012.08.23 12:57:28 | 000,669,886 | ---- | M] () -- C:\Windows\System32\prfh0816.dat
[2012.08.23 12:57:28 | 000,643,628 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.08.23 12:57:28 | 000,623,022 | ---- | M] () -- C:\Windows\System32\perfh00E.dat
[2012.08.23 12:57:28 | 000,606,992 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.08.23 12:57:28 | 000,601,560 | ---- | M] () -- C:\Windows\System32\perfh01F.dat
[2012.08.23 12:57:28 | 000,540,954 | ---- | M] () -- C:\Windows\System32\perfh008.dat
[2012.08.23 12:57:28 | 000,452,926 | ---- | M] () -- C:\Windows\System32\perfh006.dat
[2012.08.23 12:57:28 | 000,144,084 | ---- | M] () -- C:\Windows\System32\perfc00E.dat
[2012.08.23 12:57:28 | 000,133,506 | ---- | M] () -- C:\Windows\System32\perfc00A.dat
[2012.08.23 12:57:28 | 000,131,034 | ---- | M] () -- C:\Windows\System32\perfc015.dat
[2012.08.23 12:57:28 | 000,130,388 | ---- | M] () -- C:\Windows\System32\prfc0816.dat
[2012.08.23 12:57:28 | 000,129,410 | ---- | M] () -- C:\Windows\System32\perfc013.dat
[2012.08.23 12:57:28 | 000,126,872 | ---- | M] () -- C:\Windows\System32\perfc00C.dat
[2012.08.23 12:57:28 | 000,126,188 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.08.23 12:57:28 | 000,123,808 | ---- | M] () -- C:\Windows\System32\perfc010.dat
[2012.08.23 12:57:28 | 000,118,002 | ---- | M] () -- C:\Windows\System32\perfc01F.dat
[2012.08.23 12:57:28 | 000,103,370 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.08.23 12:57:28 | 000,085,722 | ---- | M] () -- C:\Windows\System32\perfc008.dat
[2012.08.23 12:57:28 | 000,076,422 | ---- | M] () -- C:\Windows\System32\perfc006.dat
[2012.08.23 12:57:09 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.23 12:57:09 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.23 12:52:48 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.08.23 12:49:34 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.23 12:49:17 | 2415,321,088 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.22 23:25:13 | 000,001,993 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2012.08.22 21:12:12 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.22 21:11:18 | 000,002,016 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.08.22 21:10:42 | 000,001,092 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2012.08.22 21:02:07 | 000,265,640 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.08.22 20:52:00 | 000,052,953 | ---- | M] () -- C:\Windows\System32\license.rtf
[2012.08.22 20:50:00 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_09_00.Wdf
 
========== Files Created - No Company Name ==========
 
[2012.08.22 23:25:13 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
[2012.08.22 23:25:13 | 000,001,993 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2012.08.22 21:12:12 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.22 21:11:18 | 000,002,016 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2012.08.22 21:10:42 | 000,001,104 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
[2012.08.22 21:10:42 | 000,001,092 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2012.08.22 21:06:40 | 000,001,413 | ---- | C] () -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2012.08.22 20:51:39 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
[2012.08.22 20:51:29 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
[2012.08.22 20:50:00 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_09_00.Wdf

< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 23.08.2012 12:54:30 - Run 1
OTL by OldTimer - Version 3.2.58.1    Folder = C:\Users\Jan\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,06 Gb Available Physical Memory | 68,69% Memory free
6,00 Gb Paging File | 5,03 Gb Available in Paging File | 83,89% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 890,41 Gb Total Space | 735,36 Gb Free Space | 82,59% Space Free | Partition Type: NTFS
Drive D: | 40,00 Gb Total Space | 23,52 Gb Free Space | 58,80% Space Free | Partition Type: NTFS
Drive E: | 3,31 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive I: | 4,13 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 957,59 Mb Total Space | 730,58 Mb Free Space | 76,29% Space Free | Partition Type: FAT
 
Computer Name: JAN-PC | User Name: Jan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-679209227-3308173273-301873662-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Avira AntiVir Desktop" = Avira Free Antivirus
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
 
========== Last 20 Event Log Errors ==========
 
[ System Events ]
Error - 22.08.2012 14:46:18 | Computer Name = 37L4247D28-05 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Defender" wurde mit folgendem Fehler beendet:
  %%-2147023173
 
Error - 22.08.2012 14:48:23 | Computer Name = 37L4247D28-05 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Windows Update" wurde nicht richtig gestartet.
 
Error - 22.08.2012 18:47:38 | Computer Name = Jan-PC | Source = DCOM | ID = 10010
Description =
 
 
< End of report >
--- --- ---

besten Dank schonmal:)

t'john 23.08.2012 19:28
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-679209227-3308173273-301873662-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - user.js - File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009.07.14 11:26:40 | 000,000,043 | R--- | M] () - E:\AUTORUN.INF -- [ UDF ]
O32 - AutoRun File - [2006.07.16 19:03:18 | 000,000,206 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\I\Shell - "" = AutoRun
O33 - MountPoints2\I\Shell\AutoRun\command - "" = I:\LaunchU3.exe -- [2006.05.23 17:05:34 | 000,950,272 | R--- | M] ()

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

t'john 07.10.2012 00:22
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19