|
Leerlaufprozess bei 95% trotzdem startet jede Anwendung erst nach 2 Min nach dem booten. Guten Tag, nach dem Booten erscheint die Windowsoberfläche. ALLES OK. Doppel-click auf irgendeine Anwendung. Das Programm startet ca erst nach 2 min., obwohl der Leerlaufprozess bei ca 95% liegt. Die Festplatte ist am arbeiten (hörbares Rattern). Wenn die Anwendung dann endlich startet, ist sie deutlich verlangsamt. Dateien öffnen Zeit versetzt. Nach ca 30 min habe ich das Gefühl der Rechner hat sich normalisiert. System: Windows XP mit SP3; Norton 360 und Spyboot. haben nichts verdächtiges gefunden. Wer hat eine Idee? OTL logfile created on: 26.03.2013 19:28:59 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\MS\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,25 Gb Total Physical Memory | 0,61 Gb Available Physical Memory | 48,86% Memory free 2,98 Gb Paging File | 2,52 Gb Available in Paging File | 84,54% Paging File free Paging file location(s): C:\pagefile.sys 1920 3840 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,25 Gb Total Space | 19,11 Gb Free Space | 51,31% Space Free | Partition Type: NTFS Drive D: | 34,35 Gb Total Space | 5,02 Gb Free Space | 14,61% Space Free | Partition Type: NTFS Drive E: | 2,92 Gb Total Space | 1,56 Gb Free Space | 53,40% Space Free | Partition Type: FAT32 Computer Name: MS-PC | User Name: MS | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.26 19:23:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe PRC - [2012.11.22 16:58:14 | 001,522,312 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\HelperService.exe PRC - [2012.11.22 16:56:10 | 000,905,864 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\ConversionService.exe PRC - [2012.09.24 23:12:59 | 000,161,768 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe PRC - [2011.04.17 01:45:11 | 000,130,008 | R--- | M] (Symantec Corporation) -- C:\Programme\Norton 360\Engine\5.2.2.3\ccsvchst.exe PRC - [2011.01.05 06:03:00 | 001,570,056 | ---- | M] (Raxco Software, Inc.) -- C:\Programme\PerfectDisk_11_Pro\PDAgent.exe PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2013.03.16 18:57:08 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.08 16:18:55 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.11.22 16:58:14 | 001,522,312 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\HelperService.exe -- (PDF Architect Helper Service) SRV - [2012.11.22 16:56:10 | 000,905,864 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\ConversionService.exe -- (PDF Architect Service) SRV - [2012.09.24 23:12:59 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2012.06.11 10:33:26 | 000,724,376 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2011.04.17 01:45:11 | 000,130,008 | R--- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Norton 360\Engine\5.2.2.3\ccSvcHst.exe -- (N360) SRV - [2011.01.05 06:03:00 | 001,570,056 | ---- | M] (Raxco Software, Inc.) [Auto | Running] -- C:\Programme\PerfectDisk_11_Pro\PDAgent.exe -- (PDAgent) SRV - [2011.01.05 06:02:50 | 001,475,848 | ---- | M] (Raxco Software, Inc.) [On_Demand | Stopped] -- C:\Programme\PerfectDisk_11_Pro\PDEngine.exe -- (PDEngine) SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2010.01.25 08:22:56 | 000,245,760 | ---- | M] (Brother Industries, Ltd.) [On_Demand | Stopped] -- C:\Programme\Browny02\BrYNSvc.exe -- (BrYNSvc) SRV - [2009.07.13 13:51:46 | 000,160,768 | ---- | M] (soft Xpansion) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\soft Xpansion\SXDS10.exe -- (SXDS10) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP150.SYS -- (PROCEXP150) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2013.01.16 18:32:12 | 001,603,824 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20130325.004\NAVEX15.SYS -- (NAVEX15) DRV - [2013.01.16 18:32:10 | 000,093,296 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20130325.004\NAVENG.SYS -- (NAVENG) DRV - [2013.01.16 03:51:12 | 000,997,464 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\BASHDefs\20130301.001\BHDrvx86.sys -- (BHDrvx86) DRV - [2012.09.01 01:27:25 | 000,373,728 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\IPSDefs\20130322.001\IDSXpx86.sys -- (IDSxpx86) DRV - [2012.08.18 14:42:35 | 000,376,480 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) DRV - [2012.08.18 14:42:35 | 000,106,656 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv) DRV - [2012.06.11 10:33:46 | 000,019,072 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2011.09.29 20:17:01 | 000,126,584 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent) DRV - [2011.04.21 02:37:49 | 000,369,784 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symtdi.sys -- (SYMTDI) DRV - [2011.03.31 04:00:09 | 000,516,216 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\srtsp.sys -- (SRTSP) DRV - [2011.03.31 04:00:09 | 000,050,168 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\srtspx.sys -- (SRTSPX) DRV - [2011.03.15 03:31:23 | 000,744,568 | ---- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symefa.sys -- (SymEFA) DRV - [2011.01.27 07:47:10 | 000,340,088 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symds.sys -- (SymDS) DRV - [2010.11.16 02:45:33 | 000,136,312 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\ironx86.sys -- (SymIRON) DRV - [2010.08.11 07:10:06 | 000,135,184 | ---- | M] (Raxco Software, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\DefragFs.sys -- (DefragFS) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2004.08.03 21:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8139.sys -- (rtl8139) DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401) DRV - [2001.08.17 12:50:26 | 000,731,648 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4.sys -- (nv4) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825 IE - HKCU\..\SearchScopes\{FB909426-9B52-425D-8336-755FB1C8F597}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/search?client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&channel=s&hl=de&source=hp&q=schwarzes+Brett+Bremen&meta=&btnG=Google-Suche" FF - prefs.js..extensions.enabledAddons: %7B9AA46F4F-4DC7-4c06-97AF-5035170634FE%7D:5.2 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}:5.5 FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0 FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {66E978CD-981F-47DF-AC42-E3CF417C1467}:0.4.3 FF - prefs.js..keyword.URL: "hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - user.js..keyword.URL: "hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\IPSFFPlgn\ [2012.02.11 13:17:21 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\coFFPlgn_2011_7_13_2 [2013.03.26 19:08:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2012.10.01 18:25:57 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.01.05 18:47:07 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 16:18:56 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.03.08 16:18:30 | 000,000,000 | ---D | M] [2010.09.07 18:02:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Extensions [2013.02.24 19:40:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions [2011.01.28 18:49:30 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.04.08 21:45:50 | 000,000,000 | ---D | M] (New Tab Homepage) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467} [2012.11.21 20:06:45 | 000,000,000 | ---D | M] (Clippings) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{91aa5abe-9de4-4347-b7b5-322c38dd9271} [2011.10.23 18:03:08 | 000,000,000 | ---D | M] (toolplugin) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\welcome@toolmin.com [2012.11.21 20:06:42 | 000,284,001 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\compatibility@addons.mozilla.org.xpi [2012.11.21 20:06:47 | 000,559,819 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\toolbar@web.de.xpi [2013.02.24 19:40:24 | 000,115,869 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2013.02.16 16:18:46 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2010.03.24 15:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\searchplugins\conduit.xml [2013.03.08 16:18:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.03.08 16:18:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2013.03.08 16:17:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\distribution\extensions [2013.03.08 16:18:09 | 000,000,000 | ---D | M] (WEB.DE Toolbar) -- C:\Programme\Mozilla Firefox\distribution\extensions\toolbar@web.de [2013.03.08 16:18:56 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2013.01.19 19:07:45 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2013.01.19 19:07:45 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2013.01.19 19:07:45 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2013.01.19 19:07:45 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2010.10.12 20:28:08 | 000,002,027 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\McSiteAdvisor.xml [2011.10.23 18:03:09 | 000,000,158 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\Search the web.src [2013.01.19 19:07:45 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2013.01.19 19:07:45 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.11.02 22:03:55 | 000,444,763 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15275 more lines... O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\5.2.2.3\ips\ipsbho.dll (Symantec Corporation) O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O15 - HKCU\..Trusted Domains: ([]msn in My Computer) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1357406469017 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1C94311B-E53A-4875-BFA2-CDC8B70F1F17}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.07.07 12:59:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (PDBoot.exe) O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.03.26 19:23:09 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2013.03.20 07:12:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\MS\Recent [2013.03.19 21:56:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Desktop\Klavier [2013.03.09 18:22:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Steuer-Sparbuch [2013.03.09 17:20:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Buhl [2013.03.09 17:17:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Buhl Data Service [2013.03.09 17:17:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Buhl Data Service [2013.03.09 17:15:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WISO Steuer-Sparbuch 2013 [2013.03.09 17:11:19 | 000,000,000 | ---D | C] -- C:\Programme\WISO [2013.03.09 17:10:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2013.03.08 16:17:33 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.03.26 19:24:46 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\gmer_2.1.19155.exe [2013.03.26 19:23:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2013.03.26 19:22:26 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\defogger_reenable [2013.03.26 19:07:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.03.26 19:07:43 | 1341,706,240 | -HS- | M] () -- C:\hiberfil.sys [2013.03.25 19:38:15 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.03.20 20:47:26 | 000,640,927 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\Stutz-Flügel.odt [2013.03.20 17:11:03 | 000,002,224 | ---- | M] () -- C:\{3D5ACB3C-9197-41E7-8EEF-79C6862ABAFC} [2013.03.20 17:07:27 | 000,002,672 | ---- | M] () -- C:\{3A81EAD9-C923-4731-89E1-269CCB30A1B5} [2013.03.18 20:56:33 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2013.03.09 19:43:34 | 000,000,537 | ---- | M] () -- C:\WINDOWS\wiso.ini [2013.03.09 17:19:36 | 000,001,700 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2013.lnk [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.03.26 19:24:45 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\gmer_2.1.19155.exe [2013.03.26 19:22:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\defogger_reenable [2013.03.20 17:11:01 | 000,002,224 | ---- | C] () -- C:\{3D5ACB3C-9197-41E7-8EEF-79C6862ABAFC} [2013.03.20 17:07:27 | 000,002,672 | ---- | C] () -- C:\{3A81EAD9-C923-4731-89E1-269CCB30A1B5} [2013.03.19 22:16:22 | 000,640,927 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\Stutz-Flügel.odt [2013.03.09 17:20:33 | 000,000,537 | ---- | C] () -- C:\WINDOWS\wiso.ini [2013.03.09 17:19:36 | 000,001,700 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2013.lnk [2013.02.02 16:50:42 | 000,000,221 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2013.02.02 16:50:42 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2013.02.02 16:49:57 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2013.02.02 16:48:49 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\BRIDF10A.DAT [2013.02.02 16:48:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat [2012.02.24 18:20:24 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.12.28 17:09:52 | 000,000,045 | ---- | C] () -- C:\WINDOWS\tkkg_6.ini [2011.12.28 17:09:28 | 000,182,528 | ---- | C] () -- C:\WINDOWS\PI.EXE [2011.11.23 22:04:09 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2011.11.09 20:17:20 | 002,681,344 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2011.09.27 17:42:28 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\clipdat2.rdf [2011.01.26 18:41:04 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini [2011.01.26 18:35:58 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini [2010.07.07 13:10:10 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2011.01.12 20:17:15 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2011.06.11 18:53:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2013.03.09 17:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2010.09.07 19:41:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.11.03 10:40:49 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.10.01 18:21:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2012.01.29 13:43:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2011.11.30 20:17:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2011.09.05 19:10:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2011.09.29 19:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCSettings [2011.09.07 18:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soft Xpansion [2013.01.05 18:48:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\APP_NAME_NON_STRING [2011.04.08 19:10:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Auslogics [2013.03.09 17:17:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Buhl Data Service [2010.09.07 19:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Canneverbe Limited [2011.08.18 20:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\EurekaLog [2010.09.07 21:07:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\eXPert PDF Editor [2011.01.12 20:24:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Greenshot [2011.12.05 19:04:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\IObit [2012.01.29 13:42:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Lexware [2011.11.23 22:11:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\MAGIX [2012.05.05 19:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Nokia [2010.07.09 21:20:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\OpenOffice.org [2012.05.05 19:52:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\PC Suite [2013.01.08 18:20:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\PDF Architect [2011.11.28 20:55:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\streamWriter [2011.11.09 20:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Tobit [2012.06.18 18:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\wtxpcom [2012.01.06 21:11:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\XnView ========== Purity Check ========== < End of report > OTL logfile created on: 26.03.2013 19:28:59 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\MS\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,25 Gb Total Physical Memory | 0,61 Gb Available Physical Memory | 48,86% Memory free 2,98 Gb Paging File | 2,52 Gb Available in Paging File | 84,54% Paging File free Paging file location(s): C:\pagefile.sys 1920 3840 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,25 Gb Total Space | 19,11 Gb Free Space | 51,31% Space Free | Partition Type: NTFS Drive D: | 34,35 Gb Total Space | 5,02 Gb Free Space | 14,61% Space Free | Partition Type: NTFS Drive E: | 2,92 Gb Total Space | 1,56 Gb Free Space | 53,40% Space Free | Partition Type: FAT32 Computer Name: MS-PC | User Name: MS | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.26 19:23:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe PRC - [2012.11.22 16:58:14 | 001,522,312 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\HelperService.exe PRC - [2012.11.22 16:56:10 | 000,905,864 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\ConversionService.exe PRC - [2012.09.24 23:12:59 | 000,161,768 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe PRC - [2011.04.17 01:45:11 | 000,130,008 | R--- | M] (Symantec Corporation) -- C:\Programme\Norton 360\Engine\5.2.2.3\ccsvchst.exe PRC - [2011.01.05 06:03:00 | 001,570,056 | ---- | M] (Raxco Software, Inc.) -- C:\Programme\PerfectDisk_11_Pro\PDAgent.exe PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2013.03.16 18:57:08 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.08 16:18:55 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.11.22 16:58:14 | 001,522,312 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\HelperService.exe -- (PDF Architect Helper Service) SRV - [2012.11.22 16:56:10 | 000,905,864 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\ConversionService.exe -- (PDF Architect Service) SRV - [2012.09.24 23:12:59 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2012.06.11 10:33:26 | 000,724,376 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2011.04.17 01:45:11 | 000,130,008 | R--- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Norton 360\Engine\5.2.2.3\ccSvcHst.exe -- (N360) SRV - [2011.01.05 06:03:00 | 001,570,056 | ---- | M] (Raxco Software, Inc.) [Auto | Running] -- C:\Programme\PerfectDisk_11_Pro\PDAgent.exe -- (PDAgent) SRV - [2011.01.05 06:02:50 | 001,475,848 | ---- | M] (Raxco Software, Inc.) [On_Demand | Stopped] -- C:\Programme\PerfectDisk_11_Pro\PDEngine.exe -- (PDEngine) SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2010.01.25 08:22:56 | 000,245,760 | ---- | M] (Brother Industries, Ltd.) [On_Demand | Stopped] -- C:\Programme\Browny02\BrYNSvc.exe -- (BrYNSvc) SRV - [2009.07.13 13:51:46 | 000,160,768 | ---- | M] (soft Xpansion) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\soft Xpansion\SXDS10.exe -- (SXDS10) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP150.SYS -- (PROCEXP150) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2013.01.16 18:32:12 | 001,603,824 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20130325.004\NAVEX15.SYS -- (NAVEX15) DRV - [2013.01.16 18:32:10 | 000,093,296 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\VirusDefs\20130325.004\NAVENG.SYS -- (NAVENG) DRV - [2013.01.16 03:51:12 | 000,997,464 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\BASHDefs\20130301.001\BHDrvx86.sys -- (BHDrvx86) DRV - [2012.09.01 01:27:25 | 000,373,728 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\Definitions\IPSDefs\20130322.001\IDSXpx86.sys -- (IDSxpx86) DRV - [2012.08.18 14:42:35 | 000,376,480 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) DRV - [2012.08.18 14:42:35 | 000,106,656 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv) DRV - [2012.06.11 10:33:46 | 000,019,072 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2011.09.29 20:17:01 | 000,126,584 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS -- (SymEvent) DRV - [2011.04.21 02:37:49 | 000,369,784 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symtdi.sys -- (SYMTDI) DRV - [2011.03.31 04:00:09 | 000,516,216 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\srtsp.sys -- (SRTSP) DRV - [2011.03.31 04:00:09 | 000,050,168 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\srtspx.sys -- (SRTSPX) DRV - [2011.03.15 03:31:23 | 000,744,568 | ---- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symefa.sys -- (SymEFA) DRV - [2011.01.27 07:47:10 | 000,340,088 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\symds.sys -- (SymDS) DRV - [2010.11.16 02:45:33 | 000,136,312 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\N360\0502020.003\ironx86.sys -- (SymIRON) DRV - [2010.08.11 07:10:06 | 000,135,184 | ---- | M] (Raxco Software, Inc.) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\DefragFs.sys -- (DefragFS) DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2004.08.03 21:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8139.sys -- (rtl8139) DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401) DRV - [2001.08.17 12:50:26 | 000,731,648 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4.sys -- (nv4) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825 IE - HKCU\..\SearchScopes\{FB909426-9B52-425D-8336-755FB1C8F597}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/search?client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&channel=s&hl=de&source=hp&q=schwarzes+Brett+Bremen&meta=&btnG=Google-Suche" FF - prefs.js..extensions.enabledAddons: %7B9AA46F4F-4DC7-4c06-97AF-5035170634FE%7D:5.2 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}:5.5 FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0 FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: {66E978CD-981F-47DF-AC42-E3CF417C1467}:0.4.3 FF - prefs.js..keyword.URL: "hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - user.js..keyword.URL: "hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\IPSFFPlgn\ [2012.02.11 13:17:21 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_5.0.0.125\coFFPlgn_2011_7_13_2 [2013.03.26 19:08:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2012.10.01 18:25:57 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.01.05 18:47:07 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 16:18:56 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.03.08 16:18:30 | 000,000,000 | ---D | M] [2010.09.07 18:02:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Extensions [2013.02.24 19:40:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions [2011.01.28 18:49:30 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.04.08 21:45:50 | 000,000,000 | ---D | M] (New Tab Homepage) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467} [2012.11.21 20:06:45 | 000,000,000 | ---D | M] (Clippings) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{91aa5abe-9de4-4347-b7b5-322c38dd9271} [2011.10.23 18:03:08 | 000,000,000 | ---D | M] (toolplugin) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\welcome@toolmin.com [2012.11.21 20:06:42 | 000,284,001 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\compatibility@addons.mozilla.org.xpi [2012.11.21 20:06:47 | 000,559,819 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\toolbar@web.de.xpi [2013.02.24 19:40:24 | 000,115,869 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2013.02.16 16:18:46 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2010.03.24 15:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Mozilla\Firefox\Profiles\lf1nr5fj.default\searchplugins\conduit.xml [2013.03.08 16:18:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2013.03.08 16:18:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2013.03.08 16:17:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\distribution\extensions [2013.03.08 16:18:09 | 000,000,000 | ---D | M] (WEB.DE Toolbar) -- C:\Programme\Mozilla Firefox\distribution\extensions\toolbar@web.de [2013.03.08 16:18:56 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2013.01.19 19:07:45 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2013.01.19 19:07:45 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2013.01.19 19:07:45 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2013.01.19 19:07:45 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2010.10.12 20:28:08 | 000,002,027 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\McSiteAdvisor.xml [2011.10.23 18:03:09 | 000,000,158 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\Search the web.src [2013.01.19 19:07:45 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2013.01.19 19:07:45 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.11.02 22:03:55 | 000,444,763 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15275 more lines... O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\5.2.2.3\ips\ipsbho.dll (Symantec Corporation) O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\5.2.2.3\coieplg.dll (Symantec Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O15 - HKCU\..Trusted Domains: ([]msn in My Computer) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1357406469017 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1C94311B-E53A-4875-BFA2-CDC8B70F1F17}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.07.07 12:59:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (PDBoot.exe) O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.03.26 19:23:09 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2013.03.20 07:12:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\MS\Recent [2013.03.19 21:56:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Desktop\Klavier [2013.03.09 18:22:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Eigene Dateien\Steuer-Sparbuch [2013.03.09 17:20:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Buhl [2013.03.09 17:17:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Buhl Data Service [2013.03.09 17:17:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\Buhl Data Service [2013.03.09 17:15:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WISO Steuer-Sparbuch 2013 [2013.03.09 17:11:19 | 000,000,000 | ---D | C] -- C:\Programme\WISO [2013.03.09 17:10:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2013.03.08 16:17:33 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.03.26 19:24:46 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\gmer_2.1.19155.exe [2013.03.26 19:23:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MS\Desktop\OTL.exe [2013.03.26 19:22:26 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\defogger_reenable [2013.03.26 19:07:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.03.26 19:07:43 | 1341,706,240 | -HS- | M] () -- C:\hiberfil.sys [2013.03.25 19:38:15 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.03.20 20:47:26 | 000,640,927 | ---- | M] () -- C:\Dokumente und Einstellungen\MS\Desktop\Stutz-Flügel.odt [2013.03.20 17:11:03 | 000,002,224 | ---- | M] () -- C:\{3D5ACB3C-9197-41E7-8EEF-79C6862ABAFC} [2013.03.20 17:07:27 | 000,002,672 | ---- | M] () -- C:\{3A81EAD9-C923-4731-89E1-269CCB30A1B5} [2013.03.18 20:56:33 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2013.03.09 19:43:34 | 000,000,537 | ---- | M] () -- C:\WINDOWS\wiso.ini [2013.03.09 17:19:36 | 000,001,700 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2013.lnk [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.03.26 19:24:45 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\gmer_2.1.19155.exe [2013.03.26 19:22:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\defogger_reenable [2013.03.20 17:11:01 | 000,002,224 | ---- | C] () -- C:\{3D5ACB3C-9197-41E7-8EEF-79C6862ABAFC} [2013.03.20 17:07:27 | 000,002,672 | ---- | C] () -- C:\{3A81EAD9-C923-4731-89E1-269CCB30A1B5} [2013.03.19 22:16:22 | 000,640,927 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Desktop\Stutz-Flügel.odt [2013.03.09 17:20:33 | 000,000,537 | ---- | C] () -- C:\WINDOWS\wiso.ini [2013.03.09 17:19:36 | 000,001,700 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2013.lnk [2013.02.02 16:50:42 | 000,000,221 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2013.02.02 16:50:42 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2013.02.02 16:49:57 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2013.02.02 16:48:49 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\BRIDF10A.DAT [2013.02.02 16:48:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat [2012.02.24 18:20:24 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.12.28 17:09:52 | 000,000,045 | ---- | C] () -- C:\WINDOWS\tkkg_6.ini [2011.12.28 17:09:28 | 000,182,528 | ---- | C] () -- C:\WINDOWS\PI.EXE [2011.11.23 22:04:09 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2011.11.09 20:17:20 | 002,681,344 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2011.09.27 17:42:28 | 000,000,457 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\clipdat2.rdf [2011.01.26 18:41:04 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini [2011.01.26 18:35:58 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini [2010.07.07 13:10:10 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\MS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2011.01.12 20:17:15 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2011.06.11 18:53:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2013.03.09 17:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2010.09.07 19:41:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.11.03 10:40:49 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2012.10.01 18:21:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2012.01.29 13:43:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2011.11.30 20:17:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2011.09.05 19:10:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2011.09.29 19:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCSettings [2011.09.07 18:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\soft Xpansion [2013.01.05 18:48:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\APP_NAME_NON_STRING [2011.04.08 19:10:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Auslogics [2013.03.09 17:17:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Buhl Data Service [2010.09.07 19:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Canneverbe Limited [2011.08.18 20:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\EurekaLog [2010.09.07 21:07:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\eXPert PDF Editor [2011.01.12 20:24:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Greenshot [2011.12.05 19:04:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\IObit [2012.01.29 13:42:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Lexware [2011.11.23 22:11:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\MAGIX [2012.05.05 19:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Nokia [2010.07.09 21:20:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\OpenOffice.org [2012.05.05 19:52:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\PC Suite [2013.01.08 18:20:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\PDF Architect [2011.11.28 20:55:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\streamWriter [2011.11.09 20:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\Tobit [2012.06.18 18:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\wtxpcom [2012.01.06 21:11:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MS\Anwendungsdaten\XnView ========== Purity Check ========== < End of report > GMER 2.1.19155 - hxxp://www.gmer.net Rootkit scan 2013-03-26 22:51:29 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380020A rev.3.39 74,53GB Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\MS\LOKALE~1\Temp\pxtdypoc.sys ---- System - GMER 2.1 ---- SSDT 894D4A18 ZwAlertResumeThread SSDT 894D49E0 ZwAlertThread SSDT 894431F0 ZwAllocateVirtualMemory SSDT 89455A20 ZwAssignProcessToJobObject SSDT 892AA948 ZwConnectPort SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwCreateKey [0xB8824710] SSDT 8929D480 ZwCreateMutant SSDT 894B0688 ZwCreateSymbolicLinkObject SSDT 89737CF0 ZwCreateThread SSDT 894534C0 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteKey [0xB8824990] SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwDeleteValueKey [0xB8824EF0] SSDT 892E61F0 ZwDuplicateObject SSDT 89213A30 ZwFreeVirtualMemory SSDT 894C8240 ZwImpersonateAnonymousToken SSDT 894A6600 ZwImpersonateThread SSDT 89404B98 ZwLoadDriver SSDT 894D0130 ZwMapViewOfSection SSDT 8949C1C0 ZwOpenEvent SSDT 892F54D8 ZwOpenProcess SSDT 89451370 ZwOpenProcessToken SSDT 89482C20 ZwOpenSection SSDT 894761F0 ZwOpenThread SSDT 894B01A0 ZwProtectVirtualMemory SSDT 894D2BC8 ZwResumeThread SSDT 8944F148 ZwSetContextThread SSDT 893D0240 ZwSetInformationProcess SSDT 894556C0 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS ZwSetValueKey [0xB8825140] SSDT 894788A0 ZwSuspendProcess SSDT 89721160 ZwSuspendThread SSDT 8945B190 ZwTerminateProcess SSDT 89401DE0 ZwTerminateThread SSDT 89404E08 ZwUnmapViewOfSection SSDT 890E71F8 ZwWriteVirtualMemory ---- Kernel code sections - GMER 2.1 ---- ? SYMDS.SYS Das System kann die angegebene Datei nicht finden. ! ? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 2.1 ---- AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys ---- EOF - GMER 2.1 ---- |
Hallo und :hallo: Hast du noch weitere Logs (mit Funden)? Ist dein Virenscanner jemals fündig geworden? Malwarebytes und/oder andere Virenscanner? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Cosinus, besten Dank für die antwort. Ich habe Malwarebytes und OTL und GMER laufen lassen. Ich hoffe ich habe die LOG-files nun richtig eingefügt. Grüße aus dem Norden Code: OTL Logfile: Code: OTL logfile created on: 26.03.2013 19:28:59 - Run 1[/CODE] OTL Logfile: Code: OTL Extras logfile created on: 26.03.2013 19:28:59 - Run 1[/CODE] Code: |
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten MBAR (Malwarebytes Anti-Rootkit) Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers aswMBR Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Hallo Cosinus, Malwarebytes Anti-Rootkit ist problemlos durchgelaufen. Die anderen beiden Programme starte ich am Mittwoch. Code: alle 3 Programme sind ohne Probleme gestartet und durchgelaufen. Kein Programm hat etwas gefunden. Anbei alle 3 Log files. Grüße Code: Code: Code: |
Zitat:
|
Hallo Cosinus, besten Dank für Deine Aufmerksamkeit. Mit den richtigen Einstellungen wurden auch 4 Threats gefunden. Alle 4 waren auf SKIP. Ich habe CONTINUE gedruckt. Einen erneuten Start SCAN habe ich noch nicht gemacht. Ich warte auf Anweisungen von dir. Besten Dank. Grüße Code: |
Zitat:
Um das zu tun musst du den TDSS-Killer neu starten und einen neuen Scan machen. Wenn du danach die Ergebnisse siehst, stellst du bitte diesen Eintrag auf CURE bzw. DELETE (je nachdem was dir angeboten wird, alle anderen bitte auf SKIP lassen! ) und klickst dann unten rechts auf continue Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten. |
Hallo Cosinus, sind sind es nur noch 3 threats. Vorgang DELETE ging ohne Probleme. Der anschließende SCAN war auch problemlos. Warte auf weitere Anweisung. Grüße Code: |
Dann bitte jetzt Combofix ausführen: Scan mit Combofix
|
Hallo Cosinus, der Scan von COMBOFIX ist problemlos durchgelaufen. Die Konsole musste neu geladen werden. Eine logfile wurde erstellt. Bevor ich aber wieder das Trojaner-board aufrufen wollte, habe ich wieder meine Antivirensoftware aktiviert. Beim Aktivieren von Malwarebytes hat sich der Rechner aufgehängt. Einen Hardware Reset musste ich machen. Booten war OK. Die Fehlermeldung kam nicht. Die Malwarebytes konnte ich problemlos aktivieren. Firefox startet weiterhin verspätet. Am Anfang des logfiles steht "FW: McAfee Firewall *Enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}" McAfee Firewall habe ich aber nicht mehr! HINWEIS: !!! Ich bin am Sonnabend und Sonntag NICHT im Netz! Erst wieder am Sonntagabend !!!! Ein schönes Wochenende wünsche ich Dir. Grüße Anbei die logfile Code: Combofix Logfile: |
JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Im Anschluss: adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Danach eine Kontrolle mit OTL bitte:
|
Hallo Cosinus, ich hoffe, Du hattest auch ein schönes Wochenende verbracht. JRT lief problemlos durch. Anbei der logfile. Grüße Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Was ist mit den anderen Logs? |
Hallo Cosinus, war ein Denkfehler von mir. adwCleaner lief problemlos. Nur 1x Neustart. OLT lief auch problemlos. Anbei alle 4 logfiles. Grüße Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~AdwCleaner Logfile: Code: # AdwCleaner v2.200 - Datei am 08/04/2013 um 18:08:13 erstellt[/CODE] OTL Logfile: Code: OTL logfile created on: 08.04.2013 18:30:17 - Run 2[/CODE] OTL Logfile: Code: OTL Extras logfile created on: 08.04.2013 18:30:17 - Run 2[/CODE] |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hallo Cosinus, Beide Programme sind problemlos durchgelaufen. Eset-logfile ist nicht bebildert. Anbei die logfiles. Grüße Code: Malwarebytes Anti-Malware (Test) 1.70.0.1100Code: ESETSmartInstaller@High as downloader log: |
Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo Cosinus, Kleines Feedback: 1. Der Bootvorgang dauert länger. Besonders der schwarze Bildschirm zwischen Windows-Logo und Desktop-Anzeige. 2. Nach der vollständigen Desktop-Anzeige rattert weiterhin meine Festplatte. Programme starten weiterhin verzögert, aber nicht mehr so lange. Die Antiviren, Malware etc Programme, die Du mir genannt hattest, habe ich NICHT erneut gestartet. Jedoch wusste ich noch, dass ich beim TDSS-Killer anfänglich 4 Threats hatte, 1 threat wurde behoben. Ich habe den Killer erneut gestartet. 3 Threats wurde gefunden. Anbei der log-file. Grüße Code: 20:06:36.0734 0404 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42 |
Das sind IMHO legitime Einträge. Deswegen ist auch der tdsskiller nichts für Laien, der scannt sehr aggressiv Wieviel länger dauert das Booten denn jetzt? War das zufällig nach GMER? |
Hallo Cosinus, ich habe mal die Zeiten gestoppt: 1. Schalter POWER ON gedrückt. (Alle weiteren Zeiten beziehen sich auf Punkt 1.) 2. nach 7 sec: Mitteilung: Wählen Sie... Die Mitteilung ist 3 sec sichtbar. Diese Mitteilung ist neu. Bei irgendeinem Programm hatte ich gelesen, dass diese Mitteilung beim Ausführen des Programms erscheinen wird und dass das OK sei. 3. nach 15 sec: Logo XP mit Laufleiste unten 4. nach 70 sec: Monitor schwarz 5. nach 100 sec: Willkommen... 6. nach 105 sec: Desktop-Anzeige, Festplatte rattert. Ab und an erscheint neben der Maus die Sanduhr. 7. nach 180 sec: Zugriff auf Disketten-LW (Hörbares Geräusch), Lampe leuchtet für 4 sec. 8. nach 240 sec: Start Firefox 9. nach 330 sec: Fifrefox fertig. Firefox braucht etwa 1,5 min um zu starten Ich weiß nicht, welche genauen Zeiten ich vor ca 1 Jahr hatte. Punkt 4. -5.: Die Zeit wo der Monitor schwarz ist, war früher schneller ca. 15-20 sec. Punkt 6.: Früher war die Desktop-Anzeige sichtbar und dann ratterte die Festplatte nicht und die Sanduhr war auch nicht da. Punkt 7: Ist mir jetzt erst bewuss aufgefallen durch das Geräusch. Punkt 8. - 9. Früher brauchte Firefox keine 1,5 Minuten um zu starten. Nun bin ich mal gespannt auf Deine Antwort. Grüße Hallo Cosinus, Norton360 hat etwas gefunden. Viele Grüße Code: Scanstatistiken: |
Geht mal bitte in den Gerätemanager (Start, Ausführen, devmgmt.msc eintippen => ok ) Navigier dort zu IDE/ATA/ATAPI Controller, Doppelklick auf Primärer Kanal, dort >Reiter Erweiteret Einstellungen - was genau steht auf dem Bild? Am besten einen Screenshot von machen |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Cosinus, heute morgen um 1:30 und heute nachmittag hatte ich ein seltsames Erlebnis. 1. Heute Nacht hatte ich den Firefox neu installiert. Danach googelte ich nach Trojaner board. Beim Doppel-klick auf den angezeigten Link erschien NICHT die Trojaner-board Seite, sondern irgendetwas anderes. Ich hatte die Seite sofort geschlossen. Beim zweiten Aufruf ging es gut. 2. Heute Nachmittag googelte ich erneut nach Trojaner board (Auf einem anderen Rechner!). Beim Doppel-klick auf den angezeigten Link erschien NICHT die Trojaner-board Seite, sondern die Seite wurde geblockt! Beim zweiten Aufruf ging es gut. Die Adresse ist hier: hxxp://filestore72.info/download.php?id=4225a0d8 Muss ich mir Gedanken machen, weil die Seite auf meinem Bildschirm geöffnet wurde? Hier nun mein Screen shot. Viele Grüße |
Jepp, meine Vermutung hat sich offensichtlich bestätigt, deine Platte läuft im äußerst langsamen PIO-Modus...ein paar andere Helfer hier haben das vor ein paar Tagen festgestellt, dass GMER das verursacht. Probieren wir das mal: HDD-Controller-Treiber zurücksetzen nach Scan mit GMER (Originalwebseite und mit freundlicher Genehmigung von Hans-Georg Michna)
Mach auch bitte einen neuen Schreenshot des primären Kanals |
Liste der Anhänge anzeigen (Anzahl: 2) Hallo Cosinus, das Programm lief problemlos. Neustart war super! Nach ca. 1 min erschien der Desktop. Der Zugriff auf das Disketten-LW ist weiterhin da. (nach ca. 100 sec) Programme starten weiterhin verzögert. Anbei Primär und Sekundär Kanal. Ich hatte Dir von der Umleitung auf eine unbekannte Anzeige geschrieben. Ist das für meinen Rechner bedrohlich. Schad-SW vorhanden? Grüße |
Welche Umleitung genau meinst du? Der Controller arbeitet nun im DMA-Modus und sollte nun wesentlich schneller als vorher sein. |
Hallo Cosinus, mir ist schon 2x passiert, dass ich, wenn ich trojaner-board.de aufrufe, auf eine andere Seite (hxxp://filestore72.info/download.php?id=4225a0d8) umgeleitet worden bin. Ist das für meinen Rechner bedrohlich? Schad-SW vorhanden? Der Boot-Vorgang ist OK. Der Zugriff auf das Disketten-LW ist weiterhin da. Programme starten weiterhin verzögert. Hast Du noch irgendwelche Programme oder Verbesserungsvorschläge? Grüße |
Mach bitte neue OTL-Logs |
Guten Abend Cosinus, OTL lief problemlos durch. Grüße OTL Logfile: Code: OTL logfile created on: 16.04.2013 19:40:08 - Run 4[/CODE] Hallo Cosinus, habe noch vergessen zu sagen, dass nur 1 LOG-file erstellt worden ist. |
Log ist unauffällig. Wo genau ist der Zugriff auf das Diskettenlaufwerk ein Problem? Was genau vertseht sich unter "Programme starten verzögert"? |
Hallo Cosinus, der Zugriff auf das LW ist kein großes Problem. Es ist mir nur aufgefallen, da vor ca 1,5 Jahren dieser Zugriff noch nicht war. "Programme starten verzögert" heißt, wenn der Desktop vollständig erscheint und ich danach ein Programm starte, dauert es ca. 1,5 min bis das Programm vollständig geladen ist. Die FP rattert hörbar und der Leerlaufprozess zeigt eine Auslastung von ca. 95%. Was mich verwundert: Leerlaufprozess bei ca. 95% ==> der Rechner hat nichts zu tun. Trotzem starten die Programme nicht sofort. Irgendetwas raubt mir die Rechenleistung, denn die FP rattert. Nach ca 30 min normalisiert sich das Ganze. Programme starten normal (z.B. IE ist nach 13 sec bereit). Grüße |
Das kann bei einem älteren Rechner durchaus normal sein. Zudem hast du rel. wenig Arbeitsspeicher. Ich weiß nicht wie das heute aussieht, aber die Software von Norton hat damal richtig viel Resourcen verbraten.... Seit wann hast du Norton 360 drauf und warum? |
Hallo Cosinus, Norton 360 ist seit ca. 2 Jahren auf dem Rechner. Dies ist eine Mehrfachlizens und war dafür sehr preiswert. Die 2. Lizens läuft auf einem Laptop und da gibt es keine Probleme. (Laptop ist jünger als der Rechner und läuft mit vista). Grüße |
Deinstallier trotzdem Norton mal testweise komplett, bei Bedarf kann es ja wieder installiert werden Berichte dann ob das System (spürbar) schneller läuft. |
Hallo Cosinus, Norton habe ich deinstalliert. System läuft schneller. Kein zugriff auf das LW. FP rattert auch nicht mehr. Problem gelöst? Grüße |
Ja, wir sollten durch sein. Kannst ja nochmal einen schnellen Kontrollscan mit MBAM machen |
Hallo Cosinus, anbei der log-file von mbam. Ich habe mal ne Frage zur AV-Software: Wenn eine AV-Software im HINTERGRUND die Datenbank aktuaklisiert, ist dann dieser Prozess z.B. im Process Explorer sichtbar? Diesen Process habe ich nicht gestartet, sondern das AV-Programm macht das von selbst. Grüße Code: Malwarebytes Anti-Malware 1.75.0.1300 |
Zitat:
Läuft deine Kiste nun wieder rund? |
Hallo Cosinus, ich habe als AV-Programm AVAST free probehalber installiert. Bootvorgang ist OK. Wenn der Desktop vollständig erscheint, rattert die FP genauso wie vorher. Auch fast genauso lang. Dann hört das Rattern auf und dann erscheint die Mitteilung, dass AVAST die Datenbank aktualisiert hat. Im Process Explorer wird mir dieser Datenbankabgleich process nicht angezeigt, stattdessen ist der Leerlaufprozess bei ca 95%. Ich vermute, dass dieser Effekt auch bei Norton aufgetreten ist. Ich bin froh, dass keine Schadsoftware sich auf dem Rechner befindet. Mit dem Datenbankabgleich nach dem Booten kann ich leben. Die Kiste läuft wieder rund. Wie muss ich die installierten SCAN-Programme deinstallieren. Vielen Dank für Deine Infos und Unterstützung. Ich werde mich auch mit einer Spende bedanken. Viele Grüße |
Dann wären wir durch! :daumenhoc Evtl. hilft das hier noch, um deine Kiste etwas runder laufen zu lassen => http://www.trojaner-board.de/71631-p...tml#post425616 Falls du noch Lob oder Kritik loswerden möchtest => http://www.trojaner-board.de/lob-kritik-wuensche/ Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Cosinus, alle Tipps und Tricks habe ich befolgt. Deinstalltion war problemlos. Der Thread kann geschlossen werden. Nochmals vielen Dank für die Zeit und Hilfe. Viele Grüße von der Nordsee |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board
