Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/PSW.ZBOT & JAVA/Classy.A und C (https://www.trojaner-board.de/129673-tr-psw-zbot-java-classy-a-c.html)

Nusspli 16.01.2013 21:47
TR/PSW.ZBOT & JAVA/Classy.A und C
 
Hallo zusammen...

ich glaub ich hab mir da was böses eingefangen und bräuchte eure Hilfe, den Rechner wieder halbwegs sicher zu bekommen.

Ausschlaggebend war heute Post von meiner Bank, mein Onlinebanking Acc wäre aus Sicherheitsgründen (meine Daten wurden im Netz gefunden) gesperrt und ich solle meinen Rechner prüfen. Das tat ich auch.... folgendes kam dabei raus:

Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 16. Januar 2013  17:49

Es wird nach 4674496 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : VIDEOSCHNITT

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 20:37:08
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  08.05.2012 08:17:29
LUKE.DLL      : 12.3.0.15      68304 Bytes  08.05.2012 08:17:29
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 08:50:19
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 08:50:55
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 16:23:38
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 04:57:25
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 21:07:15
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 16:25:46
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 04:10:39
VBASE007.VDF  : 7.11.50.230  3904512 Bytes  22.11.2012 17:51:14
VBASE008.VDF  : 7.11.55.142  2214912 Bytes  03.01.2013 17:45:59
VBASE009.VDF  : 7.11.55.143    2048 Bytes  03.01.2013 17:46:00
VBASE010.VDF  : 7.11.55.144    2048 Bytes  03.01.2013 17:46:00
VBASE011.VDF  : 7.11.55.145    2048 Bytes  03.01.2013 17:46:00
VBASE012.VDF  : 7.11.55.146    2048 Bytes  03.01.2013 17:46:00
VBASE013.VDF  : 7.11.55.196  260096 Bytes  04.01.2013 17:46:03
VBASE014.VDF  : 7.11.56.23    206848 Bytes  07.01.2013 16:10:57
VBASE015.VDF  : 7.11.56.83    186880 Bytes  08.01.2013 19:51:56
VBASE016.VDF  : 7.11.56.145  135168 Bytes  09.01.2013 17:47:13
VBASE017.VDF  : 7.11.56.211  139776 Bytes  11.01.2013 16:02:37
VBASE018.VDF  : 7.11.57.11    153088 Bytes  13.01.2013 16:02:41
VBASE019.VDF  : 7.11.57.75    165888 Bytes  15.01.2013 16:02:41
VBASE020.VDF  : 7.11.57.76      2048 Bytes  15.01.2013 16:02:41
VBASE021.VDF  : 7.11.57.77      2048 Bytes  15.01.2013 16:02:41
VBASE022.VDF  : 7.11.57.78      2048 Bytes  15.01.2013 16:02:41
VBASE023.VDF  : 7.11.57.79      2048 Bytes  15.01.2013 16:02:41
VBASE024.VDF  : 7.11.57.80      2048 Bytes  15.01.2013 16:02:41
VBASE025.VDF  : 7.11.57.81      2048 Bytes  15.01.2013 16:02:41
VBASE026.VDF  : 7.11.57.82      2048 Bytes  15.01.2013 16:02:41
VBASE027.VDF  : 7.11.57.83      2048 Bytes  15.01.2013 16:02:41
VBASE028.VDF  : 7.11.57.84      2048 Bytes  15.01.2013 16:02:41
VBASE029.VDF  : 7.11.57.85      2048 Bytes  15.01.2013 16:02:41
VBASE030.VDF  : 7.11.57.86      2048 Bytes  15.01.2013 16:02:41
VBASE031.VDF  : 7.11.57.130  104960 Bytes  16.01.2013 16:48:01
Engineversion  : 8.2.10.230
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 18:46:42
AESCRIPT.DLL  : 8.1.4.80      467322 Bytes  10.01.2013 17:47:19
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 15:20:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 17:06:03
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:47:19
AEPACK.DLL    : 8.3.1.2      819574 Bytes  20.12.2012 14:33:38
AEOFFICE.DLL  : 8.1.2.50      201084 Bytes  05.11.2012 19:52:09
AEHEUR.DLL    : 8.1.4.174    5615991 Bytes  10.01.2013 17:47:18
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 17:43:19
AEGEN.DLL      : 8.1.6.14      434548 Bytes  10.01.2013 17:47:14
AEEXP.DLL      : 8.3.0.8      188788 Bytes  12.01.2013 16:02:39
AEEMU.DLL      : 8.1.3.2      393587 Bytes  10.07.2012 18:46:41
AECORE.DLL    : 8.1.30.0      201079 Bytes  13.12.2012 15:20:29
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 19:52:05
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 08:17:28
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 20:37:08
AVREP.DLL      : 12.3.0.15    179208 Bytes  09.05.2012 08:50:19
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 20:37:07
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  08.05.2012 08:17:29
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  08.05.2012 08:17:29
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 19:39:55
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 08:17:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 19:39:53
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 20:37:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 16. Januar 2013  17:49

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdAware.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBAMSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdAwareService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'adawarebp.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1505' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\169b2c1e-6602ee41
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6866
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\169b2c1e-7b5ac62a
  [0] Archivtyp: ZIP
  --> n2n2n2n2a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0422
  --> hw.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Classy.A
  --> test.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Classy.C

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\169b2c1e-7b5ac62a
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Classy.C
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53f24c80.qua' verschoben!
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\169b2c1e-6602ee41
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6866
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b656327.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 16. Januar 2013  18:48
Benötigte Zeit: 52:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  8901 Verzeichnisse wurden überprüft
 657946 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 657942 Dateien ohne Befall
  4701 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 373828 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Danach habe ich sowohl im Java Ordner den kompletten Cache gelöscht, als auch die Quarantänedateien. Nach einem Neustart fand Avira nichts mehr und ich habe einige Scans drüber laufen lassen. Logs anbei:

Avira:
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 16. Januar 2013  18:52

Es wird nach 4674496 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : VIDEOSCHNITT

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 20:37:08
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  08.05.2012 08:17:29
LUKE.DLL      : 12.3.0.15      68304 Bytes  08.05.2012 08:17:29
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 08:50:19
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 08:50:55
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 16:23:38
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 04:57:25
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 21:07:15
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 16:25:46
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 04:10:39
VBASE007.VDF  : 7.11.50.230  3904512 Bytes  22.11.2012 17:51:14
VBASE008.VDF  : 7.11.55.142  2214912 Bytes  03.01.2013 17:45:59
VBASE009.VDF  : 7.11.55.143    2048 Bytes  03.01.2013 17:46:00
VBASE010.VDF  : 7.11.55.144    2048 Bytes  03.01.2013 17:46:00
VBASE011.VDF  : 7.11.55.145    2048 Bytes  03.01.2013 17:46:00
VBASE012.VDF  : 7.11.55.146    2048 Bytes  03.01.2013 17:46:00
VBASE013.VDF  : 7.11.55.196  260096 Bytes  04.01.2013 17:46:03
VBASE014.VDF  : 7.11.56.23    206848 Bytes  07.01.2013 16:10:57
VBASE015.VDF  : 7.11.56.83    186880 Bytes  08.01.2013 19:51:56
VBASE016.VDF  : 7.11.56.145  135168 Bytes  09.01.2013 17:47:13
VBASE017.VDF  : 7.11.56.211  139776 Bytes  11.01.2013 16:02:37
VBASE018.VDF  : 7.11.57.11    153088 Bytes  13.01.2013 16:02:41
VBASE019.VDF  : 7.11.57.75    165888 Bytes  15.01.2013 16:02:41
VBASE020.VDF  : 7.11.57.76      2048 Bytes  15.01.2013 16:02:41
VBASE021.VDF  : 7.11.57.77      2048 Bytes  15.01.2013 16:02:41
VBASE022.VDF  : 7.11.57.78      2048 Bytes  15.01.2013 16:02:41
VBASE023.VDF  : 7.11.57.79      2048 Bytes  15.01.2013 16:02:41
VBASE024.VDF  : 7.11.57.80      2048 Bytes  15.01.2013 16:02:41
VBASE025.VDF  : 7.11.57.81      2048 Bytes  15.01.2013 16:02:41
VBASE026.VDF  : 7.11.57.82      2048 Bytes  15.01.2013 16:02:41
VBASE027.VDF  : 7.11.57.83      2048 Bytes  15.01.2013 16:02:41
VBASE028.VDF  : 7.11.57.84      2048 Bytes  15.01.2013 16:02:41
VBASE029.VDF  : 7.11.57.85      2048 Bytes  15.01.2013 16:02:41
VBASE030.VDF  : 7.11.57.86      2048 Bytes  15.01.2013 16:02:41
VBASE031.VDF  : 7.11.57.130  104960 Bytes  16.01.2013 16:48:01
Engineversion  : 8.2.10.230
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 18:46:42
AESCRIPT.DLL  : 8.1.4.80      467322 Bytes  10.01.2013 17:47:19
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 15:20:31
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 17:06:03
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:47:19
AEPACK.DLL    : 8.3.1.2      819574 Bytes  20.12.2012 14:33:38
AEOFFICE.DLL  : 8.1.2.50      201084 Bytes  05.11.2012 19:52:09
AEHEUR.DLL    : 8.1.4.174    5615991 Bytes  10.01.2013 17:47:18
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 17:43:19
AEGEN.DLL      : 8.1.6.14      434548 Bytes  10.01.2013 17:47:14
AEEXP.DLL      : 8.3.0.8      188788 Bytes  12.01.2013 16:02:39
AEEMU.DLL      : 8.1.3.2      393587 Bytes  10.07.2012 18:46:41
AECORE.DLL    : 8.1.30.0      201079 Bytes  13.12.2012 15:20:29
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 19:52:05
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 08:17:28
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 20:37:08
AVREP.DLL      : 12.3.0.15    179208 Bytes  09.05.2012 08:50:19
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 20:37:07
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  08.05.2012 08:17:29
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  08.05.2012 08:17:29
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 19:39:55
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 08:17:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 19:39:53
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 20:37:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 16. Januar 2013  18:52

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdAware.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBAMSvc.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdAwareService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'adawarebp.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1505' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'


Ende des Suchlaufs: Mittwoch, 16. Januar 2013  20:18
Benötigte Zeit:  1:25:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  8769 Verzeichnisse wurden überprüft
 650130 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 650130 Dateien ohne Befall
  4669 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 372989 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
MBAM:
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.16.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Chris :: VIDEOSCHNITT [Administrator]

16.01.2013 19:06:24
mbam-log-2013-01-16 (19-06-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 286966
Laufzeit: 1 Stunde(n), 16 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
OTL:
OTL Logfile:
Code:
OTL logfile created on: 16.01.2013 20:39:53 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,43 Gb Available Physical Memory | 71,54% Memory free
3,85 Gb Paging File | 3,34 Gb Available in Paging File | 86,78% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 74,44 Gb Free Space | 49,95% Space Free | Partition Type: NTFS
Drive E: | 998,02 Mb Total Space | 121,94 Mb Free Space | 12,22% Space Free | Partition Type: FAT32
 
Computer Name: VIDEOSCHNITT | User Name: Chris | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.16 20:03:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads\OTL.exe
PRC - [2012.12.14 20:38:46 | 001,236,968 | ---- | M] (Lavasoft Limited) -- C:\Programme\Ad-Aware Antivirus\AdAwareService.exe
PRC - [2012.12.14 20:38:42 | 018,880,984 | ---- | M] (Lavasoft Limited) -- C:\Programme\Ad-Aware Antivirus\AdAware.exe
PRC - [2012.12.12 00:20:50 | 000,542,104 | ---- | M] (Lavasoft) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe
PRC - [2012.09.23 15:28:00 | 001,258,856 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2012.09.20 05:39:12 | 003,677,000 | ---- | M] (GFI Software) -- C:\Programme\Ad-Aware Antivirus\SBAMSvc.exe
PRC - [2012.08.08 20:39:54 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.08 09:17:29 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.08 09:17:29 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 09:17:29 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.09.27 10:09:44 | 000,220,744 | ---- | M] (Geek Software GmbH) -- C:\Programme\PDF24\pdf24.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.14 11:15:04 | 000,147,456 | ---- | M] () -- C:\Programme\Razer\Diamondback\razerhid.exe
PRC - [2007.02.14 11:11:18 | 000,163,840 | ---- | M] (Razer Inc.) -- C:\Programme\Razer\Diamondback\razerofa.exe
PRC - [2007.02.07 16:00:02 | 000,131,072 | ---- | M] () -- C:\Programme\Razer\Diamondback\razertra.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.25 15:07:36 | 000,165,768 | ---- | M] () -- C:\Programme\Ad-Aware Antivirus\Definitions\libMachoUniv.dll
MOD - [2012.09.25 15:07:34 | 000,190,344 | ---- | M] () -- C:\Programme\Ad-Aware Antivirus\Definitions\libBase64.dll
MOD - [2012.09.23 15:28:00 | 000,357,184 | ---- | M] () -- C:\Programme\NVIDIA Corporation\nview\nvShell.dll
MOD - [2012.07.27 21:51:38 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2012.05.08 09:17:29 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2012.02.17 19:55:35 | 000,166,912 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2011.03.16 23:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
MOD - [2007.02.14 11:15:04 | 000,147,456 | ---- | M] () -- C:\Programme\Razer\Diamondback\razerhid.exe
MOD - [2007.02.07 16:00:02 | 000,131,072 | ---- | M] () -- C:\Programme\Razer\Diamondback\razertra.exe
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.01.10 18:45:33 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.01.05 04:44:06 | 000,115,760 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.12.14 20:38:46 | 001,236,968 | ---- | M] (Lavasoft Limited) [Auto | Running] -- C:\Programme\Ad-Aware Antivirus\AdAwareService.exe -- (Ad-Aware Service)
SRV - [2012.09.23 15:28:00 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012.09.20 05:39:12 | 003,677,000 | ---- | M] (GFI Software) [Auto | Running] -- C:\Programme\Ad-Aware Antivirus\SBAMSvc.exe -- (SBAMSvc)
SRV - [2012.07.13 14:14:14 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.07.05 21:07:00 | 000,161,704 | ---- | M] (Oracle Corporation) [Auto | Stopped] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.05.08 09:17:29 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.08 09:17:29 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.08.23 21:34:24 | 004,729,616 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\system32\GameMon.des -- (npggsvc)
SRV - [2010.12.27 22:50:30 | 031,124,344 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2010.01.09 20:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [File_System | Auto | Stopped] --  -- (StarOpen)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.01.12 13:54:02 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\gfibto.sys -- (gfibto)
DRV - [2012.05.08 09:17:29 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 09:17:29 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.08.16 11:46:02 | 006,427,240 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.11.18 00:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 00:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007.06.28 05:46:42 | 000,020,480 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007.06.28 05:46:40 | 000,045,824 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.04.24 22:43:58 | 000,013,225 | ---- | M] (Razer (Asia-Pacific) Pte Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Razerlow.sys -- (Razerlow)
DRV - [1997.09.12 02:03:46 | 000,006,816 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\MAPMEM.SYS -- (MapMem)
DRV - [1997.09.12 02:03:46 | 000,006,336 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\NTREMAP.SYS -- (NTRemap)
DRV - [1997.09.12 02:03:46 | 000,004,832 | ---- | M] (3Dfx Interactive, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\genport.sys -- (GenPort)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://icanhascheezburger.com/
IE - HKCU\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://icanhas.cheezburger.com/"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.11.2: C:\Programme\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.04.14 20:10:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.01.12 13:53:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.05.07 10:22:32 | 000,000,000 | ---D | M]
 
[2013.01.11 18:13:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Extensions
[2013.01.12 13:53:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\extensions
[2013.01.12 13:53:39 | 000,000,000 | ---D | M] (Lavasoft Search Plugin) -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
[2013.01.11 18:13:04 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.01.05 04:44:54 | 000,262,704 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.07.11 22:48:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2013.01.05 16:11:17 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.01.05 16:11:17 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2013.01.05 16:11:17 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2013.01.05 16:11:17 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.01.05 16:11:17 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.01.05 16:11:17 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://icanhascheesburger.com/
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR - homepage: hxxp://icanhascheesburger.com/
CHR - plugin: Shockwave Flash (Disabled) = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\23.0.1271.64\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\23.0.1271.64\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\23.0.1271.64\pdf.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.115\npGoogleUpdate3.dll
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL
CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Programme\DivX\DivX OVS Helper\npovshelper.dll
CHR - plugin: DivX Plus Web Player (Enabled) = C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll
CHR - plugin: Java(TM) Platform SE 7 U5 (Enabled) = C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll
CHR - plugin: Java Deployment Toolkit 7.0.50.255 (Enabled) = C:\WINDOWS\system32\npDeployJava1.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Programme\Microsoft Silverlight\5.0.61118.0\npctrl.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: DVDVideoSoft Browser Extension = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.1.1_0\
CHR - Extension: Better Pop Up Blocker = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nmpeeekfhbmikbdhlpjbfmnpgcbeggic\2.1.6_0\
CHR - Extension: Mehr Leistung und Videoformate f\u00FCr dein HTML5 \u003Cvideo\u003E = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Ad-Aware Antivirus] C:\Programme\Ad-Aware Antivirus\AdAwareLauncher.exe (Lavasoft Limited)
O4 - HKLM..\Run: [Ad-Aware Browsing Protection] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe (Lavasoft)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BCSSync] C:\Programme\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1358362418359 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D6A09946-4A1E-48FF-A3B5-734F68803379}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\K1300R 2013.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\K1300R 2013.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.07.01 14:12:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAK -- [ NTFS ]
O32 - AutoRun File - [2012.07.01 14:12:10 | 000,000,044 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.16 19:54:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2013.01.16 18:48:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Chris\Recent
[2013.01.16 18:31:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2013.01.14 19:41:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Desktop\motorrad
[2013.01.12 13:58:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\LavasoftStatistics
[2013.01.12 13:55:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Antivirus
[2013.01.12 13:54:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2013.01.12 13:54:42 | 000,000,000 | ---D | C] -- C:\Programme\Ad-Aware Antivirus
[2013.01.12 13:54:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2013.01.12 13:54:02 | 000,044,424 | ---- | C] (GFI Software) -- C:\WINDOWS\System32\sbbd.exe
[2013.01.12 13:54:02 | 000,013,560 | ---- | C] (GFI Software) -- C:\WINDOWS\System32\drivers\gfibto.sys
[2013.01.12 13:53:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars
[2013.01.12 13:53:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\adawarebp
[2013.01.12 13:53:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
[2013.01.12 13:53:40 | 000,000,000 | ---D | C] -- C:\Programme\adawaretb
[2013.01.12 13:53:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\adawaretb
[2013.01.12 13:53:39 | 000,000,000 | ---D | C] -- C:\Programme\Toolbar Cleaner
[2013.01.12 13:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ad-Aware Antivirus
[2013.01.12 13:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Malwarebytes
[2013.01.12 13:21:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.01.12 13:21:22 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.01.12 13:21:22 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.01.11 23:44:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Pipoxi
[2013.01.11 23:44:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ofguec
[2013.01.11 18:13:05 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2013.01.01 13:59:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[2013.01.01 13:59:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
[2013.01.01 13:59:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net
[2012.12.17 21:42:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.12.17 21:41:53 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[2012.12.17 21:41:53 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft
[2012.12.17 21:38:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chris\Desktop\Songs
[2007.08.13 16:46:00 | 000,102,912 | ---- | C] (Albert L Faber) -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\CDRip.dll
[2007.01.18 20:09:54 | 000,623,616 | ---- | C] (Ivan Bischof ©2003 - 2005) -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\No23 Recorder.exe
[2006.12.11 18:13:14 | 000,013,872 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\basscd.dll
[2006.12.11 18:13:12 | 000,097,336 | ---- | C] (Un4seen Developments) -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\bass.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.16 20:45:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.01.16 19:56:53 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.16 18:51:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.14 17:18:41 | 000,012,641 | ---- | M] () -- C:\Dokumente und Einstellungen\Chris\.recently-used.xbel
[2013.01.13 12:00:12 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job
[2013.01.12 13:54:02 | 000,044,424 | ---- | M] (GFI Software) -- C:\WINDOWS\System32\sbbd.exe
[2013.01.12 13:54:02 | 000,013,560 | ---- | M] (GFI Software) -- C:\WINDOWS\System32\drivers\gfibto.sys
[2013.01.11 17:01:24 | 000,427,649 | ---- | M] () -- C:\Dokumente und Einstellungen\Chris\Desktop\Fragen und Antworten zu Sepa 07.2012 neu.pdf
[2013.01.09 21:15:30 | 000,516,414 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.09 21:15:30 | 000,493,298 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.09 21:15:30 | 000,100,804 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.09 21:15:30 | 000,083,946 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.12.29 23:16:42 | 000,146,621 | ---- | M] () -- C:\Dokumente und Einstellungen\Chris\Desktop\Unbenannt.JPG
[2012.12.22 00:12:42 | 000,327,504 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.14 17:18:41 | 000,012,641 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\.recently-used.xbel
[2013.01.12 13:59:11 | 000,001,080 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job
[2013.01.11 17:01:20 | 000,427,649 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Desktop\Fragen und Antworten zu Sepa 07.2012 neu.pdf
[2012.12.29 23:16:41 | 000,146,621 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Desktop\Unbenannt.JPG
[2012.12.06 02:48:07 | 004,693,880 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-776561741-117609710-839522115-1004-0.dat
[2012.12.06 02:47:52 | 000,354,266 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.06.29 19:08:19 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe
[2012.04.09 18:07:24 | 001,101,436 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2012.04.09 18:07:24 | 001,101,436 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2012.04.09 18:07:24 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2012.04.09 18:06:33 | 002,811,988 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012.02.17 06:06:34 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.22 13:33:00 | 000,000,001 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\.SIG_PINSTATUS_VOREINSTELLUNG
[2012.01.22 13:33:00 | 000,000,001 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\.SIG_DIALOG_VOREINSTELLUNG
[2011.10.09 12:41:32 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2011.09.24 17:42:57 | 000,001,453 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2011.09.24 16:05:12 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.09.09 18:53:32 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.09.09 18:52:20 | 000,327,504 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.09.09 18:08:19 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2011.09.09 18:02:09 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.09.09 17:58:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.08.13 16:46:00 | 000,155,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
[2006.10.26 00:06:48 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
[2006.10.26 00:06:48 | 000,019,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
[2006.10.26 00:06:46 | 000,143,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
[2006.10.26 00:06:36 | 000,015,872 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\ogg.dll
[2005.08.23 21:34:06 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
 
========== ZeroAccess Check ==========
 
[2012.03.09 17:38:47 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.06.21 19:18:34 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.01.12 13:55:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Antivirus
[2013.01.12 13:53:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
[2013.01.01 13:59:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net
[2013.01.12 13:53:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars
[2011.09.29 14:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011.10.22 14:25:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2012.01.22 12:27:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2013.01.12 21:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ad-Aware Antivirus
[2013.01.12 13:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\adawaretb
[2011.09.29 14:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Canneverbe Limited
[2011.10.09 13:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
[2012.04.14 20:11:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\DDMSettings
[2012.12.17 21:42:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\DVDVideoSoft
[2012.12.17 21:42:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.01.22 12:28:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\elsterformular
[2013.01.11 23:06:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\gtk-2.0
[2013.01.12 19:45:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ofguec
[2011.09.20 17:31:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\OpenOffice.org
[2012.07.21 09:14:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Oracle
[2012.05.07 10:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\pdfforge
[2013.01.11 23:44:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Pipoxi
[2012.04.12 18:27:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\TeamViewer
[2012.12.23 18:48:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\TS3Client
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---


OTL Extra:
OTL Logfile:
Code:
OTL Extras logfile created on: 16.01.2013 20:39:53 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,43 Gb Available Physical Memory | 71,54% Memory free
3,85 Gb Paging File | 3,34 Gb Available in Paging File | 86,78% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 74,44 Gb Free Space | 49,95% Space Free | Partition Type: NTFS
Drive E: | 998,02 Mb Total Space | 121,94 Mb Free Space | 12,22% Space Free | Partition Type: FAT32
 
Computer Name: VIDEOSCHNITT | User Name: Chris | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend)
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" = C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe:*:Enabled:Akamai NetSession Interface
"C:\Programme\Microsoft Office\Office14\GROOVE.EXE" = C:\Programme\Microsoft Office\Office14\GROOVE.EXE:*:Enabled:Microsoft SharePoint Workspace -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office14\ONENOTE.EXE:*:Enabled:Microsoft OneNote -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1040\Agent.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1040\Agent.exe:*:Enabled:Blizzard Agent -- (Blizzard Entertainment)
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1544\Agent.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Battle.net\Agent\Agent.1544\Agent.exe:*:Enabled:Battle.net Update Agent -- (Blizzard Entertainment)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java(TM) 6 Update 32
"{26A24AE4-039D-4CA4-87B4-2F83217011FF}" = Java 7 Update 11
"{2819e172-81d5-4113-88bd-4605b02344e0}" = Ad-Aware Antivirus
"{2FDD750F-49B7-40C1-9D5E-D2955BC0E2D8}" = NVIDIA PhysX
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FF8E8A7-5BA8-4D9E-B976-B05B2B00B0AE}" = Microsoft Expression Web 4
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4D26B533-269B-4C01-B59E-80A6864824A5}" = Microsoft Expression Encoder 4
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{66D6F3BD-CA23-41A4-9FA3-96B26B32528D}" = Command & Conquer Die ersten 10 Jahre
"{6A9EF6CF-7630-4E33-AE22-7D70F3AF4B05}" = AION Free-To-Play
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 3.6.0
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8FD0F94D-4594-48A0-BE99-5265367603D8}" = Microsoft Expression Design 4
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 14
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{AC76BA86-7AD7-5670-0000-A00000000003}" = Korean Fonts Support For Adobe Reader X
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 306.81
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 306.81
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 136.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.0604
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.10.8
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DDEDAF6C-488E-4CDA-8276-1CCF5F3C5C32}" = Command & Conquer 3
"{DE4CF159-4AD2-4754-BDA0-5FB088C8B58B}" = Razer Diamondback
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F21D2032-60FE-4729-9C87-46F1615FB965}" = Microsoft Expression Encoder 4 Screen Capture Codec
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"3Dfx InteractiveDeinstKey" = 3Dfx Interactive
"Ad-Aware Browsing Protection" = Ad-Aware Browsing Protection
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"Design_7.0.20516.0" = Microsoft Expression Design 4
"DivX Setup" = DivX-Setup
"ElsterFormular 13.0.0.8086p" = ElsterFormular
"Encoder_4.0.1651.0" = Microsoft Expression Encoder 4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.37.1212
"GPL Ghostscript 9.04" = GPL Ghostscript
"Guild Wars" = GUILD WARS
"Guild Wars 2" = Guild Wars 2
"ie8" = Windows Internet Explorer 8
"InstallShield_{6A9EF6CF-7630-4E33-AE22-7D70F3AF4B05}" = AION Free-To-Play
"Keeper" = Dungeon Keeper
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox 18.0 (x86 de)" = Mozilla Firefox 18.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NCLauncher_GameForge" = NC Launcher (GameForge)
"NVIDIA Drivers" = NVIDIA Drivers
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"VDMSound" = VDMSound
"Web_4.0.1166.0" = Microsoft Expression Web 4
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinRAR archiver" = WinRAR 4.11 (32-Bit)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 08.11.2012 14:16:49 | Computer Name = VIDEOSCHNITT | Source = Userenv | ID = 1512
Description = Die Registrierungsdatei konnte nicht entladen werden. Der für die
Registrierung verwendete Arbeitsspeicher wurde nicht freigegeben. Dies wird oft
durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen
 Sie die Dienste entweder unter dem Konto "LocalService" oder "NetworkService" auszuführen.
 Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.
      Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen.
 
 
Error - 04.12.2012 20:10:47 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 20.12.2012 18:01:26 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 10.01.2013 01:18:53 | Computer Name = VIDEOSCHNITT | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Tried to start a service that wasn't the latest version of CLR Optimization service.
 Will shutdown
 
Error - 11.01.2013 13:08:40 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 11.01.2013 13:08:41 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 11.01.2013 13:08:42 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 11.01.2013 13:08:45 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
Error - 11.01.2013 13:08:47 | Computer Name = VIDEOSCHNITT | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Die Daten sind unzulässig.  .
 
[ System Events ]
Error - 13.01.2013 15:11:22 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 14.01.2013 00:41:49 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 14.01.2013 11:54:46 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 15.01.2013 01:25:03 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 15.01.2013 11:55:21 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 15.01.2013 12:52:26 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 16.01.2013 01:35:27 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 16.01.2013 12:44:33 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 16.01.2013 13:51:49 | Computer Name = VIDEOSCHNITT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 16.01.2013 15:12:46 | Computer Name = VIDEOSCHNITT | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
 
< End of report >
--- --- ---


GMER:
Code:
GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-16 21:33:21
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600AVJB-63J5A0 rev.01.03E01 149,05GB
Running: gmer-2.0.18444.exe; Driver: C:\DOKUME~1\Chris\LOKALE~1\Temp\uwtoapog.sys


---- System - GMER 2.0 ----

SSDT  B877E764                                  ZwClose
SSDT  B877E71E                                  ZwCreateKey
SSDT  B877E76E                                  ZwCreateSection
SSDT  B877E714                                  ZwCreateThread
SSDT  B877E723                                  ZwDeleteKey
SSDT  B877E72D                                  ZwDeleteValueKey
SSDT  B877E75F                                  ZwDuplicateObject
SSDT  B877E732                                  ZwLoadKey
SSDT  B877E700                                  ZwOpenProcess
SSDT  B877E705                                  ZwOpenThread
SSDT  B877E787                                  ZwQueryValueKey
SSDT  B877E73C                                  ZwReplaceKey
SSDT  B877E778                                  ZwRequestWaitReplyPort
SSDT  B877E737                                  ZwRestoreKey
SSDT  B877E773                                  ZwSetContextThread
SSDT  B877E77D                                  ZwSetSecurityObject
SSDT  B877E728                                  ZwSetValueKey
SSDT  B877E782                                  ZwSystemDebugControl
SSDT  B877E70F                                  ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xB68453C0, 0x843B7A, 0xE8000020]

---- EOF - GMER 2.0 ----

Was muss ich jetzt noch tun? Wirklich entfernt habe ich ja noch nichts bzw. nichts, das mich jetzt wieder ruhiger werden lassen könnte.

Viele Grüße

Nuss

e:/ Ganz ehrlich..ich frage mich, wozu ich überhaupt Avira permanent am laufen habe.. oder adaware, wenn die nicht mal aktuelle Infektionen bemerken. Neu scheint der virus ja nicht zu sein, wenn man mal etwas googelt. Warum erkennen die Systeme das nie live sondern immer erst hinterher wenns schon zu spät ist? -.-* Naja...

ryder 17.01.2013 09:23
Der Grund ist einfach, weil du mitdenken sollst und dich nicht auf ein Programm verlassen darfst. Und selbst DANN: hast du nie komplette Sicherheit.

Also los :)

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?


Schritt 1:
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield




Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)
Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com
  • Schließe alle laufenden Programme und starte DDS mit Doppelklick.
  • Der Desktop wird verschwinden, das ist normal.
  • Stelle folgendes ein:

    [X] dds.txt
    [X] attach.txt
    [ ] options for dds.txt

  • Ändere keine Einstellung ohne Anweisung.
  • Klicke auf Start.
  • Es werden 2 Logfiles auf deinem Desktop erstellt.
    • dds.txt
    • attach.txt
  • Poste die beiden Logfile hier, möglichst in CODE-Tags.

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)
Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com
  • Schließe alle laufenden Programme und starte DDS mit Doppelklick.
  • Der Desktop wird verschwinden, das ist normal.
  • Stelle folgendes ein:

    [X] dds.txt
    [X] attach.txt
    [ ] options for dds.txt

  • Ändere keine Einstellung ohne Anweisung.
  • Klicke auf Start.
  • Es werden 2 Logfiles auf deinem Desktop erstellt.
    • dds.txt
    • attach.txt
  • Poste die beiden Logfile hier, möglichst in CODE-Tags.

Nusspli 17.01.2013 19:35
Hey ryder,

erstmal vielen vielen Dank, dass Du Dich meiner überhaupt annimmst. :daumenhoc

...und sorry für die recht späte Antwort... Wir sind hier recht gut eingeschneit und der Räumdienst kommt wohl nicht ganz hinterher...

Habe alles wie Du gesagt hast ausgeführt. CCCleaner wurde deinstalliert, ansonsten ist mir kein weiteres der genannten Programme bekannt. TFC hat etwas über 100 MB gelöscht.

So... ich poste die logs einfach mal untereinander... gestern habe ich noch diesen ESET-onlinescan gemacht. Den Report hänge ich auch mal noch an für den Fall es hilft.

Eset:
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=e94105091044424fbc9e615b34c8a77d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-16 09:51:57
# local_time=2013-01-16 10:51:57 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 100 21836 223796407 14610 0
# compatibility_mode=3073 16777214 0 5 6050514 6050514 0 0
# scanned=63303
# found=0
# cleaned=0
# scan_time=3393
AdwCleander:
Code:
# AdwCleaner v2.106 - Datei am 17/01/2013 um 19:12:21 erstellt
# Aktualisiert am 17/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Chris - VIDEOSCHNITT
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Chris\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blekko toolbars
Ordner Gelöscht : C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\adawaretb
Ordner Gelöscht : C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\pdfforge
Ordner Gelöscht : C:\Programme\adawaretb

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{6C97A91E-4524-4019-86AF-2AA2D567BF5C}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [1140 octets] - [17/01/2013 19:12:21]

########## EOF - C:\AdwCleaner[S1].txt - [1200 octets] ##########

dds:
DDS Logfile:
DDS Logfile:
Code:
DDS (Ver_2012-11-20.01) - NTFS_x86
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.5.1
Run by Chris at 19:23:15 on 2013-01-17
#Option MBR scan  is disabled.
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1459 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Aware *Disabled/Updated* {964FCE60-0B18-4D30-ADD6-EB178909041C}
FW: Lavasoft Ad-Aware *Disabled*
.
============== Running Processes ================
.
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\PDF24\pdf24.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ad-Aware Antivirus\AdAwareService.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
C:\Programme\Ad-Aware Antivirus\SBAMSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\PROGRA~1\AD-AWA~1\AdAware.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost.exe -k LocalService
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://icanhascheezburger.com/
uInternet Connection Wizard,ShellNext = iexplore
uProxyOverride = <local>
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326E768D-4182-46FD-9C16-1449A49795F4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - c:\programme\microsoft office\office14\GROOVEEX.DLL
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\programme\oracle\javafx 2.1 runtime\bin\ssv.dll
BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - c:\programme\microsoft office\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\programme\oracle\javafx 2.1 runtime\bin\jp2ssv.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [PDFPrint] c:\programme\pdf24\pdf24.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [BCSSync] "c:\programme\microsoft office\office14\BCSSync.exe" /DelayServices
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
mRun: [nwiz] c:\programme\nvidia corporation\nview\nwiz.exe /installquiet
mRun: [Diamondback] c:\programme\razer\diamondback\razerhid.exe
mRun: [Ad-Aware Browsing Protection] "c:\dokumente und einstellungen\all users\anwendungsdaten\ad-aware browsing protection\adawarebp.exe"
mRun: [Ad-Aware Antivirus] "c:\programme\ad-aware antivirus\AdAwareLauncher" --windows-run
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1
mPolicies-Explorer: NoDriveTypeAutoRun = dword:145
IE: An OneNote s&enden - c:\progra~1\micros~3\office14\ONBttnIE.dll/105
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\chris\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~3\office14\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\programme\microsoft office\office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\programme\microsoft office\office14\ONBttnIELinkedNotes.dll
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1358362418359
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: NameServer = 192.168.2.1
TCP: Interfaces\{D6A09946-4A1E-48FF-A3B5-734F68803379} : DHCPNameServer = 192.168.2.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\programme\gemeinsame dateien\microsoft shared\office14\MSOXMLMF.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\programme\gemeinsame dateien\skype\Skype4COM.dll
AppInit_DLLs=     
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - c:\programme\microsoft office\office14\GROOVEEX.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\chris\anwendungsdaten\mozilla\firefox\profiles\8rrf3cd5.default\
FF - prefs.js: browser.startup.homepage - hxxp://icanhas.cheezburger.com/
FF - plugin: c:\dokumente und einstellungen\chris\lokale einstellungen\anwendungsdaten\google\update\1.3.21.115\npGoogleUpdate3.dll
FF - plugin: c:\progra~1\micros~3\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~1\micros~3\office14\NPSPWRAP.DLL
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\programme\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\programme\java\jre7\bin\dtplugin\npdeployJava1.dll
FF - plugin: c:\programme\microsoft silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npwachk.dll
FF - plugin: c:\programme\oracle\javafx 2.1 runtime\bin\plugin2\npjp2.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_146.dll
FF - ExtSQL: 2013-01-12 13:53; jid1-yZwVFzbsyfMrqQ@jetpack; c:\dokumente und einstellungen\chris\anwendungsdaten\mozilla\firefox\profiles\8rrf3cd5.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [2013-1-12 13560]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-16 36000]
R2 Ad-Aware Service;Ad-Aware Service;c:\programme\ad-aware antivirus\AdAwareService.exe [2012-12-14 1236968]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-10-16 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-10-16 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-16 83392]
R2 GenPort;GenPort;c:\windows\system32\drivers\genport.sys [2012-6-29 4832]
R2 MapMem;MapMem;c:\windows\system32\drivers\MAPMEM.SYS [2012-6-29 6816]
R2 NTRemap;NTRemap;c:\windows\system32\drivers\NTREMAP.SYS [2012-6-29 6336]
R2 SBAMSvc;Ad-Aware;c:\programme\ad-aware antivirus\SBAMSvc.exe [2012-9-20 3677000]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [2012-11-7 13225]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 SkypeUpdate;Skype Updater;c:\programme\skype\updater\Updater.exe [2012-7-13 160944]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2011-9-9 1691480]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\eaglexnt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\gamemon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2004-8-4 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S3 XDva397;XDva397;\??\c:\windows\system32\xdva397.sys --> c:\windows\system32\XDva397.sys [?]
.
=============== Created Last 30 ================
.
2013-01-16 18:04:23        94112        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2013-01-12 12:58:35        --------        d-----w-        c:\dokumente und einstellungen\chris\anwendungsdaten\LavasoftStatistics
2013-01-12 12:55:46        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Ad-Aware Antivirus
2013-01-12 12:54:42        --------        d-----w-        c:\programme\Ad-Aware Antivirus
2013-01-12 12:54:13        --------        d-----w-        c:\dokumente und einstellungen\chris\lokale einstellungen\anwendungsdaten\Downloaded Installations
2013-01-12 12:54:02        44424        ----a-w-        c:\windows\system32\sbbd.exe
2013-01-12 12:54:02        13560        ----a-w-        c:\windows\system32\drivers\gfibto.sys
2013-01-12 12:53:47        --------        d-----w-        c:\dokumente und einstellungen\chris\lokale einstellungen\anwendungsdaten\adawarebp
2013-01-12 12:53:45        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Ad-Aware Browsing Protection
2013-01-12 12:53:39        --------        d-----w-        c:\programme\Toolbar Cleaner
2013-01-12 12:52:51        --------        d-----w-        c:\dokumente und einstellungen\chris\anwendungsdaten\Ad-Aware Antivirus
2013-01-12 12:21:37        --------        d-----w-        c:\dokumente und einstellungen\chris\anwendungsdaten\Malwarebytes
2013-01-12 12:21:23        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2013-01-12 12:21:22        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-01-12 12:21:22        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-01-11 22:44:27        --------        d-----w-        c:\dokumente und einstellungen\chris\anwendungsdaten\Pipoxi
2013-01-11 22:44:27        --------        d-----w-        c:\dokumente und einstellungen\chris\anwendungsdaten\Ofguec
2013-01-10 05:45:27        16369160        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe
2013-01-01 12:59:47        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Blizzard Entertainment
2013-01-01 12:59:05        --------        d-----w-        c:\dokumente und einstellungen\all users\anwendungsdaten\Battle.net
.
==================== Find3M  ====================
.
2013-01-16 18:04:09        780192        ----a-w-        c:\windows\system32\deployJava1.dll
2013-01-16 18:04:09        143872        ----a-w-        c:\windows\system32\javacpl.cpl
2013-01-10 17:45:33        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-10 17:45:33        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-12-16 12:23:59        290560        ----a-w-        c:\windows\system32\atmfd.dll
2012-11-13 11:55:38        1866496        ----a-w-        c:\windows\system32\win32k.sys
2012-11-10 15:48:20        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-11-07 21:28:14        1101436        ----a-w-        c:\windows\system32\nvdrsdb0.bin
2012-11-07 21:28:14        1        ----a-w-        c:\windows\system32\nvdrssel.bin
2012-11-07 21:28:10        1101436        ----a-w-        c:\windows\system32\nvdrsdb1.bin
2012-11-06 02:01:31        1371648        ------w-        c:\windows\system32\msxml6.dll
2012-11-02 02:02:36        375296        ----a-w-        c:\windows\system32\dpnet.dll
2012-11-01 12:17:52        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-11-01 12:17:52        43520        ------w-        c:\windows\system32\licmgr10.dll
2012-11-01 12:17:52        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-11-01 00:35:34        385024        ------w-        c:\windows\system32\html.iec
.
============= FINISH: 19:23:50,00 ===============
--- --- ---

--- --- ---


attach:
Code:
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 09.09.2011 19:02:07
System Uptime: 17.01.2013 19:19:26 (0 hours ago)
.
Motherboard: Gigabyte Technology Co., Ltd. |  | GA-M56S-S3
Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+ | Socket M2 | 3013/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 149 GiB total, 74,58 GiB free.
D: is CDROM ()
E: is Removable
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
3Dfx Interactive
Ad-Aware Antivirus
Ad-Aware Browsing Protection
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.4) - Deutsch
Adobe Shockwave Player 11.6
AION Free-To-Play
Avira Free Antivirus
CDBurnerXP
Command & Conquer 3
Command & Conquer Die ersten 10 Jahre
DivX-Setup
Dungeon Keeper
ElsterFormular
Free YouTube to MP3 Converter version 3.11.37.1212
GIMP 2.6.11
Google Chrome
GPL Ghostscript
GUILD WARS
Guild Wars 2
Hotfix für Windows XP (KB2756822)
Hotfix für Windows XP (KB2779562)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
Java 7 Update 11
Java Auto Updater
Java(TM) 6 Update 22
Java(TM) 6 Update 32
JavaFX 2.1.1
Korean Fonts Support For Adobe Reader X
Malwarebytes Anti-Malware Version 1.70.0.1100
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft .NET Framework 4 Extended
Microsoft .NET Framework 4 Extended DEU Language Pack
Microsoft Expression Design 4
Microsoft Expression Encoder 4
Microsoft Expression Encoder 4 Screen Capture Codec
Microsoft Expression Web 4
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (German) 2010
Microsoft Office Excel MUI (German) 2010
Microsoft Office Groove MUI (German) 2010
Microsoft Office InfoPath MUI (German) 2010
Microsoft Office OneNote MUI (German) 2010
Microsoft Office Outlook MUI (German) 2010
Microsoft Office PowerPoint MUI (German) 2010
Microsoft Office Professional Plus 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (German) 2010
Microsoft Office Publisher MUI (German) 2010
Microsoft Office Shared MUI (German) 2010
Microsoft Office Word MUI (German) 2010
Microsoft Silverlight
Microsoft Software Update for Web Folders  (German) 14
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Mozilla Firefox 18.0 (x86 de)
Mozilla Maintenance Service
NC Launcher (GameForge)
No23 Recorder
NVIDIA Drivers
NVIDIA Grafiktreiber 306.81
NVIDIA Install Application
NVIDIA nView 136.28
NVIDIA PhysX
NVIDIA PhysX-Systemsoftware 9.12.0604
NVIDIA Systemsteuerung 306.81
NVIDIA Update 1.10.8
NVIDIA Update Components
OpenOffice.org 3.3
PDF24 Creator 3.6.0
PDFCreator
Razer Diamondback
Realtek High Definition Audio Driver
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2736428)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft .NET Framework 4 Extended (KB2416472)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Security Update for Microsoft .NET Framework 4 Extended (KB2736428)
Security Update for Microsoft .NET Framework 4 Extended (KB2742595)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2699988)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2722913)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows XP (KB2655992)
Sicherheitsupdate für Windows XP (KB2685939)
Sicherheitsupdate für Windows XP (KB2691442)
Sicherheitsupdate für Windows XP (KB2698365)
Sicherheitsupdate für Windows XP (KB2705219)
Sicherheitsupdate für Windows XP (KB2707511)
Sicherheitsupdate für Windows XP (KB2709162)
Sicherheitsupdate für Windows XP (KB2712808)
Sicherheitsupdate für Windows XP (KB2718523)
Sicherheitsupdate für Windows XP (KB2719985)
Sicherheitsupdate für Windows XP (KB2723135)
Sicherheitsupdate für Windows XP (KB2724197)
Sicherheitsupdate für Windows XP (KB2727528)
Sicherheitsupdate für Windows XP (KB2731847)
Sicherheitsupdate für Windows XP (KB2753842-v2)
Sicherheitsupdate für Windows XP (KB2753842)
Sicherheitsupdate für Windows XP (KB2757638)
Sicherheitsupdate für Windows XP (KB2758857)
Sicherheitsupdate für Windows XP (KB2761226)
Sicherheitsupdate für Windows XP (KB2770660)
Sicherheitsupdate für Windows XP (KB2779030)
Sicherheitsupdate für Windows XP (KB923789)
Skype™ 5.10
swMSM
TeamSpeak 3 Client
Update für Windows Internet Explorer 8 (KB2447568)
Update für Windows Internet Explorer 8 (KB2598845)
Update für Windows Internet Explorer 8 (KB2632503)
Update für Windows XP (KB2661254-v2)
Update für Windows XP (KB2736233)
Update für Windows XP (KB2749655)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2473228)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
VC80CRTRedist - 8.0.50727.6195
VDMSound
WebFldrs XP
Winamp
Winamp Erkennungs-Plug-in
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR 4.11 (32-Bit)
.
==== End Of File ===========================

ryder 17.01.2013 19:39
Na dann mal weiter


Schritt 1:
Deinstalliere Java 6 und Ad-Aware (das nützt dir gar nichts)


Schritt 2:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Nusspli 17.01.2013 20:06
Java 6 und Ad-aware sind deinstalliert...

Während dem ausführen von Combofix wurde von Microsoft die Wiederherstellungskonsole runtergeladen...

Combofix:
Code:
ComboFix 13-01-17.03 - Chris 17.01.2013  19:57:53.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1459 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
c:\dokumente und einstellungen\Chris\WINDOWS
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-17 bis 2013-01-17  ))))))))))))))))))))))))))))))
.
.
2013-01-16 18:04 . 2013-01-16 18:04        94112        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2013-01-16 17:31 . 2013-01-16 17:31        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2013-01-16 17:31 . 2013-01-16 17:31        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2013-01-12 12:58 . 2013-01-12 12:58        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\LavasoftStatistics
2013-01-12 12:54 . 2013-01-12 12:54        --------        d-----w-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2013-01-12 12:54 . 2013-01-12 12:54        44424        ----a-w-        c:\windows\system32\sbbd.exe
2013-01-12 12:54 . 2013-01-12 12:54        13560        ----a-w-        c:\windows\system32\drivers\gfibto.sys
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\adawarebp
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\programme\Toolbar Cleaner
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-01-12 12:21 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-01-11 22:44 . 2013-01-12 18:45        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\Ofguec
2013-01-11 22:44 . 2013-01-11 22:44        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi
2013-01-10 05:45 . 2013-01-10 17:45        16369160        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe
2013-01-01 12:59 . 2013-01-01 12:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2013-01-01 12:59 . 2013-01-01 12:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Battle.net
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 17:45 . 2012-03-31 08:50        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-01-10 17:45 . 2011-09-09 17:23        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2004-08-04 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2004-08-04 12:00        1866496        ----a-w-        c:\windows\system32\win32k.sys
2012-11-10 15:48 . 2012-05-07 09:16        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-11-06 02:01 . 2008-04-14 02:22        1371648        ------w-        c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2004-08-04 12:00        375296        ----a-w-        c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00        385024        ------w-        c:\windows\system32\html.iec
2013-01-05 03:44 . 2013-01-11 17:13        262704        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-08-09 20055144]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-09-27 220744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-09-23 15512424]
"NvMediaCenter"="NvMCTray.dll" [2012-09-23 108392]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2012-09-23 1634112]
"Diamondback"="c:\programme\Razer\Diamondback\razerhid.exe" [2007-02-14 147456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51        919008        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08        1259376        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-07-14 16:57        116648        ----atw-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 08:04        252848        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1040\\Agent.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1544\\Agent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
.
R0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [12.01.2013 13:54 13560]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.10.2011 07:20 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.10.2011 07:20 86224]
R2 GenPort;GenPort;c:\windows\system32\drivers\genport.sys [29.06.2012 18:59 4832]
R2 MapMem;MapMem;c:\windows\system32\drivers\MAPMEM.SYS [29.06.2012 18:59 6816]
R2 NTRemap;NTRemap;c:\windows\system32\drivers\NTREMAP.SYS [29.06.2012 18:59 6336]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [07.11.2012 22:38 13225]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 14:14 160944]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [09.09.2011 18:09 1691480]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 XDva397;XDva397;\??\c:\windows\system32\XDva397.sys --> c:\windows\system32\XDva397.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - APPMGMT
*NewlyCreated* - JAVAQUICKSTARTERSERVICE
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://icanhascheezburger.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\
FF - prefs.js: browser.startup.homepage - hxxp://icanhas.cheezburger.com/
FF - ExtSQL: 2013-01-12 13:53; jid1-yZwVFzbsyfMrqQ@jetpack; c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Otazti - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Giep\ebky.exe
AddRemove-Keeper - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-17 20:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-776561741-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:c8,92,d9,ab,79,8d,08,c1,62,2e,fe,14,ad,2d,51,0c,01,de,87,11,03,50,56,
  53,1e,c9,d8,68,d4,96,af,2d,f4,bd,a0,19,f9,49,d7,8d,db,16,68,2e,d7,7b,25,71,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-01-17  20:01:32
ComboFix-quarantined-files.txt  2013-01-17 19:01
.
Vor Suchlauf: 8 Verzeichnis(se), 80.414.748.672 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 80.451.727.360 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6AE49605C99D44385E9712F221A148D8

ryder 17.01.2013 20:14
Okay ein paar Reste noch:

Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    Folder::
    c:\dokumente und einstellungen\Chris\Anwendungsdaten\Ofguec
    c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:
Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Nusspli 17.01.2013 20:24
Das kam dabei raus... :


Code:
ComboFix 13-01-17.03 - Chris 17.01.2013  20:20:39.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1387 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chris\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Ofguec
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi
c:\dokumente und einstellungen\Chris\Anwendungsdaten\Pipoxi\fyapn.ece
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-17 bis 2013-01-17  ))))))))))))))))))))))))))))))
.
.
2013-01-16 18:04 . 2013-01-16 18:04        94112        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2013-01-16 17:31 . 2013-01-16 17:31        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2013-01-16 17:31 . 2013-01-16 17:31        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2013-01-12 12:58 . 2013-01-12 12:58        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\LavasoftStatistics
2013-01-12 12:54 . 2013-01-12 12:54        --------        d-----w-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2013-01-12 12:54 . 2013-01-12 12:54        44424        ----a-w-        c:\windows\system32\sbbd.exe
2013-01-12 12:54 . 2013-01-12 12:54        13560        ----a-w-        c:\windows\system32\drivers\gfibto.sys
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\adawarebp
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
2013-01-12 12:53 . 2013-01-12 12:53        --------        d-----w-        c:\programme\Toolbar Cleaner
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-12 12:21 . 2013-01-12 12:21        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-01-12 12:21 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-01-10 05:45 . 2013-01-10 17:45        16369160        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe
2013-01-01 12:59 . 2013-01-01 12:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2013-01-01 12:59 . 2013-01-01 12:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Battle.net
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 17:45 . 2012-03-31 08:50        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-01-10 17:45 . 2011-09-09 17:23        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2004-08-04 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2004-08-04 12:00        1866496        ----a-w-        c:\windows\system32\win32k.sys
2012-11-10 15:48 . 2012-05-07 09:16        821736        ----a-w-        c:\windows\system32\npdeployJava1.dll
2012-11-06 02:01 . 2008-04-14 02:22        1371648        ------w-        c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2004-08-04 12:00        375296        ----a-w-        c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00        385024        ------w-        c:\windows\system32\html.iec
2013-01-05 03:44 . 2013-01-11 17:13        262704        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-08-09 20055144]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-09-27 220744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-09-23 15512424]
"NvMediaCenter"="NvMCTray.dll" [2012-09-23 108392]
"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2012-09-23 1634112]
"Diamondback"="c:\programme\Razer\Diamondback\razerhid.exe" [2007-02-14 147456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51        919008        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08        1259376        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-07-14 16:57        116648        ----atw-        c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 08:04        252848        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1040\\Agent.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Battle.net\\Agent\\Agent.1544\\Agent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
.
R0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [12.01.2013 13:54 13560]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.10.2011 07:20 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.10.2011 07:20 86224]
R2 GenPort;GenPort;c:\windows\system32\drivers\genport.sys [29.06.2012 18:59 4832]
R2 MapMem;MapMem;c:\windows\system32\drivers\MAPMEM.SYS [29.06.2012 18:59 6816]
R2 NTRemap;NTRemap;c:\windows\system32\drivers\NTREMAP.SYS [29.06.2012 18:59 6336]
R3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\Razerlow.sys [07.11.2012 22:38 13225]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 14:14 160944]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [09.09.2011 18:09 1691480]
S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 XDva397;XDva397;\??\c:\windows\system32\XDva397.sys --> c:\windows\system32\XDva397.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - APPMGMT
*NewlyCreated* - JAVAQUICKSTARTERSERVICE
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://icanhascheezburger.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Chris\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\
FF - prefs.js: browser.startup.homepage - hxxp://icanhas.cheezburger.com/
FF - ExtSQL: 2013-01-12 13:53; jid1-yZwVFzbsyfMrqQ@jetpack; c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\8rrf3cd5.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-17 20:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-776561741-117609710-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:c8,92,d9,ab,79,8d,08,c1,62,2e,fe,14,ad,2d,51,0c,01,de,87,11,03,50,56,
  53,1e,c9,d8,68,d4,96,af,2d,f4,bd,a0,19,f9,49,d7,8d,db,16,68,2e,d7,7b,25,71,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-01-17  20:23:36
ComboFix-quarantined-files.txt  2013-01-17 19:23
.
Vor Suchlauf: 10 Verzeichnis(se), 80.426.143.744 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 80.423.133.184 Bytes frei
.
- - End Of File - - E09E1848F24948A011D67D17510C77C7

ryder 17.01.2013 20:29
Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Schritt 2:
ESET Online Scanner


Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

  • Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:
Wenn der Scan beendet wurdeBitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck: LINK1 LINK2
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

Nusspli 17.01.2013 22:04
Ok... alle Scans soweit durchgeführt. Beim ESET hab ich komischerweise keinen Report bekommen diesmal... Scan dauerte knapp 1 Std. und er hat nichts festgestellt.

MBAM:
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.17.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Chris :: VIDEOSCHNITT [Administrator]

17.01.2013 20:31:06
mbam-log-2013-01-17 (20-31-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228579
Laufzeit: 4 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
checkup:
Code:
Results of screen317's Security Check version 0.99.57 
 Windows XP Service Pack 3 x86 
 Internet Explorer 8 
``````````````Antivirus/Firewall Check:``````````````
 Avira Free Antivirus   
 ESET Online Scanner v3 
 Avira successfully updated!
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.70.0.1100 
 JavaFX 2.1.1   
 Java 7 Update 11 
 Adobe Flash Player        11.5.502.146 
 Mozilla Firefox (18.0)
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:: 
````````````````````End of Log``````````````````````

ryder 18.01.2013 16:06
Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
  2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK
  3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Code:
"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"



Abschließend noch Tipps zu folgenden Themen:
  • Systemupdates
  • Softwareupdates
  • Sicherheitssoftware
  • Sicheres Surfen

Lesestoff:
Systemupdates
Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
  • Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt:
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.



Lesestoff:
Softwareupdates
Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:Auch nicht gelistete Programme sind natürlich wichtig. Ob es für diese eine neue Version gibt, kannst du auf deren Herstellerwebseite oder ganz bequem mit diesen Tools überprüfen:



Lesestoff:
Sicherheitssoftware
Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
  • Wenn du deine Antivirenlösung wechseln solltest, findest du hier Tools mit denen du die Überreste nach der Deinstallation deines alten Scanners entfernen kannst.
  • Installiere niemals mehr als einen Virenscanner. Deren Hintergrundwächter würden sich gegenseitig behindern und dein System ausbremsen.
  • Ein Browserplugin, das dich vor betrügerischen Webseiten schützt, kann dir gute Dienste leisten, wenn du dich nicht gut auskennst (siehe oben).
  • Sorge dafür, dass deine Sicherheitslösung ständig up-to-date ist und sich automatisch Updates besorgt. Wenn du auf manuelle Updates setzt bist du meistens zu spät, da die Virendatenbanken oft täglich sogar mehrfach erneuert werden.
  • Einen zusätzlichen Schutz (und dieser wäre auch erlaubt) bietet ein spezieller Malwarescanner. Hier empfehle ich dir dringend Malwarebytes und einmal wöchentlich damit zu scannen. In der kostenpflichtigen Version hat es sogar einen Hintergrundwächter. Hierfür haben wir eine Anleitung für dich.
Zuletzt empfehle ich dir deine Daten regelmässig (am besten automatisch) zu sichern. Dies kann eine professionelle Backuplösung, externe Festplatten, Brennen auf DVDs oder Überspielen auf ein Online-Laufwerk wie z.B. Dropbox sein. Erzeuge so viele Kopien wie möglich und halte sie aktuell. Nur so bist du auf den schlimmsten Fall vorbereitet, wenn dein Computer - wodurch auch immer - unbrauchbar werden sollte. Leider passiert das ja immer unangekündigt und immer dann wenn man ihn am Nötigsten braucht. Also sorge vor! :)



Lesestoff:
Sicheres Surfen
Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
  • Klicke nicht irgendwo hin, nur weil es bunt ist und leuchtet, in einer Ecke aufpoppt oder so aussieht, als wäre es eine Systemmeldung.
  • Lade dir keine illegale Software, keine Cracks, keine Keygens, keine Gametrainer usw ... die Webseiten, die so etwas anbieten, sind meist nicht seriös und die angeblichen Helfer sind meist verseuchter als du es dir ausmalen würdest. Es spielt dabei keine Rolle, ob du diese Dateien über einen Browser oder Filesharingprogramme beziehst.
  • Öffne keine Emailanhänge von Leuten, die du nicht kennst, Emails mit seltsamen Rechtschreibfehlern oder starte Dateien, die dir eine Webseite anbietet, ohne dass du sie wolltest.
  • Lasse niemand an deinem Computer surfen, der diese Regeln nicht auch befolgt.
  • Verlasse dich nicht darauf, dass dein Virenscanner schon alles findet. Keine Sicherheitslösung ist 100% sicher!

Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
  • WOT (Web of trust) Dieses Add-On warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst. Hinweis: Avast enthält ein solches Plugin bereits.
  • Sandboxie schafft eine zusätzliche isolierte Programmumgebung, damit dein Browser wie ein Kleinkind im Sandkasten sicher ist. (Anleitung: Sandboxie)
  • Securebanking ist ein Software, die Verbindungen untersucht und dir meldet, wenn jemand "mithört". Wie der Name sagt, wurde es entwickelt, damit Onlinebanking wirklich sicher ist. Mehr Infos auf der Homepage: http://www.secure-banking.net/

Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.



Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Nusspli 18.01.2013 17:02
Vielen vielen Dank für die Hilfe und die Infos.

Habe alles durchgelesen und befolgt... Adobe geupdatet (auf XI), Avira runter geschmissen und avast installiert... autom. Windowsupdates waren bereits aktiv und den Malwarebytes Anti-Malware habe ich behalten.

Eine letzte Frage hätte ich allerdings noch: ich hab Programme, die mir temp-Leichen oder Registryverwaisungen entfernen recht gerne. Daher nutzte ich bisher CCleaner. Da ich das nicht mehr soll und TFC trotzdem noch über 100 MB Müll gelöscht hatte würde mich interessieren, welches programm ich für so etwas benutzen kann?
Soll ich mir dieses TFC speichern und regelmäßig laufen lassen?

Viele Grüße

e:/Passwörter zu Email und Onlinebanking wurden zurück gesetzt bzw. geändert. Damit dürften die ausgespähten Daten hoffentlich nicht mehr funktionieren.

ryder 18.01.2013 17:17
Ein paar temporäre Dateien sind erstmal kein Beinbruch, an der Registry herumfummeln aber schon. TFC ist da unproblematisch.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131