Trojaner-Board - FireFox/GoogleChrome - Falsche Weiterleitung bei Googlesuche

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - FireFox/GoogleChrome - Falsche Weiterleitung bei Googlesuche (https://www.trojaner-board.de/93674-firefox-googlechrome-falsche-weiterleitung-googlesuche.html)

FireFox/GoogleChrome - Falsche Weiterleitung bei Googlesuche

Hi,

wie schon einige hier gepostet haben, habe ich das gleiche Problem:
Wenn ich mit dem Firefox oder mit Googlechrome bei Google etwas suche, werde ich nach kurzer Ladezeit auf andere, von Firefox und Googlechrome als unsicher gekennzeichnete, Seiten weitergeleitet. Der Internetexplorer funktioniert ohne Probleme.
Ich wurde auch vorher gefragt, ob ich bestimmte Datein des Firefox mit der Firewall blocken wolle, da ich haber dachte: Firefox darf aufs Internet zugreifen, habe ich sie zugelassen. Beim Internetexplorer habe ich dann aber abgelehnt, nachdem mir die Frage ein 2. mal komisch erschien.

Mit Spybot Search and Destroy habe ich daraufhin Keylogger gefunden und einen Hijack, die ich entfernt habe.
Mit Avira habe ich keine Infizierten Dateien auf meinem Rechner gefunden, doch mittlerweile zeigt es mir immer folgendes an:

Zitat:

In der Datei 'C:\WINDOWS\Temp\_avast5_\unp16530590.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Dabei wird dieser "TR/Crypt.XPACK.Gen" [trojan] in verschiedenen .tmp-Datein von Avast angezeigt. Wurde nie nach "Zugriff erlaubt" oder sowas gefragt. Ist von alleine der Fall.

Zitat:

In der Datei 'C:\WINDOWS\Temp\_avast5_\unp187634920.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Banload.bcwb' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Wird auch in mehreren .tmp-Dateien gefunden. Auch hier wurde von alleine der Zugriff erlaubt.

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchOleHelp1.zip'
wurde ein Virus oder unerwünschtes Programm 'GEN/PwdZIP' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Naja, da ich dachte: Kann nicht sein, dass ich nichts habe, habe ich mir nochmal zur Sicherheit Avast runtergeladen und habe auch mit 2 Scans prompt 3 infizierte Datein gefunden und gelöscht.
Dies waren:

A002280.exe

und

yhawn.exe

Beide als Win32:Rootkit-gen bezeichnet.
Dabei wurde A002280 und yhawn.exe im ersten Scan gefunden und gelöscht und beim zweiten Scan dann nur nochmal A00280.exe

Mein hijickthis.file:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:35:36, on 11.12.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Alwil Software\Avast5\avastUI.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\OpenOffice.org 3\program\soffice.exe

C:\Programme\OpenOffice.org 3\program\soffice.bin

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe

C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\HiJackThis204.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Programme\EWxafeLE\hootmfeu.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast5] "C:\Programme\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.2\ICQ.exe" silent loginmode=4

O4 - HKCU\..\Run: [{30D883A3-FCA6-82F7-54A7-8C059205FD46}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{46FC929E-CDE2-4DE4-804F-D146AA5B064D}: NameServer = 195.50.140.118 195.50.140.180

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 6503 bytes

--- --- ---

Vielen Dank schonmal für das Durchlesen und die Hilfe! ;)

mfg,
Hunter442

deinstaliere avira oder avast, beide gehen nicht auf dem selben system. teile mir mit welches du runter gehauen hast
deinstaliere spybot es stört die reinigung.

1. immer genaue beschreibungen.
2. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
3. reiche alle evtl vorhandenen scan logs nach. ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

So, ich habe jetzt Avira und Spybot deinstalliert ;)

Und hier sind die beiden Logs von OTL:

Extras.txt:

OTL Logfile:

Code:

OTL Extras logfile created on: 12.12.2010 21:39:12 - Run 2

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

503,00 Mb Total Physical Memory | 72,00 Mb Available Physical Memory | 14,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free

Paging file location(s): C:\pagefile.sys 1908 3816 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37,27 Gb Total Space | 20,64 Gb Free Space | 55,38% Space Free | Partition Type: NTFS

 

Computer Name: VERKAUF2 | User Name: Verkauf | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)

 

[HKEY_USERS\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Classes\<extension>]

.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- File not found

"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)

"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu

"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18

"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2

"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver

"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU

"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch

"{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}" = HP Photosmart, Officejet and Deskjet 7.0.A

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C3592426-531E-4110-911D-BFECE2CE284C}" = osu!

"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime

"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support

"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes

"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"avast5" = avast! Free Antivirus

"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20

"FileZilla Client" = FileZilla Client 3.3.4

"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8

"Google Chrome" = Google Chrome

"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)

"PROSet" = Intel(R) PRO Network Adapters and Drivers

"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2

"Uninstall_is1" = Uninstall 1.0.0.1

"Webocton - Scriptly_is1" = Webocton - Scriptly 0.8.95.5

"WIC" = Windows Imaging Component

"WinGimp-2.0_is1" = GIMP 2.6.11

"WinRAR archiver" = WinRAR

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

"yWriter5_is1" = yWriter5

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 22.10.2010 21:01:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 22.10.2010 21:01:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 24.10.2010 06:53:29 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 29.10.2010 08:55:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 29.10.2010 16:42:25 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 31.10.2010 15:44:56 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 01.11.2010 17:56:42 | Computer Name = VERKAUF2 | Source = Bonjour Service | ID = 100

Description = 244: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde

 vom Remotehost geschlossen.)

 

Error - 02.11.2010 06:51:31 | Computer Name = VERKAUF2 | Source = ESENT | ID = 490

Description = svchost (1056) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"

 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der

 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet

 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

 

Error - 03.11.2010 19:20:50 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3159, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 04.11.2010 10:48:48 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3159, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 09.12.2010 15:35:22 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10010

Description = Der Server "{D61A27C6-8F53-11D0-BFA0-00A024151983}" konnte innerhalb

 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

 

Error - 09.12.2010 18:08:44 | Computer Name = VERKAUF2 | Source = W32Time | ID = 39452689

Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten

 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15

 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.

 (0x80072751)

 

Error - 09.12.2010 18:08:44 | Computer Name = VERKAUF2 | Source = W32Time | ID = 39452701

Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren

 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der

 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle

 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.

 

Error - 09.12.2010 18:08:46 | Computer Name = VERKAUF2 | Source = W32Time | ID = 39452689

Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten

 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15

 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.

 (0x80072751)

 

Error - 09.12.2010 18:08:46 | Computer Name = VERKAUF2 | Source = W32Time | ID = 39452701

Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren

 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der

 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle

 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.

 

Error - 10.12.2010 08:24:54 | Computer Name = VERKAUF2 | Source = Service Control Manager | ID = 7034

Description = Dienst "DNS-Client" wurde unerwartet beendet. Dies ist bereits 1 Mal

 passiert.

 

Error - 10.12.2010 08:24:54 | Computer Name = VERKAUF2 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. 

Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 

Millisekunden durchgeführt: Starten Sie den Computer neu..

 

Error - 12.12.2010 15:31:23 | Computer Name = VERKAUF2 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

Error - 12.12.2010 15:38:20 | Computer Name = VERKAUF2 | Source = Service Control Manager | ID = 7011

Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung

 von Dienst AntiVirService.

 

Error - 12.12.2010 15:40:13 | Computer Name = VERKAUF2 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

 

< End of report >

--- --- ---

OTL.txt:

OTL Logfile:

Code:

OTL logfile created on: 12.12.2010 21:39:12 - Run 2

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

503,00 Mb Total Physical Memory | 72,00 Mb Available Physical Memory | 14,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free

Paging file location(s): C:\pagefile.sys 1908 3816 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37,27 Gb Total Space | 20,64 Gb Free Space | 55,38% Space Free | Partition Type: NTFS

 

Computer Name: VERKAUF2 | User Name: Verkauf | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)

PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)

DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)

DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)

DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)

DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)

DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)

DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {64161300-e22b-11db-8314-0800200c9a66}:0.9.5.6

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2

FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.48.3

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1

FF - prefs.js..network.proxy.type: 0

 

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 22:28:56 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 22:28:57 | 000,000,000 | ---D | M]

 

[2010.08.02 08:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Extensions

[2010.12.12 20:39:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions

[2010.08.13 09:29:06 | 000,000,000 | ---D | M] (Speed Dial) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{64161300-e22b-11db-8314-0800200c9a66}

[2010.08.10 23:53:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.08.19 10:17:33 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

[2010.08.02 09:20:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}

[2010.12.09 23:31:45 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 11:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003..\Run: [{30D883A3-FCA6-82F7-54A7-8C059205FD46}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe (ENJsoft corp.)

O4 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003..\Run: [ICQ] C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O4 - Startup: C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()

O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Programme\EWxafeLE\hootmfeu.exe) - C:\Programme\EWxafeLE\hootmfeu.exe File not found

O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010.03.25 14:11:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: 6to4 -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

 

SafeBootMin: Base - Driver Group

SafeBootMin: Boot Bus Extender - Driver Group

SafeBootMin: Boot file system - Driver Group

SafeBootMin: File system - Driver Group

SafeBootMin: Filter - Driver Group

SafeBootMin: PCI Configuration - Driver Group

SafeBootMin: PNP Filter - Driver Group

SafeBootMin: Primary disk - Driver Group

SafeBootMin: SCSI Class - Driver Group

SafeBootMin: sermouse.sys - Driver

SafeBootMin: System Bus Extender - Driver Group

SafeBootMin: vga.sys - Driver

SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

 

SafeBootNet: Base - Driver Group

SafeBootNet: Boot Bus Extender - Driver Group

SafeBootNet: Boot file system - Driver Group

SafeBootNet: File system - Driver Group

SafeBootNet: Filter - Driver Group

SafeBootNet: NDIS Wrapper - Driver Group

SafeBootNet: NetBIOSGroup - Driver Group

SafeBootNet: NetDDEGroup - Driver Group

SafeBootNet: Network - Driver Group

SafeBootNet: NetworkProvider - Driver Group

SafeBootNet: PCI Configuration - Driver Group

SafeBootNet: PNP Filter - Driver Group

SafeBootNet: PNP_TDI - Driver Group

SafeBootNet: Primary disk - Driver Group

SafeBootNet: SCSI Class - Driver Group

SafeBootNet: sermouse.sys - Driver

SafeBootNet: Streams Drivers - Driver Group

SafeBootNet: System Bus Extender - Driver Group

SafeBootNet: TDI - Driver Group

SafeBootNet: vga.sys - Driver

SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net

SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient

SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService

SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans

SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung

ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 

ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (53212381349675008)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.12.10 20:00:33 | 000,000,000 | ---D | C] -- C:\Programme\windows

[2010.12.10 14:32:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:27:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:27:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\Temp

[2010.12.10 14:26:44 | 000,000,000 | ---D | C] -- C:\Programme\Google

[2010.12.10 14:26:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:26:21 | 000,017,744 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys

[2010.12.10 14:26:20 | 000,165,584 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys

[2010.12.10 14:26:19 | 000,023,376 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys

[2010.12.10 14:26:17 | 000,046,672 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys

[2010.12.10 14:26:15 | 000,100,176 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys

[2010.12.10 14:26:15 | 000,094,544 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys

[2010.12.10 14:26:14 | 000,028,880 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys

[2010.12.10 13:57:06 | 000,038,848 | ---- | C] (AVAST Software) -- C:\WINDOWS\avastSS.scr

[2010.12.10 13:57:04 | 000,167,592 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe

[2010.12.10 13:56:44 | 000,000,000 | ---D | C] -- C:\Programme\Alwil Software

[2010.12.10 13:56:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software

[2010.12.09 23:59:17 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy

[2010.12.09 23:59:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

[2010.12.09 17:34:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

[2010.12.09 17:14:20 | 000,000,000 | ---D | C] -- C:\Programme\EWxafeLE

[2010.12.09 16:10:20 | 000,000,000 | ---D | C] -- C:\Programme\tmp

[2010.12.06 23:56:42 | 000,000,000 | ---D | C] -- C:\Programme\iPod

[2010.12.06 23:56:11 | 000,000,000 | ---D | C] -- C:\Programme\iTunes

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.12.12 21:37:04 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.12.12 21:29:04 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

[2010.12.12 21:28:38 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.12.12 21:28:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.12.10 14:35:29 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2010.12.10 14:26:22 | 000,001,664 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk

[2010.12.10 14:26:15 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT

[2010.12.10 02:27:08 | 000,000,245 | -HS- | M] () -- C:\boot.ini

[2010.12.09 23:31:48 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2010.12.08 23:28:24 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\avdrn.dat

[2010.12.08 21:26:05 | 000,004,608 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.12.08 18:01:54 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.12.06 23:58:11 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk

[2010.12.06 23:42:03 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.11.30 00:24:00 | 000,020,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\.recently-used.xbel

[2010.11.28 19:35:09 | 000,000,100 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\.gtk-bookmarks

[2010.11.19 14:41:56 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.11.19 14:41:56 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.11.19 14:41:56 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.11.19 14:41:55 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.12.10 14:35:29 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2010.12.10 14:27:25 | 000,001,090 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.12.10 14:27:24 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.12.10 14:26:22 | 000,001,664 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk

[2010.12.09 23:31:48 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2010.12.08 23:28:19 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\abpzlw.dat

[2010.12.08 23:28:12 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\avdrn.dat

[2010.12.06 23:58:11 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk

[2010.11.30 00:24:00 | 000,020,873 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\.recently-used.xbel

[2010.11.28 19:35:09 | 000,000,100 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\.gtk-bookmarks

[2010.09.19 17:52:35 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll

[2010.09.19 17:48:08 | 000,001,262 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

[2010.09.06 17:20:59 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.03.25 15:16:21 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll

[2010.03.25 13:59:35 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2004.08.04 11:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

[2004.08.04 11:00:00 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\kb.dll

[2001.07.07 02:00:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI

 
 ========== LOP Check ==========

 

[2010.12.10 13:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software

[2010.08.03 21:10:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2010.09.06 00:01:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Downloaded Installations

[2010.08.10 23:53:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.12.01 23:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\FileZilla

[2010.11.28 19:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\gtk-2.0

[2010.12.12 21:33:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\ICQ

[2010.10.16 23:05:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Miranda

[2010.03.25 15:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\OpenOffice.org

[2010.08.08 15:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Spacejock Software

[2010.08.18 19:37:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Webocton - Scriptly

[2010.12.12 21:29:04 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %ALLUSERSPROFILE%\Application Data\*. >

 
 < %ALLUSERSPROFILE%\Application Data\*.exe /s >

 
 < %APPDATA%\*. >

[2010.08.04 11:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Adobe

[2010.08.04 08:12:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Apple Computer

[2010.09.06 00:01:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Downloaded Installations

[2010.08.10 23:53:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.12.01 23:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\FileZilla

[2010.11.28 19:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\gtk-2.0

[2010.12.12 21:33:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\ICQ

[2010.03.25 14:36:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Identities

[2010.12.11 17:09:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Macromedia

[2010.08.04 11:30:50 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Microsoft

[2010.10.16 23:05:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Miranda

[2010.08.02 08:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla

[2010.03.25 15:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\OpenOffice.org

[2010.08.08 15:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Spacejock Software

[2010.03.25 15:36:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Sun

[2010.11.14 01:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\teamspeak2

[2010.08.18 19:37:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Webocton - Scriptly

[2010.08.04 00:29:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\WinRAR

 
 < %APPDATA%\*.exe /s >

 
 < %SYSTEMDRIVE%\*.exe >

 

 
 < MD5 for: AGP440.SYS  >

[2004.08.04 11:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\agp440.sys

 
 < MD5 for: ATAPI.SYS  >

[2004.08.04 11:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys

[2004.08.04 11:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0041\DriverFiles\i386\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0043\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\eventlog.dll

[2004.08.04 11:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll

[2004.08.04 11:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll

 
 < MD5 for: EXPLORER.EXE  >

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe

[2004.08.04 11:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=D0D1806200BD0CAC9AA134AC2128E80D -- C:\WINDOWS\explorer.exe

[2004.08.04 11:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=D0D1806200BD0CAC9AA134AC2128E80D -- C:\WINDOWS\system32\dllcache\explorer.exe

 
 < MD5 for: IASTOR.SYS  >

[2007.07.12 22:35:02 | 000,305,176 | ---- | M] (Intel Corporation) MD5=2358C53F30CB9DCD1D3843C4E2F299B2 -- C:\WINDOWS\dell\iastor\iastor.sys

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\netlogon.dll

[2004.08.04 11:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtUninstallKB968389$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$NtUninstallKB975467$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\system32\dllcache\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\system32\netlogon.dll

 
 < MD5 for: NVATA.SYS  >

[2006.10.18 23:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\dell\nvraid\nvata.sys

 
 < MD5 for: NVATABUS.SYS  >

[2006.10.18 22:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\dell\nvraid\NvAtaBus.sys

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\scecli.dll

[2004.08.04 11:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll

[2004.08.04 11:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2004.08.04 11:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\dllcache\user32.dll

[2004.08.04 11:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe

[2004.08.04 11:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe

[2004.08.04 11:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2004.08.04 11:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=8F4FB94BC1F50D47186745BD6A804D6A -- C:\WINDOWS\system32\dllcache\winlogon.exe

[2004.08.04 11:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=8F4FB94BC1F50D47186745BD6A804D6A -- C:\WINDOWS\system32\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2004.08.04 11:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2004.08.04 11:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2010.03.25 14:57:46 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2010.03.25 14:57:46 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2010.03.25 14:57:46 | 000,425,984 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[2004.08.04 11:00:00 | 000,003,584 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\kb.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 

< End of report >

--- --- ---

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003..\Run: [{30D883A3-FCA6-82F7-54A7-8C059205FD46}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe
(ENJsoft corp.)
O20 - HKLM Winlogon: UserInit - (C:\Programme\EWxafeLE\hootmfeu.exe) - C:\Programme\EWxafeLE\hootmfeu.exe File not found
[2010.12.10 20:00:33 | 000,000,000 | ---D | C] -- C:\Programme\windows
[2010.12.08 23:28:24 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\avdrn.dat
[2010.12.08 23:28:19 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\abpzlw.dat
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

So, werde gleich deinen Schritt durchführen!
Aber vorher noch was anderes - folgendes hat mir Avast gerade gemeldet und dann habe ich in der Berichtdatei noch andere interessante Einträge gefunden:

Zitat:

14.12.2010 14:31:04 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt

Zitat:

13.12.2010 17:15:55 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe [L] Win32:Trojan-gen (0)
Datei erfolgreich in Container verschoben...

Zitat:

11.12.2010 22:17:09 C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\hootmfeu.exe [L] Win32:Malware-gen (0)
Datei erfolgreich in Container verschoben...

Zitat:

10.12.2010 19:53:36 C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\sishzm32.exe [L] Win32:Rootkit-gen [Rtk] (0)
Datei erfolgreich in Container verschoben...

uth.exe und hootmfeu.exe sind im Container, sishzm habe ich vor ein paar Tagen gelöscht, als sie gemeldet wurde...

ok dann leg mal los.

Soo, also, nach Eingabe der Daten in die OTL.exe und nach dem klick auf "Fix" hatte ich aufeinmal einen Bluescreen mit dem Kommentar: "Eine wichtige Systemdatei wurde plötzlich beendet: winlogon.exe"
Naja, das Archiv habe ich mal gepackt und hochgeladen. Aber eine .txt-Datei wurde nicht erstellt... Zumindest habe ich keine in den dafür vorgesehenen Verzeichnissen gefunden =/

Naja und dann bekam ich nach dem Neustart und kurz vor dem Bluescreen folgende Meldungen von Avast:

Zitat:

*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Dienstag, 14. Dezember 2010 14:01:55
*

14.12.2010 14:31:04 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
14.12.2010 14:39:30 C:\WINDOWS\explorer.exe [L] Win32: Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Dienstag, 14. Dezember 2010 14:40:42
*

14.12.2010 14:40:56 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
14.12.2010 14:40:56 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
14.12.2010 14:40:58 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt

ok folgendes:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hm, irgendwie funktioniert Combofix bei mir nicht o.O Es kommt immer soweit, dass er die Suche nach Viren startet und die Meldung kommt, dass stark infizierte Rechner für längere Suchzeiten sorgen können. Danach passiert gar nichts mehr. =/ Mehrfach versucht zu starten, einmal nebenbei eingepennt und ne Stunde laufen lassen und ja =/

wie siehts denn im abgesicherten modus ohne netzwerk aus, sollte bei pc start mit f8 zu erreichen sein.

Hm, im abgesicherten hats auch nicht wirklich funktioniert. Da hat es rumgemeckert, dass mein Virensystem aktiv sei, obwohl es ausgeschaltet war...

Naja und hinzu kommt, dass sich nach dem Versuch im abgesicherten Modus der normale Modus nicht mehr zum laufen bringen lies, ich musste vorher einen Wiederherstellungspunkt laden =/. Es wurden nämlich nicht alle Prozesse geladen, weshalb der Desktop nicht erschien.

die meldung mit dem virenschutz kannst du überspringen, du hast ja hoffendlich nicht den abgesicherten modus mit netzwerk gewählt?

Hm, ne, habe den abgesicherten Modus ohne alles gewählt. Aber will irgendwie nicht funktionieren. Habs gerade noch ein paar mal versucht, im normalen Modus... aber funktioniert einfach nicht =/

poste mir noch mal neue otl logs.

Ok, dann hier nochmal die neuen Logs. ;)

extras.txt

OTL Logfile:

Code:

OTL Extras logfile created on: 15.12.2010 18:19:36 - Run 2

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

503,00 Mb Total Physical Memory | 164,00 Mb Available Physical Memory | 33,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free

Paging file location(s): C:\pagefile.sys 1908 3816 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37,27 Gb Total Space | 19,63 Gb Free Space | 52,67% Space Free | Partition Type: NTFS

 

Computer Name: VERKAUF2 | User Name: Verkauf | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)

 

[HKEY_USERS\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Classes\<extension>]

.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L ()

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L ()

Drive [find] -- %SystemRoot%\Explorer.exe ()

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour" -- (Apple Inc.)

"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- File not found

"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)

"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)

"C:\Programme\Internet Explorer\IEXPLORE.EXE" = C:\Programme\Internet Explorer\IEXPLORE.EXE:*:Disabled:Internet Explorer -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu

"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18

"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2

"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver

"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU

"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch

"{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}" = HP Photosmart, Officejet and Deskjet 7.0.A

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C3592426-531E-4110-911D-BFECE2CE284C}" = osu!

"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime

"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support

"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes

"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"avast5" = avast! Free Antivirus

"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20

"FileZilla Client" = FileZilla Client 3.3.4

"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8

"Google Chrome" = Google Chrome

"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)

"PROSet" = Intel(R) PRO Network Adapters and Drivers

"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2

"Uninstall_is1" = Uninstall 1.0.0.1

"Webocton - Scriptly_is1" = Webocton - Scriptly 0.8.95.5

"WIC" = Windows Imaging Component

"WinGimp-2.0_is1" = GIMP 2.6.11

"WinRAR archiver" = WinRAR

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

"yWriter5_is1" = yWriter5

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 22.10.2010 21:01:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 22.10.2010 21:01:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 24.10.2010 06:53:29 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 29.10.2010 08:55:33 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 29.10.2010 16:42:25 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 31.10.2010 15:44:56 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3143, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 01.11.2010 17:56:42 | Computer Name = VERKAUF2 | Source = Bonjour Service | ID = 100

Description = 244: ERROR: read_msg errno 10054 (Eine vorhandene Verbindung wurde

 vom Remotehost geschlossen.)

 

Error - 02.11.2010 06:51:31 | Computer Name = VERKAUF2 | Source = ESENT | ID = 490

Description = svchost (1056) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"

 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der

 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet

 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

 

Error - 03.11.2010 19:20:50 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3159, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 04.11.2010 10:48:48 | Computer Name = VERKAUF2 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ICQ.exe, Version 7.2.0.3159, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 15.12.2010 11:00:34 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Error - 15.12.2010 11:00:47 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

Error - 15.12.2010 11:01:02 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Error - 15.12.2010 11:01:08 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 15.12.2010 11:01:12 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

Error - 15.12.2010 11:01:22 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

Error - 15.12.2010 11:01:46 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Error - 15.12.2010 11:01:59 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

Error - 15.12.2010 11:02:14 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Error - 15.12.2010 11:02:53 | Computer Name = VERKAUF2 | Source = DCOM | ID = 10005

Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"

 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

 

< End of report >

--- --- ---

otl.txt

OTL Logfile:

Code:

OTL logfile created on: 15.12.2010 18:19:36 - Run 2

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

503,00 Mb Total Physical Memory | 164,00 Mb Available Physical Memory | 33,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free

Paging file location(s): C:\pagefile.sys 1908 3816 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 37,27 Gb Total Space | 19,63 Gb Free Space | 52,67% Space Free | Partition Type: NTFS

 

Computer Name: VERKAUF2 | User Name: Verkauf | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)

PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)

PRC - C:\WINDOWS\explorer.exe ()

PRC - C:\WINDOWS\system32\winlogon.exe ()

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)

SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (catchme) -- C:\DOKUME~1\Verkauf\LOKALE~1\Temp\catchme.sys File not found

DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)

DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)

DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)

DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)

DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)

DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)

DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)

 

 
 ========== Standard Registry (All) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Sign In

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Sign In

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Sign In

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\shdocvw.dll (Microsoft Corporation)

IE - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "chrome://speeddial/content/speeddial.xul"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {64161300-e22b-11db-8314-0800200c9a66}:0.9.5.6

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2

FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.48.3

FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:0.0.0

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1

FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.13

FF - prefs.js..network.proxy.type: 0

 

 

FF - HKLM\software\mozilla\Firefox\extensions\\jqs@sun.com: C:\Programme\Java\jre6\lib\deploy\jqs\ff [2010.03.25 15:38:45 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Firefox\extensions\\{20a82645-c095-46ed-80e3-08825760534b}: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2010.08.09 00:57:35 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.15 15:59:25 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 22:28:57 | 000,000,000 | ---D | M]

 

[2010.08.02 08:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Extensions

[2010.08.02 08:51:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

[2010.12.15 16:30:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions

[2010.08.13 09:29:06 | 000,000,000 | ---D | M] (Speed Dial) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{64161300-e22b-11db-8314-0800200c9a66}

[2010.08.10 23:53:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.08.19 10:17:33 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

[2010.08.02 09:20:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla\Firefox\Profiles\fgkpl0v9.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}

[2010.12.09 23:31:45 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.12.11 22:28:57 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

[2010.12.11 22:28:40 | 000,025,048 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browserdirprovider.dll

[2010.12.11 22:28:40 | 000,140,248 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\brwsrcmp.dll

[2010.12.11 22:28:47 | 000,066,520 | ---- | M] (mozilla.org) -- C:\Programme\Mozilla Firefox\plugins\npnul32.dll

[2010.06.19 20:34:11 | 000,103,864 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Mozilla Firefox\plugins\nppdf32.dll

[2010.09.27 22:59:36 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll

[2010.09.27 22:59:36 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll

[2010.09.27 22:59:37 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll

[2010.09.27 22:59:37 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll

[2010.09.27 22:59:37 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll

[2010.09.27 22:59:37 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll

[2010.09.27 22:59:37 | 000,159,744 | ---- | M] (Apple Inc.) -- C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll

[2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.10.27 06:44:13 | 000,002,371 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google.xml

[2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 11:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)

O3 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\..\Toolbar\ShellBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)

O3 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\..\Toolbar\WebBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)

O3 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software)

O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe (Intel Corporation)

O4 - HKLM..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe (Intel Corporation)

O4 - HKLM..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)

O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003..\Run: [{30D883A3-FCA6-82F7-54A7-8C059205FD46}] C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe File not found

O4 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003..\Run: [ICQ] C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O4 - Startup: C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\S-1-5-21-682003330-1454471165-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()

O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)

O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000002 [] - C:\WINDOWS\system32\winrnr.dll (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)

O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)

O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll (Microsoft Corporation)

O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp - No CLSID value found

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)

O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)

O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)

O18 - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll (Microsoft Corporation)

O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Programme\EWxafeLE\hootmfeu.exe) - C:\Programme\EWxafeLE\hootmfeu.exe File not found

O20 - HKLM Winlogon: UIHost - (logonui.exe) - C:\WINDOWS\System32\logonui.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (rundll32 shell32) - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - C:\WINDOWS\System32\sysdm.cpl (Microsoft Corporation)

O20 - Winlogon\Notify\crypt32chain: DllName - crypt32.dll - C:\WINDOWS\System32\crypt32.dll (Microsoft Corporation)

O20 - Winlogon\Notify\cryptnet: DllName - cryptnet.dll - C:\WINDOWS\System32\cryptnet.dll (Microsoft Corporation)

O20 - Winlogon\Notify\cscdll: DllName - cscdll.dll - C:\WINDOWS\System32\cscdll.dll (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)

O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)

O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)

O20 - Winlogon\Notify\sclgntfy: DllName - sclgntfy.dll - C:\WINDOWS\System32\sclgntfy.dll (Microsoft Corporation)

O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)

O20 - Winlogon\Notify\termsrv: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)

O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll (Microsoft Corporation)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll (Microsoft Corporation)

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)

O29 - HKLM SecurityProviders - (msapsspc.dll) - C:\WINDOWS\System32\msapsspc.dll (Microsoft Corporation)

O29 - HKLM SecurityProviders - (schannel.dll) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)

O29 - HKLM SecurityProviders - (digest.dll) - C:\WINDOWS\System32\digest.dll (Microsoft Corporation)

O29 - HKLM SecurityProviders - (msnsspc.dll) - C:\WINDOWS\System32\msnsspc.dll (Microsoft Corporation)

O30 - LSA: Authentication Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)

O30 - LSA: Security Packages - (kerberos) - C:\WINDOWS\System32\kerberos.dll (Microsoft Corporation)

O30 - LSA: Security Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)

O30 - LSA: Security Packages - (schannel) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)

O30 - LSA: Security Packages - (wdigest) - C:\WINDOWS\System32\wdigest.dll (Microsoft Corporation)

O31 - SafeBoot: AlternateShell - cmd.exe

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010.03.25 14:11:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: 6to4 -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

 

SafeBootMin: Base - Driver Group

SafeBootMin: Boot Bus Extender - Driver Group

SafeBootMin: Boot file system - Driver Group

SafeBootMin: File system - Driver Group

SafeBootMin: Filter - Driver Group

SafeBootMin: PCI Configuration - Driver Group

SafeBootMin: PEVSystemStart - Service

SafeBootMin: PNP Filter - Driver Group

SafeBootMin: Primary disk - Driver Group

SafeBootMin: procexp90.Sys - Driver

SafeBootMin: SCSI Class - Driver Group

SafeBootMin: sermouse.sys - Driver

SafeBootMin: System Bus Extender - Driver Group

SafeBootMin: vga.sys - Driver

SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

 

SafeBootNet: Base - Driver Group

SafeBootNet: Boot Bus Extender - Driver Group

SafeBootNet: Boot file system - Driver Group

SafeBootNet: File system - Driver Group

SafeBootNet: Filter - Driver Group

SafeBootNet: NDIS Wrapper - Driver Group

SafeBootNet: NetBIOSGroup - Driver Group

SafeBootNet: NetDDEGroup - Driver Group

SafeBootNet: Network - Driver Group

SafeBootNet: NetworkProvider - Driver Group

SafeBootNet: PCI Configuration - Driver Group

SafeBootNet: PEVSystemStart - Service

SafeBootNet: PNP Filter - Driver Group

SafeBootNet: PNP_TDI - Driver Group

SafeBootNet: Primary disk - Driver Group

SafeBootNet: procexp90.Sys - Driver

SafeBootNet: SCSI Class - Driver Group

SafeBootNet: sermouse.sys - Driver

SafeBootNet: Streams Drivers - Driver Group

SafeBootNet: System Bus Extender - Driver Group

SafeBootNet: TDI - Driver Group

SafeBootNet: vga.sys - Driver

SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net

SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient

SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService

SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans

SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung

ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 

ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (12117034749919232)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.12.15 16:58:30 | 000,000,000 | --SD | C] -- C:\ComboFix

[2010.12.15 16:37:07 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2010.12.15 16:32:57 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010.12.15 16:32:57 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010.12.15 16:32:57 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010.12.15 16:32:57 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010.12.14 21:31:39 | 000,000,000 | --SD | C] -- C:\ComboFix(2)

[2010.12.14 15:10:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010.12.14 15:08:37 | 000,000,000 | ---D | C] -- C:\Qoobox

[2010.12.14 14:39:26 | 000,000,000 | ---D | C] -- C:\_OTL

[2010.12.10 20:00:33 | 000,000,000 | ---D | C] -- C:\Programme\windows

[2010.12.10 14:32:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:27:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:27:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\Temp

[2010.12.10 14:26:44 | 000,000,000 | ---D | C] -- C:\Programme\Google

[2010.12.10 14:26:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\Google

[2010.12.10 14:26:21 | 000,017,744 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys

[2010.12.10 14:26:20 | 000,165,584 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys

[2010.12.10 14:26:19 | 000,023,376 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys

[2010.12.10 14:26:17 | 000,046,672 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys

[2010.12.10 14:26:15 | 000,100,176 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys

[2010.12.10 14:26:15 | 000,094,544 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys

[2010.12.10 14:26:14 | 000,028,880 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys

[2010.12.10 13:57:06 | 000,038,848 | ---- | C] (AVAST Software) -- C:\WINDOWS\avastSS.scr

[2010.12.10 13:57:04 | 000,167,592 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe

[2010.12.10 13:56:44 | 000,000,000 | ---D | C] -- C:\Programme\Alwil Software

[2010.12.10 13:56:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software

[2010.12.09 23:59:17 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy

[2010.12.09 23:59:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

[2010.12.09 17:34:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

[2010.12.09 17:14:20 | 000,000,000 | ---D | C] -- C:\Programme\EWxafeLE

[2010.12.09 16:10:20 | 000,000,000 | ---D | C] -- C:\Programme\tmp

[2010.12.06 23:56:42 | 000,000,000 | ---D | C] -- C:\Programme\iPod

[2010.12.06 23:56:11 | 000,000,000 | ---D | C] -- C:\Programme\iTunes

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.12.15 17:39:21 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.12.15 17:38:56 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2010.12.15 17:19:38 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

[2010.12.15 17:18:22 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.12.15 17:18:09 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.12.15 16:37:14 | 000,000,355 | RHS- | M] () -- C:\boot.ini

[2010.12.15 16:29:37 | 003,990,715 | R--- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Desktop\ComboFix.exe

[2010.12.14 22:10:17 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT

[2010.12.14 22:05:37 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.12.13 23:42:21 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.12.10 14:26:22 | 000,001,664 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk

[2010.12.10 02:27:08 | 000,000,245 | ---- | M] () -- C:\Boot.bak

[2010.12.09 23:31:48 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2010.12.08 23:28:24 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\avdrn.dat

[2010.12.08 21:26:05 | 000,004,608 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.12.06 23:58:11 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk

[2010.11.30 00:24:00 | 000,020,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\.recently-used.xbel

[2010.11.28 19:35:09 | 000,000,100 | ---- | M] () -- C:\Dokumente und Einstellungen\Verkauf\.gtk-bookmarks

[2010.11.19 14:41:56 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.11.19 14:41:56 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.11.19 14:41:56 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.11.19 14:41:55 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.12.15 16:32:57 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010.12.15 16:32:57 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010.12.15 16:32:57 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010.12.15 16:32:57 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010.12.15 16:32:57 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010.12.15 16:29:06 | 003,990,715 | R--- | C] () -- C:\Dokumente und Einstellungen\Verkauf\Desktop\ComboFix.exe

[2010.12.14 15:15:40 | 000,000,245 | ---- | C] () -- C:\Boot.bak

[2010.12.14 15:15:35 | 000,262,448 | RHS- | C] () -- C:\cmldr

[2010.12.10 14:35:29 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2010.12.10 14:27:25 | 000,001,090 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.12.10 14:27:24 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.12.10 14:26:22 | 000,001,664 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk

[2010.12.09 23:31:48 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2010.12.08 23:28:19 | 000,000,012 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\abpzlw.dat

[2010.12.08 23:28:12 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\avdrn.dat

[2010.12.06 23:58:11 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk

[2010.11.30 00:24:00 | 000,020,873 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\.recently-used.xbel

[2010.11.28 19:35:09 | 000,000,100 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\.gtk-bookmarks

[2010.09.19 17:52:35 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll

[2010.09.19 17:48:08 | 000,001,262 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log

[2010.09.06 17:20:59 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Verkauf\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.03.25 15:16:21 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll

[2010.03.25 13:59:35 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2004.08.04 11:00:00 | 001,035,264 | ---- | C] () -- C:\WINDOWS\System32\dllcache\explorer.exe

[2004.08.04 11:00:00 | 000,507,392 | ---- | C] () -- C:\WINDOWS\System32\dllcache\winlogon.exe

[2004.08.04 11:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

[2004.08.04 11:00:00 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\kb.dll

[2001.07.07 02:00:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI

 
 ========== LOP Check ==========

 

[2010.12.10 13:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software

[2010.08.03 21:10:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2010.09.06 00:01:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Downloaded Installations

[2010.08.10 23:53:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.12.01 23:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\FileZilla

[2010.11.28 19:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\gtk-2.0

[2010.12.15 17:21:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\ICQ

[2010.10.16 23:05:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Miranda

[2010.03.25 15:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\OpenOffice.org

[2010.08.08 15:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Spacejock Software

[2010.08.18 19:37:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Webocton - Scriptly

[2010.12.15 17:19:38 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %ALLUSERSPROFILE%\Application Data\*. >

 
 < %ALLUSERSPROFILE%\Application Data\*.exe /s >

 
 < %APPDATA%\*. >

[2010.08.04 11:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Adobe

[2010.08.04 08:12:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Apple Computer

[2010.09.06 00:01:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Downloaded Installations

[2010.08.10 23:53:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.12.01 23:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\FileZilla

[2010.11.28 19:56:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\gtk-2.0

[2010.12.15 17:21:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\ICQ

[2010.03.25 14:36:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Identities

[2010.12.15 01:03:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Macromedia

[2010.08.04 11:30:50 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Microsoft

[2010.10.16 23:05:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Miranda

[2010.08.02 08:51:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Mozilla

[2010.03.25 15:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\OpenOffice.org

[2010.08.08 15:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Spacejock Software

[2010.03.25 15:36:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Sun

[2010.11.14 01:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\teamspeak2

[2010.08.18 19:37:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\Webocton - Scriptly

[2010.08.04 00:29:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Verkauf\Anwendungsdaten\WinRAR

 
 < %APPDATA%\*.exe /s >

 
 < %SYSTEMDRIVE%\*.exe >

 

 
 < MD5 for: AGP440.SYS  >

[2004.08.04 11:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\agp440.sys

 
 < MD5 for: ATAPI.SYS  >

[2004.08.04 11:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys

[2004.08.04 11:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0041\DriverFiles\i386\atapi.sys

[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0043\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\eventlog.dll

[2004.08.04 11:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll

[2004.08.04 11:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll

 
 < MD5 for: EXPLORER.EXE  >

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe

[2004.08.04 11:00:00 | 001,035,264 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe

 
 < MD5 for: IASTOR.SYS  >

[2007.07.12 22:35:02 | 000,305,176 | ---- | M] (Intel Corporation) MD5=2358C53F30CB9DCD1D3843C4E2F299B2 -- C:\WINDOWS\dell\iastor\iastor.sys

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\netlogon.dll

[2004.08.04 11:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtUninstallKB968389$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$NtUninstallKB975467$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\system32\dllcache\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\system32\netlogon.dll

 
 < MD5 for: NVATA.SYS  >

[2006.10.18 23:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\dell\nvraid\nvata.sys

 
 < MD5 for: NVATABUS.SYS  >

[2006.10.18 22:31:38 | 000,105,472 | ---- | M] (NVIDIA Corporation) MD5=EF9941593B2E9B436F64A87DDB570D1A -- C:\WINDOWS\dell\nvraid\NvAtaBus.sys

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\scecli.dll

[2004.08.04 11:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll

[2004.08.04 11:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2004.08.04 11:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\dllcache\user32.dll

[2004.08.04 11:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe

[2004.08.04 11:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe

[2004.08.04 11:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe

[2004.08.04 11:00:00 | 000,507,392 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2004.08.04 11:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2004.08.04 11:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2010.03.25 14:57:46 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2010.03.25 14:57:46 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2010.03.25 14:57:46 | 000,425,984 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[2004.08.04 11:00:00 | 000,003,584 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\kb.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 

< End of report >

--- --- ---

Und ich hatte mal wieder ein paar Virenmeldungen =/

Zitat:

* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 15:47:08
*

15.12.2010 15:47:10 C:\Programme\EWxafeLE\hootmfeu.exe [L] Win32:Malware-gen (0)
15.12.2010 15:47:10 C:\WINDOWS\Explorer.EXE [L] Win32:Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
15.12.2010 15:47:10 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Datei erfolgreich in Container verschoben...
*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 15:51:24
*

15.12.2010 15:51:28 C:\WINDOWS\Explorer.EXE [L] Win32:Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
15.12.2010 15:51:28 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 15:54:51
*

15.12.2010 15:54:57 C:\WINDOWS\Explorer.EXE [L] Win32:Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
15.12.2010 15:54:57 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 16:13:49
*

*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 16:16:14
*

15.12.2010 16:16:16 C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\hootmfeu.exe [L] Win32:Malware-gen (0)
Datei erfolgreich in Container verschoben...
15.12.2010 16:16:21 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Nedi\utah.exe [L] Win32:Trojan-gen (0)
Datei erfolgreich in Container verschoben...
15.12.2010 16:29:28 C:\WINDOWS\explorer.exe [L] Win32:Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt

*
* Schutz beendet: Mittwoch, 15. Dezember 2010 16:32:32
* Laufzeit war 16 Minute(n), 18 Sekunde(n)
*

*
* avast! Echtzeit-Schutz-Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Start: Mittwoch, 15. Dezember 2010 18:19:18
*

15.12.2010 18:19:40 C:\WINDOWS\system32\winlogon.exe [L] Win32:Malware-gen (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
15.12.2010 18:19:46 C:\WINDOWS\explorer.exe [L] Win32:Dropper-gen [Drp] (0)
Bei verschieben in Container, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
Bei Datei löschen, Fehler aufgetreten: Die angegebene Datei ist schreibgeschützt
15.12.2010 18:20:54 C:\WINDOWS\System32\dllcache\explorer.exe [L] Win32:Dropper-gen [Drp] (0)
Datei erfolgreich in Container verschoben...
15.12.2010 18:21:43 C:\WINDOWS\System32\dllcache\winlogon.exe [L] Win32:Malware-gen (0)
Datei erfolgreich in Container verschoben...

So, nachdem ich beim 1. Versuch ein Bluescreen hatte und in letzter Zeit wenig Zeit, hier nun doch ein erfolgreicher Log! ;)

GMER Logfile:

Code:

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover

Rootkit scan 2010-12-21 16:52:49

Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c ST340014A rev.8.10

Running: 69rfrpt5.exe; Driver: C:\DOKUME~1\Verkauf\LOKALE~1\Temp\uftyypoc.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwClose [0xEF697CF0]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwCreateKey [0xEF697BAC]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwDeleteKey [0xEF698160]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwDeleteValueKey [0xEF69808A]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwDuplicateObject [0xEF697782]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwOpenKey [0xEF697C86]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwOpenProcess [0xEF6976C2]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwOpenThread [0xEF697726]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwQueryValueKey [0xEF697DA6]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwRenameKey [0xEF69822E]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwRestoreKey [0xEF697D66]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwSetValueKey [0xEF697EE6]
 

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwCreateProcessEx [0xEF6A4BAE]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwCreateSection [0xEF6A49D2]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ZwLoadDriver [0xEF6A4B0C]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          NtCreateSection

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ObInsertObject

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                          ObMakeTemporaryObject
 

---- Kernel code sections - GMER 1.0.15 ----
 

PAGE            ntoskrnl.exe!ObInsertObject                                                                                                    80564F23 5 Bytes  JMP EF6A1FFA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE            ntoskrnl.exe!NtCreateSection                                                                                                   8056519B 7 Bytes  JMP EF6A49D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE            ntoskrnl.exe!ZwCreateProcessEx                                                                                                 80582FAA 7 Bytes  JMP EF6A4BB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE            ntoskrnl.exe!ObMakeTemporaryObject                                                                                             805A164B 5 Bytes  JMP EF6A05D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE            ntoskrnl.exe!ZwLoadDriver                                                                                                      805A3AF2 7 Bytes  JMP EF6A4B10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\system32\hkcmd.exe[128] ntdll.dll!NtQueryDirectoryFile                                                              7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\WINDOWS\system32\hkcmd.exe[128] ntdll.dll!NtResumeThread                                                                    7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\WINDOWS\system32\hkcmd.exe[128] ntdll.dll!LdrLoadDll                                                                        7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\Programme\OpenOffice.org 3\program\soffice.exe[260] ntdll.dll!NtQueryDirectoryFile                                          7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\OpenOffice.org 3\program\soffice.exe[260] ntdll.dll!NtResumeThread                                                7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\OpenOffice.org 3\program\soffice.exe[260] ntdll.dll!LdrLoadDll                                                    7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] ntdll.dll!NtQueryDirectoryFile                                          7C91D76E 5 Bytes  JMP 2006795E 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] ntdll.dll!NtResumeThread                                                7C91DB3E 5 Bytes  JMP 20065BDA 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] ntdll.dll!LdrLoadDll                                                    7C925CD3 5 Bytes  JMP 200673C6 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!sendto                                                       71A12C69 5 Bytes  JMP 20067634 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!recvfrom                                                     71A12D0F 5 Bytes  JMP 20067717 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!send                                                         71A1428A 5 Bytes  JMP 20067606 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!WSARecv                                                      71A14318 5 Bytes  JMP 200677EB 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!recv                                                         71A1615A 5 Bytes  JMP 200676DD 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!WSASend                                                      71A16233 5 Bytes  JMP 20067757 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!closesocket                                                  71A19639 5 Bytes  JMP 2006793F 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!WSARecvFrom                                                  71A1F652 5 Bytes  JMP 20067892 

.text           C:\Programme\OpenOffice.org 3\program\soffice.bin[280] WS2_32.dll!WSASendTo                                                    71A20A95 5 Bytes  JMP 2006779E 

.text           C:\WINDOWS\system32\spoolsv.exe[332] ntdll.dll!NtQueryDirectoryFile                                                            7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\WINDOWS\system32\spoolsv.exe[332] ntdll.dll!NtResumeThread                                                                  7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\WINDOWS\system32\spoolsv.exe[332] ntdll.dll!LdrLoadDll                                                                      7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\WINDOWS\System32\alg.exe[636] ntdll.dll!NtQueryDirectoryFile                                                                7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\WINDOWS\System32\alg.exe[636] ntdll.dll!NtResumeThread                                                                      7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\WINDOWS\System32\alg.exe[636] ntdll.dll!LdrLoadDll                                                                          7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!sendto                                                                             71A12C69 5 Bytes  JMP 20017634 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!recvfrom                                                                           71A12D0F 5 Bytes  JMP 20017717 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!send                                                                               71A1428A 5 Bytes  JMP 20017606 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!WSARecv                                                                            71A14318 5 Bytes  JMP 200177EB 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!recv                                                                               71A1615A 5 Bytes  JMP 200176DD 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!WSASend                                                                            71A16233 5 Bytes  JMP 20017757 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!closesocket                                                                        71A19639 5 Bytes  JMP 2001793F 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!WSARecvFrom                                                                        71A1F652 5 Bytes  JMP 20017892 

.text           C:\WINDOWS\System32\alg.exe[636] WS2_32.dll!WSASendTo                                                                          71A20A95 5 Bytes  JMP 2001779E 

.text           C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtQueryDirectoryFile                                                              7C91D76E 5 Bytes  JMP 2002795E 

.text           C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!NtResumeThread                                                                    7C91DB3E 5 Bytes  JMP 20025BDA 

.text           C:\WINDOWS\system32\csrss.exe[640] ntdll.dll!LdrLoadDll                                                                        7C925CD3 5 Bytes  JMP 200273C6 

.text           C:\WINDOWS\system32\winlogon.exe[664] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 2002795E 

.text           C:\WINDOWS\system32\winlogon.exe[664] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 20025BDA 

.text           C:\WINDOWS\system32\winlogon.exe[664] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 200273C6 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!sendto                                                                        71A12C69 5 Bytes  JMP 20027634 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!recvfrom                                                                      71A12D0F 5 Bytes  JMP 20027717 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!send                                                                          71A1428A 5 Bytes  JMP 20027606 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!WSARecv                                                                       71A14318 5 Bytes  JMP 200277EB 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!recv                                                                          71A1615A 5 Bytes  JMP 200276DD 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!WSASend                                                                       71A16233 5 Bytes  JMP 20027757 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!closesocket                                                                   71A19639 5 Bytes  JMP 2002793F 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!WSARecvFrom                                                                   71A1F652 5 Bytes  JMP 20027892 

.text           C:\WINDOWS\system32\winlogon.exe[664] WS2_32.dll!WSASendTo                                                                     71A20A95 5 Bytes  JMP 2002779E 

.text           C:\WINDOWS\system32\services.exe[720] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 2002795E 

.text           C:\WINDOWS\system32\services.exe[720] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 20025BDA 

.text           C:\WINDOWS\system32\services.exe[720] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 200273C6 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!sendto                                                                        71A12C69 5 Bytes  JMP 20027634 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!recvfrom                                                                      71A12D0F 5 Bytes  JMP 20027717 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!send                                                                          71A1428A 5 Bytes  JMP 20027606 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!WSARecv                                                                       71A14318 5 Bytes  JMP 200277EB 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!recv                                                                          71A1615A 5 Bytes  JMP 200276DD 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!WSASend                                                                       71A16233 5 Bytes  JMP 20027757 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!closesocket                                                                   71A19639 5 Bytes  JMP 2002793F 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!WSARecvFrom                                                                   71A1F652 5 Bytes  JMP 20027892 

.text           C:\WINDOWS\system32\services.exe[720] WS2_32.dll!WSASendTo                                                                     71A20A95 5 Bytes  JMP 2002779E 

.text           C:\WINDOWS\system32\lsass.exe[732] ntdll.dll!NtQueryDirectoryFile                                                              7C91D76E 5 Bytes  JMP 2002795E 

.text           C:\WINDOWS\system32\lsass.exe[732] ntdll.dll!NtResumeThread                                                                    7C91DB3E 5 Bytes  JMP 20025BDA 

.text           C:\WINDOWS\system32\lsass.exe[732] ntdll.dll!LdrLoadDll                                                                        7C925CD3 5 Bytes  JMP 200273C6 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!sendto                                                                           71A12C69 5 Bytes  JMP 20027634 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!recvfrom                                                                         71A12D0F 5 Bytes  JMP 20027717 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!send                                                                             71A1428A 5 Bytes  JMP 20027606 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSARecv                                                                          71A14318 5 Bytes  JMP 200277EB 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!recv                                                                             71A1615A 5 Bytes  JMP 200276DD 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSASend                                                                          71A16233 5 Bytes  JMP 20027757 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!closesocket                                                                      71A19639 5 Bytes  JMP 2002793F 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSARecvFrom                                                                      71A1F652 5 Bytes  JMP 20027892 

.text           C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSASendTo                                                                        71A20A95 5 Bytes  JMP 2002779E 

.text           C:\WINDOWS\system32\igfxtray.exe[800] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\WINDOWS\system32\igfxtray.exe[800] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\WINDOWS\system32\igfxtray.exe[800] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[856] ntdll.dll!NtQueryDirectoryFile                               7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[856] ntdll.dll!NtResumeThread                                     7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[856] ntdll.dll!LdrLoadDll                                         7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtQueryDirectoryFile                                                            7C91D76E 5 Bytes  JMP 202E795E 

.text           C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!NtResumeThread                                                                  7C91DB3E 5 Bytes  JMP 202E5BDA 

.text           C:\WINDOWS\system32\svchost.exe[900] ntdll.dll!LdrLoadDll                                                                      7C925CD3 5 Bytes  JMP 202E73C6 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!sendto                                                                         71A12C69 5 Bytes  JMP 202E7634 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!recvfrom                                                                       71A12D0F 5 Bytes  JMP 202E7717 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 202E7606 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 202E77EB 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 202E76DD 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 202E7757 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!closesocket                                                                    71A19639 5 Bytes  JMP 202E793F 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!WSARecvFrom                                                                    71A1F652 5 Bytes  JMP 202E7892 

.text           C:\WINDOWS\system32\svchost.exe[900] WS2_32.dll!WSASendTo                                                                      71A20A95 5 Bytes  JMP 202E779E 

.text           C:\WINDOWS\system32\svchost.exe[972] ntdll.dll!NtQueryDirectoryFile                                                            7C91D76E 5 Bytes  JMP 202E795E 

.text           C:\WINDOWS\system32\svchost.exe[972] ntdll.dll!NtResumeThread                                                                  7C91DB3E 5 Bytes  JMP 202E5BDA 

.text           C:\WINDOWS\system32\svchost.exe[972] ntdll.dll!LdrLoadDll                                                                      7C925CD3 5 Bytes  JMP 202E73C6 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!sendto                                                                         71A12C69 5 Bytes  JMP 202E7634 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!recvfrom                                                                       71A12D0F 5 Bytes  JMP 202E7717 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 202E7606 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 202E77EB 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 202E76DD 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 202E7757 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!closesocket                                                                    71A19639 5 Bytes  JMP 202E793F 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!WSARecvFrom                                                                    71A1F652 5 Bytes  JMP 202E7892 

.text           C:\WINDOWS\system32\svchost.exe[972] WS2_32.dll!WSASendTo                                                                      71A20A95 5 Bytes  JMP 202E779E 

.text           C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[1020] ntdll.dll!NtQueryDirectoryFile                                7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[1020] ntdll.dll!NtResumeThread                                      7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe[1020] ntdll.dll!LdrLoadDll                                          7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\Programme\iTunes\iTunesHelper.exe[1048] ntdll.dll!NtQueryDirectoryFile                                                      7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\Programme\iTunes\iTunesHelper.exe[1048] ntdll.dll!NtResumeThread                                                            7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\Programme\iTunes\iTunesHelper.exe[1048] ntdll.dll!LdrLoadDll                                                                7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] ntdll.dll!NtQueryDirectoryFile                                            7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] ntdll.dll!NtResumeThread                                                  7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] ntdll.dll!LdrLoadDll                                                      7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!sendto                                                         71A12C69 5 Bytes  JMP 202F7634 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!recvfrom                                                       71A12D0F 5 Bytes  JMP 202F7717 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!send                                                           71A1428A 5 Bytes  JMP 202F7606 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!WSARecv                                                        71A14318 5 Bytes  JMP 202F77EB 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!recv                                                           71A1615A 5 Bytes  JMP 202F76DD 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!WSASend                                                        71A16233 5 Bytes  JMP 202F7757 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!closesocket                                                    71A19639 5 Bytes  JMP 202F793F 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!WSARecvFrom                                                    71A1F652 5 Bytes  JMP 202F7892 

.text           C:\Programme\Alwil Software\Avast5\avastUI.exe[1072] WS2_32.dll!WSASendTo                                                      71A20A95 5 Bytes  JMP 202F779E 

.text           C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 202E795E 

.text           C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 202E5BDA 

.text           C:\WINDOWS\System32\svchost.exe[1084] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 202E73C6 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!sendto                                                                        71A12C69 5 Bytes  JMP 202E7634 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!recvfrom                                                                      71A12D0F 5 Bytes  JMP 202E7717 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!send                                                                          71A1428A 5 Bytes  JMP 202E7606 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!WSARecv                                                                       71A14318 5 Bytes  JMP 202E77EB 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!recv                                                                          71A1615A 5 Bytes  JMP 202E76DD 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!WSASend                                                                       71A16233 5 Bytes  JMP 202E7757 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!closesocket                                                                   71A19639 5 Bytes  JMP 202E793F 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!WSARecvFrom                                                                   71A1F652 5 Bytes  JMP 202E7892 

.text           C:\WINDOWS\System32\svchost.exe[1084] WS2_32.dll!WSASendTo                                                                     71A20A95 5 Bytes  JMP 202E779E 

.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 2002795E 

.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 20025BDA 

.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 200273C6 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!sendto                                                                        71A12C69 5 Bytes  JMP 20027634 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!recvfrom                                                                      71A12D0F 5 Bytes  JMP 20027717 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!send                                                                          71A1428A 5 Bytes  JMP 20027606 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!WSARecv                                                                       71A14318 5 Bytes  JMP 200277EB 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!recv                                                                          71A1615A 5 Bytes  JMP 200276DD 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!WSASend                                                                       71A16233 5 Bytes  JMP 20027757 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!closesocket                                                                   71A19639 5 Bytes  JMP 2002793F 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!WSARecvFrom                                                                   71A1F652 5 Bytes  JMP 20027892 

.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!WSASendTo                                                                     71A20A95 5 Bytes  JMP 2002779E 

.text           C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\69rfrpt5.exe[1168] ntdll.dll!NtQueryDirectoryFile              7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\69rfrpt5.exe[1168] ntdll.dll!NtResumeThread                    7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\Dokumente und Einstellungen\Verkauf\Eigene Dateien\Downloads\69rfrpt5.exe[1168] ntdll.dll!LdrLoadDll                        7C925CD3 5 Bytes  JMP 202F73C6 

.text           C:\WINDOWS\system32\svchost.exe[1276] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 202E795E 

.text           C:\WINDOWS\system32\svchost.exe[1276] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 202E5BDA 

.text           C:\WINDOWS\system32\svchost.exe[1276] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 202E73C6 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!sendto                                                                        71A12C69 5 Bytes  JMP 202E7634 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!recvfrom                                                                      71A12D0F 5 Bytes  JMP 202E7717 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!send                                                                          71A1428A 5 Bytes  JMP 202E7606 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!WSARecv                                                                       71A14318 5 Bytes  JMP 202E77EB 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!recv                                                                          71A1615A 5 Bytes  JMP 202E76DD 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!WSASend                                                                       71A16233 5 Bytes  JMP 202E7757 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!closesocket                                                                   71A19639 5 Bytes  JMP 202E793F 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!WSARecvFrom                                                                   71A1F652 5 Bytes  JMP 202E7892 

.text           C:\WINDOWS\system32\svchost.exe[1276] WS2_32.dll!WSASendTo                                                                     71A20A95 5 Bytes  JMP 202E779E 

.text           C:\Programme\Alwil Software\Avast5\AvastSvc.exe[1416] kernel32.dll!SetUnhandledExceptionFilter                                 7C8447ED 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }

.text           C:\WINDOWS\Explorer.EXE[1596] Explorer.EXE                                                                                     01002742 2 Bytes  [34, 15] {XOR AL, 0x15}

.text           C:\WINDOWS\Explorer.EXE[1596] Explorer.EXE                                                                                     01002756 14 Bytes  [8B, FF, 55, 8B, EC, 56, 57, ...]

.text           C:\WINDOWS\Explorer.EXE[1596] ntdll.dll!NtQueryDirectoryFile                                                                   7C91D76E 5 Bytes  JMP 202E795E 

.text           C:\WINDOWS\Explorer.EXE[1596] ntdll.dll!NtResumeThread                                                                         7C91DB3E 5 Bytes  JMP 202E5BDA 

.text           C:\WINDOWS\Explorer.EXE[1596] ntdll.dll!LdrLoadDll                                                                             7C925CD3 5 Bytes  JMP 202E73C6 

.text           C:\WINDOWS\Explorer.EXE[1596] kernel32.dll!CreateProcessInternalW                                                              7C819527 5 Bytes  JMP 009C7207 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ntdll.dll!NtQueryDirectoryFile                                               7C91D76E 5 Bytes  JMP 2003795E 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ntdll.dll!NtResumeThread                                                     7C91DB3E 5 Bytes  JMP 20035BDA 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ntdll.dll!LdrLoadDll                                                         7C925CD3 5 Bytes  JMP 200373C6 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!sendto                                                            71A12C69 5 Bytes  JMP 20037634 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!recvfrom                                                          71A12D0F 5 Bytes  JMP 20037717 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!send                                                              71A1428A 5 Bytes  JMP 20037606 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!WSARecv                                                           71A14318 5 Bytes  JMP 200377EB 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 200376DD 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!WSASend                                                           71A16233 5 Bytes  JMP 20037757 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!closesocket                                                       71A19639 5 Bytes  JMP 2003793F 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!WSARecvFrom                                                       71A1F652 5 Bytes  JMP 20037892 

.text           C:\Programme\Internet Explorer\iexplore.exe[1716] ws2_32.dll!WSASendTo                                                         71A20A95 5 Bytes  JMP 2003779E 

.text           C:\Programme\Internet Explorer\iexplore.exe[1736] ntdll.dll!NtQueryDirectoryFile                                               7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\Internet Explorer\iexplore.exe[1736] ntdll.dll!NtResumeThread                                                     7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\Internet Explorer\iexplore.exe[1736] ntdll.dll!LdrLoadDll                                                         7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\WINDOWS\system32\svchost.exe[2096] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\WINDOWS\system32\svchost.exe[2096] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\WINDOWS\system32\svchost.exe[2096] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] ntdll.dll!NtQueryDirectoryFile  7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] ntdll.dll!NtResumeThread        7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] ntdll.dll!LdrLoadDll            7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!sendto               71A12C69 5 Bytes  JMP 20017634 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!recvfrom             71A12D0F 5 Bytes  JMP 20017717 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!send                 71A1428A 5 Bytes  JMP 20017606 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!WSARecv              71A14318 5 Bytes  JMP 200177EB 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!recv                 71A1615A 5 Bytes  JMP 200176DD 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!WSASend              71A16233 5 Bytes  JMP 20017757 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!closesocket          71A19639 5 Bytes  JMP 2001793F 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!WSARecvFrom          71A1F652 5 Bytes  JMP 20017892 

.text           C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe[2136] WS2_32.dll!WSASendTo            71A20A95 5 Bytes  JMP 2001779E 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] ntdll.dll!NtQueryDirectoryFile                                                    7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] ntdll.dll!NtResumeThread                                                          7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] ntdll.dll!LdrLoadDll                                                              7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!sendto                                                                 71A12C69 5 Bytes  JMP 20017634 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!recvfrom                                                               71A12D0F 5 Bytes  JMP 20017717 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!send                                                                   71A1428A 5 Bytes  JMP 20017606 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!WSARecv                                                                71A14318 5 Bytes  JMP 200177EB 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!recv                                                                   71A1615A 5 Bytes  JMP 200176DD 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!WSASend                                                                71A16233 5 Bytes  JMP 20017757 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!closesocket                                                            71A19639 5 Bytes  JMP 2001793F 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!WSARecvFrom                                                            71A1F652 5 Bytes  JMP 20017892 

.text           C:\Programme\Bonjour\mDNSResponder.exe[2172] WS2_32.dll!WSASendTo                                                              71A20A95 5 Bytes  JMP 2001779E 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe[2380] ntdll.dll!NtQueryDirectoryFile                              7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe[2380] ntdll.dll!NtResumeThread                                    7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe[2380] ntdll.dll!LdrLoadDll                                        7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] ntdll.dll!NtQueryDirectoryFile                                                        7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] ntdll.dll!NtResumeThread                                                              7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] ntdll.dll!LdrLoadDll                                                                  7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!sendto                                                                     71A12C69 5 Bytes  JMP 20017634 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!recvfrom                                                                   71A12D0F 5 Bytes  JMP 20017717 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!send                                                                       71A1428A 5 Bytes  JMP 20017606 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!WSARecv                                                                    71A14318 5 Bytes  JMP 200177EB 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!recv                                                                       71A1615A 5 Bytes  JMP 200176DD 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!WSASend                                                                    71A16233 5 Bytes  JMP 20017757 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!closesocket                                                                71A19639 5 Bytes  JMP 2001793F 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!WSARecvFrom                                                                71A1F652 5 Bytes  JMP 20017892 

.text           C:\Programme\Java\jre6\bin\jqs.exe[2392] WS2_32.dll!WSASendTo                                                                  71A20A95 5 Bytes  JMP 2001779E 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] ntdll.dll!NtQueryDirectoryFile                                                          7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] ntdll.dll!NtResumeThread                                                                7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] ntdll.dll!LdrLoadDll                                                                    7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!sendto                                                                       71A12C69 5 Bytes  JMP 20017634 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!recvfrom                                                                     71A12D0F 5 Bytes  JMP 20017717 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!send                                                                         71A1428A 5 Bytes  JMP 20017606 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!WSARecv                                                                      71A14318 5 Bytes  JMP 200177EB 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!recv                                                                         71A1615A 5 Bytes  JMP 200176DD 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!WSASend                                                                      71A16233 5 Bytes  JMP 20017757 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!closesocket                                                                  71A19639 5 Bytes  JMP 2001793F 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!WSARecvFrom                                                                  71A1F652 5 Bytes  JMP 20017892 

.text           C:\WINDOWS\system32\HPZipm12.exe[2656] WS2_32.dll!WSASendTo                                                                    71A20A95 5 Bytes  JMP 2001779E 

.text           C:\WINDOWS\system32\svchost.exe[2716] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\WINDOWS\system32\svchost.exe[2716] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\WINDOWS\system32\svchost.exe[2716] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\Programme\iPod\bin\iPodService.exe[3508] ntdll.dll!NtQueryDirectoryFile                                                     7C91D76E 5 Bytes  JMP 2001795E 

.text           C:\Programme\iPod\bin\iPodService.exe[3508] ntdll.dll!NtResumeThread                                                           7C91DB3E 5 Bytes  JMP 20015BDA 

.text           C:\Programme\iPod\bin\iPodService.exe[3508] ntdll.dll!LdrLoadDll                                                               7C925CD3 5 Bytes  JMP 200173C6 

.text           C:\WINDOWS\system32\wuauclt.exe[3576] ntdll.dll!NtQueryDirectoryFile                                                           7C91D76E 5 Bytes  JMP 202F795E 

.text           C:\WINDOWS\system32\wuauclt.exe[3576] ntdll.dll!NtResumeThread                                                                 7C91DB3E 5 Bytes  JMP 202F5BDA 

.text           C:\WINDOWS\system32\wuauclt.exe[3576] ntdll.dll!LdrLoadDll                                                                     7C925CD3 5 Bytes  JMP 202F73C6 
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\WINDOWS\system32\services.exe[720] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                   00370002

IAT             C:\WINDOWS\system32\services.exe[720] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                         00370000
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                                         aswSP.SYS (avast! self protection module/AVAST Software)
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                         aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                       aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                      aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
 

---- Files - GMER 1.0.15 ----
 

File            C:\Dokumente und Einstellungen\Verkauf\Startmenü\Programme\Autostart\hootmfeu.exe                                              66574 bytes executable

File            C:\Programme\EWxafeLE\hootmfeu.exe                                                                                             66574 bytes executable
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Mist -.-... Virenscaner angelassen...

unsere arbeit war bisher nicht von erfolg gekrönt. vllt sollten wir kurzen prozess machen und daten sichern, vorher musst du aber unbedingt autorun ausschalten, sonst infizierst du usb sticks.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann gebe ich dir, falls erwünscht, tipps zum absichern des systems.