Trojaner-Board - 'ADWARE/ClickPotato.A.199' in 'C:\Programme\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSA.exe'

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 'ADWARE/ClickPotato.A.199' in 'C:\Programme\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSA.exe' (https://www.trojaner-board.de/100140-adware-clickpotato-a-199-c-programme-clickpotatolite-10-0-668-0-clickpotatolitesa-exe.html)

Hallo Ihr lieben Helfer, wir haben via Antivir eine Malware auf dem PC gefunden,
der immer wieder erscheint sobald wir ihn löschenoder in Quarantäne verchieben.

Hier die Meldung von Antivir:

Die Datei 'C:\Programme\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSA.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/ClickPotato.A.199' [Not defined Category].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e59d45f.qua' verschoben!

1. Antivir läuft gerade nochmal durch, werde den Bericht posten sobald die Prüfung abgeschlossen ist.

2. soll ich schon den defrogger und OTL runterladen und die Programme ausführen?
(Ich war schon mal vor 2 Jahren mit einem Problem hier, damals waren es andere Programme daher bin ich verunsichert.

Habe in der Anleitung für Hilfesuchenden diese beiden Programme für die ersten Schritte gefunden.)

3. Welche Infos bzgl. meine Problems, bzw. Infos über den Rechner benötigt ihr noch?

Bitte nicht schimpfen dass ich so blöde fragen stelle, da es doch die Hilfestellung gibt.

Danke schon mal im Voraus...ich weiss wie gut ihr seid.

MFG ehkarch

P.S. Sorry habe mein Problem ausversehen auch in Log Analyse und Auswertung gepostet, werde es dort löschen.

Hallo,

1. Zwei AntiVir Bericht im Anhang

2. ich habe Defrogger runtergeladen, gestartet (Disable gedrückt), Scandurchlauf mit OK bestätigt...nur fordert er mich nicht zum Neustart des PC`s auf und ich habe auch keine Logfile auf dem Desktop?

Was muss ich tun?

Vielen Dank im Voraus

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo, hier das Ergebnis von Malewarebytes:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6820

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.06.2011 21:18:28
mbam-log-2011-06-09 (21-18-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 231420
Laufzeit: 39 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 12
Infizierte Dateien: 18

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{C55CA95C-324B-451C-B2D2-6E895AA75FEC} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info.1 (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-

8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7A3D6D17-9DD5-4C60-8076-D1784DABAF8C} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{814BAA91-DC22-4350-87D6-0C86E93F7F08} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_CLASSES_ROOT\CLSID\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) ->

Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Quarantined and

deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Quarantined and

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-

AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-

9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B58926D6-CFB0-45D2-

9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-

CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low

Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) ->

Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-

CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClickPotatoLiteSA

(Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted

successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ScanQuery (Adware.ScanQuery) -> Quarantined and deleted

successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ClickPotatoLiteSA

(Adware.ClickPotato) -> Value: ClickPotatoLiteSA -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\ClickPotatoLite@ClickPotatoLite.komm

(Adware.ClickPotato) -> Value: ClickPotatoLite@ClickPotatoLite.com -> Quarantined and

deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\anwendungsdaten\2aca5cc3-0f83-453d-a079-

1076fe1a8b65 (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\clickpotatolitesa

(Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\******\anwendungsdaten\clickpotatolite

(Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programme\clickpotatolite (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin (Adware.ClickPotato) -> Quarantined and deleted

successfully.
c:\programme\clickpotatolite\bin\10.0.668.0 (Adware.ClickPotato) -> Quarantined and deleted

successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\firefox (Adware.ClickPotato) -> Quarantined and

deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\firefox\extensions (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\firefox\extensions\plugins (Adware.ClickPotato)

-> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato

(Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programme\scanquery (Adware.ScanQuery) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\scanquery (Adware.ScanQuery) ->

Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\clickpotatolite\bin\10.0.668.0\clickpotatolitesaax.dll (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\clickpotatolitesabho.dll (Adware.ClickPotato)

-> Quarantined and deleted successfully.
c:\dokumente und einstellungen\******\eigene dateien\downloads\xvidsetup.exe

(Adware.Hotbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\******\lokale einstellungen\Temp\sai13.exe

(Adware.ScanQuery) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\******\lokale

einstellungen\Temp\nsa18.tmp\uninstall.exe (Adware.ScanQuery) -> Quarantined and deleted

successfully.
c:\programme\mozilla firefox\plugins\npclntax_clickpotatolitesa.dll (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\clickpotatoliteuninstaller.exe

(Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0

\firefox\extensions\plugins\npclntax_clickpotatolitesa.dll (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\dokumente und einstellungen\all

users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaabout.mht (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\dokumente und einstellungen\all

users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaeula.mht (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\dokumente und einstellungen\all

users\anwendungsdaten\clickpotatolitesa\clickpotatolitesa.dat (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\dokumente und einstellungen\all

users\anwendungsdaten\clickpotatolitesa\clickpotatolitesaau.dat (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\dokumente und einstellungen\all

users\anwendungsdaten\clickpotatolitesa\clickpotatolitesa_kyf.dat (Adware.ClickPotato) ->

Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\clickpotatolitesahook.dll (Adware.ClickPotato)

-> Quarantined and deleted successfully.
c:\programme\clickpotatolite\bin\10.0.668.0\firefox\extensions\install.rdf

(Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\clickpotato

customer support.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\clickpotato

uninstall instructions.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\clickpotato\About Us.lnk

(Adware.ClickPotato) -> Quarantined and deleted successfully.

FRAGE ZU OTL:

Ich habe zwei Anleitungen zu OTL gefunden und weiss nun nicht welche ich nehmen soll:

1. über "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?"

--> hier wäre meine Frage zu dem Punkt "Kopiere nun den Inhalt in die benutzerdefinierte Scans/FixesTextbox."

----> soll ich hier den Text der auf der TB-Seite (unterhalb der Anweisung) steht, auf OTL in die Box "Benutzerdefinierte Scans/Fixes" kopieren???? und den Scan ausführen?

2. über den Link OTL.exe gelange ich zu einer anderen Anleitung.

> Oh je ich hoffe Ihr habt mein Problem verstanden und haltet mich nicht für total dämlich. Ich bin zur Zeit auch etwas neben der Spur das gebe ich zu.:confused::confused:

Ich habe jetzt mal die Version 2 durchgeführt und Poste diese nun erstmal. (also mit freiem Scan/Fixes-Feld)):confused:

Würde mich auch über eine Rückmeldung welcher der beiden Varianten ich nehmen soll, freuen.

Dank im Voraus und Gruesse

ehkarch

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinuns,

habe nun noch die erste Variante (mit Kopieren und Einfügen in die Benutzer Scan/Fixes) gemacht und als Anhang eingefügt. :-)

Sorrs für meine blöde Frage....:stirn:

Eine weiter Frage habe ich noch und habe hierzu auch nix in einer Anleitung gefunden:
Wie kann ich die Berichte einfügen dass sie in dem Beitrag in so einem dunkelgelben Feld erscheinen. Hatte schon mal gewusst wie das geht aber leider vergessen

Ist dies für Euch parktischer?

Grüsse ehkarch

Du musst die Logs in Codetags posten, ich poste sie jetzt mal so, dass aus ihnen nicht ein Kasten wird:

[code]

hier das Log rein

[/code]

Das ganze sieht dann so aus:

Code:



hier das Log rein

Hallo Cosinuns,

1. gut dann poste ich das OTL-Ergebnis mal als Codefile:

OTL Logfile:

Code:

OTL logfile created on: 10.06.2011 11:52:36 - Run 2

OTL by OldTimer - Version 3.2.23.0     Folder = C:\Dokumente und Einstellungen\ÜÜÜÜÜÜ\Eigene Dateien\Downloads

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

446,48 Mb Total Physical Memory | 67,64 Mb Available Physical Memory | 15,15% Memory free

1,03 Gb Paging File | 0,62 Gb Available in Paging File | 59,85% Paging File free

Paging file location(s): C:\pagefile.sys 672 1344 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 71,82 Gb Total Space | 43,86 Gb Free Space | 61,07% Space Free | Partition Type: FAT32

Drive D: | 72,31 Gb Total Space | 72,27 Gb Free Space | 99,95% Space Free | Partition Type: FAT32

 

Computer Name: ********** | User Name: ******** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2011.06.09 21:32:22 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\********\Eigene Dateien\Downloads\OTL.exe

PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2008.10.24 16:34:34 | 000,068,865 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe

PRC - [2008.10.24 16:34:32 | 000,151,297 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

PRC - [2008.07.19 10:39:26 | 000,266,497 | ---- | M] (Avira GmbH) -- C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

PRC - [2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Telefonanbieter, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

PRC - [2006.01.19 09:46:42 | 000,110,592 | ---- | M] (Acer Inc.) -- C:\Programme\Acer\Acer eMode Management\AspireService.exe

PRC - [2005.11.16 17:00:50 | 000,397,312 | ---- | M] (acer Inc.) -- C:\Acer\Empowering Technology\eRecovery\Monitor.exe

PRC - [2005.09.22 16:42:00 | 000,090,112 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe

PRC - [2005.09.21 13:48:42 | 000,425,984 | ---- | M] (Acer Inc.) -- C:\Programme\Acer\Acer eConsole\MediaSync.exe

PRC - [2005.09.21 13:46:56 | 000,438,272 | ---- | M] (Acer Inc.) -- C:\Programme\Acer\Acer eConsole\MediaServerService.exe

PRC - [2001.07.09 15:38:10 | 000,356,352 | ---- | M] (Common Group) -- C:\WINDOWS\twain_32\S6U12K\WATCH.exe

PRC - [2000.11.13 16:40:08 | 000,028,672 | ---- | M] () -- C:\WINDOWS\Gtwatch.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2011.06.09 21:32:22 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\********\Eigene Dateien\Downloads\OTL.exe

MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)

SRV - [2008.10.24 16:34:34 | 000,068,865 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)

SRV - [2008.10.24 16:34:32 | 000,151,297 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)

SRV - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Telefonanbieter, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)

SRV - [2005.09.21 13:46:56 | 000,438,272 | ---- | M] (Acer Inc.) [Auto | Running] -- C:\Programme\Acer\Acer eConsole\MediaServerService.exe -- (Acer Media Server)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)

DRV - [2009.05.30 10:23:58 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)

DRV - [2009.05.30 10:23:48 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)

DRV - [2008.04.13 20:53:10 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)

DRV - [2006.10.04 09:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)

DRV - [2005.09.22 16:34:00 | 003,727,680 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)

DRV - [2005.07.29 17:11:04 | 000,012,928 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)

DRV - [2005.07.29 17:11:02 | 000,034,048 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)

DRV - [2005.03.09 15:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)

DRV - [2005.02.23 14:58:56 | 000,011,776 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)

DRV - [2005.01.13 14:46:16 | 000,069,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Acer\Empowering Technology\eRecovery\int15.sys -- (int15.sys)

DRV - [2001.08.17 13:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)

DRV - [2001.05.29 17:54:52 | 000,017,012 | ---- | M] (   ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gt680x.sys -- (GT680x)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://ÜÜÜ.google.com/ie

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ÜÜÜ.google.com/ie

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://ÜÜÜ.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://ÜÜÜ.google.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://ÜÜÜ.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ÜÜÜ.google.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://ÜÜÜ.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ÜÜÜ.google.com/ie

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "hxxp://ÜÜÜ.google.de/"

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.02.12 14:37:48 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.02.12 14:37:48 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2006.09.23 16:23:38 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2006.09.23 16:23:38 | 000,000,000 | ---D | M]

 

[2009.02.12 14:39:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Mozilla\Extensions

[2009.02.12 14:39:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Mozilla\Firefox\Profiles\gqzftst8.default\extensions

[2011.03.14 21:00:12 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Mozilla\Firefox\Profiles\gqzftst8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2009.02.12 14:37:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2011.01.23 17:35:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

[2011.01.23 17:35:00 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF

[2011.01.23 17:34:58 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2011.03.13 12:17:34 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2011.03.13 12:17:34 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2011.03.13 12:17:34 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2011.03.13 12:17:34 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2011.03.13 12:17:34 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 05:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)

O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe (Acer Inc.)

O4 - HKLM..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)

O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe (acer Inc.)

O4 - HKLM..\Run: [Gtwatch] C:\WINDOWS\Gtwatch.exe ()

O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [LaunchApp] C:\WINDOWS\Alaunch.exe (Acer Inc.)

O4 - HKLM..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe (Acer Inc.)

O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()

O4 - HKLM..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe ()

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Watch.lnk = C:\WINDOWS\twain_32\S6U12K\WATCH.exe (Common Group)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)

O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()

O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()

O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll (Google Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005.01.26 12:43:22 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /HideWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

NetSvcs: 6to4 -  File not found

NetSvcs: AppMgmt -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (17183584330711040)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.06.09 20:32:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Malwarebytes

[2011.06.09 20:32:42 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2011.06.09 20:32:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2011.06.09 20:32:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2011.06.09 20:32:31 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2011.06.09 20:32:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2011.06.08 09:38:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Goodsol

[2011.06.08 09:35:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2011.06.06 11:11:18 | 000,304,128 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\unin0407.exe

[2011.05.23 10:28:24 | 000,000,000 | -HSD | C] -- C:\FOUND.004

[2006.12.20 11:16:46 | 000,017,012 | ---- | C] (   ) -- C:\WINDOWS\System32\drivers\gt680x.sys

[2006.10.26 19:31:58 | 000,928,832 | ---- | C] (Google) -- C:\Programme\GoogleToolbarInstaller.exe

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[38 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2 C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]

[18 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.06.10 11:21:30 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2011.06.10 11:21:26 | 000,000,682 | ---- | M] () -- C:\WINDOWS\System32\eRLog.ini

[2011.06.10 11:20:38 | 000,001,104 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2011.06.10 11:20:36 | 000,041,237 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml

[2011.06.10 11:20:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2011.06.10 11:20:20 | 468,242,432 | -HS- | M] () -- C:\hiberfil.sys

[2011.06.09 22:07:02 | 000,001,108 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2011.06.09 20:32:44 | 000,000,664 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2011.06.09 16:47:10 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\********\defogger_reenable

[2011.06.06 10:38:06 | 000,002,571 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\OpenOffice.org Writer (2).lnk

[2011.06.01 09:34:14 | 000,000,046 | -H-- | M] () -- C:\Dokumente und Einstellungen\********\Eigene Dateien\.picasa.ini

[2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2011.05.15 19:30:52 | 000,250,262 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Angebot 2.JPG

[2011.05.15 19:24:22 | 000,069,800 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Angebote 1.JPG

[2011.05.15 19:22:40 | 000,142,936 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Stromlieferung Ihre Zaehlernummer.JPG

[2011.05.15 19:22:26 | 000,090,591 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Beendigung der Belieferung TelDaFax.JPG

[2011.05.15 19:05:02 | 011,362,622 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\****** Geburtsurkunde00012.bmp

[2011.05.15 19:02:48 | 007,329,366 | ---- | M] () -- C:\Dokumente und Einstellungen\********\Desktop\****** Geburtsurkunde00011.bmp

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[38 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2 C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]

[18 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011.06.09 20:32:42 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2011.06.09 16:47:08 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\********\defogger_reenable

[2011.06.01 09:34:13 | 000,000,046 | -H-- | C] () -- C:\Dokumente und Einstellungen\********\Eigene Dateien\.picasa.ini

[2011.05.15 19:30:51 | 000,250,262 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Angebot 2.JPG

[2011.05.15 19:24:21 | 000,069,800 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Angebote 1.JPG

[2011.05.15 19:22:38 | 000,142,936 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Stromlieferung Ihre Zaehlernummer.JPG

[2011.05.15 19:22:24 | 000,090,591 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\Stromanbieter Beendigung der Belieferung TelDaFax.JPG

[2011.05.15 19:05:00 | 011,362,622 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\****** Geburtsurkunde00012.bmp

[2011.05.15 19:02:47 | 007,329,366 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Desktop\****** Geburtsurkunde00011.bmp

[2011.04.29 21:50:24 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2011.04.29 21:50:24 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2010.08.23 08:27:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ui.INI

[2008.03.24 14:36:30 | 000,015,360 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.01.22 17:01:59 | 000,000,075 | ---- | C] () -- C:\WINDOWS\PuzzleGame.INI

[2007.12.02 13:27:54 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2007.07.24 19:19:39 | 000,001,697 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2006.12.20 11:44:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\WATCH.INI

[2006.12.20 11:16:46 | 000,028,672 | ---- | C] () -- C:\WINDOWS\Gtwatch.exe

[2006.09.23 17:41:31 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini

[2006.09.23 16:59:22 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

[2006.09.23 16:34:25 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL

[2006.09.23 16:23:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2006.09.23 16:23:37 | 000,002,993 | ---- | C] () -- C:\WINDOWS\mozver.dat

[2006.09.23 14:11:39 | 000,000,682 | ---- | C] () -- C:\WINDOWS\System32\eRLog.ini

[2006.09.23 14:05:20 | 000,114,688 | ---- | C] () -- C:\WINDOWS\PowerOption.exe

[2006.09.23 14:05:20 | 000,000,294 | ---- | C] () -- C:\WINDOWS\PowerOption.ini

[2006.05.25 06:57:40 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2006.05.25 06:57:40 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe

[2006.05.25 06:57:40 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2006.05.25 06:57:40 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe

[2006.05.25 06:57:40 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2006.05.25 06:57:40 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll

[2006.05.25 06:57:40 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2006.05.25 06:57:40 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe

[2006.05.25 06:57:40 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

[2006.05.25 06:57:40 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll

[2006.05.25 06:57:39 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe

[2005.10.24 18:22:38 | 000,001,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat

[2005.10.20 12:50:20 | 000,000,083 | ---- | C] () -- C:\WINDOWS\ALaunch.ini

[2005.09.16 14:14:00 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2005.07.15 16:48:00 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe

[2005.02.03 11:11:40 | 000,008,073 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2005.01.26 13:09:48 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2005.01.26 13:09:36 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2005.01.26 13:06:20 | 000,169,096 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2005.01.26 12:43:44 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll

[2005.01.26 12:43:00 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll

[2005.01.26 12:43:00 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll

[2005.01.26 12:43:00 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll

[2005.01.26 12:43:00 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll

[2005.01.26 12:41:34 | 000,460,664 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2005.01.26 12:41:34 | 000,442,602 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2005.01.26 12:41:34 | 000,085,396 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2005.01.26 12:41:34 | 000,071,868 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2005.01.26 12:30:14 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2005.01.26 12:29:06 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2004.12.17 17:14:44 | 000,013,952 | ---- | C] () -- C:\WINDOWS\System32\drivers\UBHelper.sys

[2004.08.04 05:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2004.08.04 05:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2004.08.04 05:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2004.08.04 05:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2004.08.04 05:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2004.08.04 05:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2004.08.04 05:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2004.08.04 05:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2004.08.04 05:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin

[2004.08.04 05:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2002.05.24 00:34:46 | 000,032,768 | ---- | C] () -- C:\WINDOWS\AMOVE.EXE

[2001.12.26 16:12:30 | 000,065,536 | R--- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll

[2001.09.03 23:46:38 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Hmpg12.dll

[2001.08.26 02:04:08 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2001.08.26 02:02:42 | 000,004,524 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

[2001.07.30 16:33:56 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll

[2001.07.23 22:04:36 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll

[2001.07.06 00:19:00 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini

[1997.03.03 12:43:48 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL

[1997.03.03 12:38:58 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL

 
 ========== LOP Check ==========

 

[2006.09.23 16:34:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

[2006.09.23 16:58:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

[2006.09.23 17:41:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eConsole

[2010.12.07 19:11:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online

[2006.09.23 16:23:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Thunderbird

[2006.09.23 16:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Goodsol

[2009.02.08 13:36:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\Opera

[2009.08.23 13:20:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\GARMIN

[2010.12.07 18:37:22 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\.#

[2010.12.07 19:12:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\********\Anwendungsdaten\T-Online

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*. >

[2005.01.11 21:31:46 | 000,000,000 | ---D | M] -- C:\i386

[2004.08.04 05:00:00 | 000,000,000 | ---D | M] -- C:\VALUEADD

[2004.08.04 05:00:00 | 000,000,000 | ---D | M] -- C:\dotnetfx

[2007.10.17 16:02:34 | 000,000,000 | -HSD | M] -- C:\FOUND.000

[2008.06.01 12:26:02 | 000,000,000 | -HSD | M] -- C:\FOUND.001

[2005.01.26 12:18:06 | 000,000,000 | ---D | M] -- C:\drv

[2005.01.26 12:18:42 | 000,000,000 | ---D | M] -- C:\GUIDE

[2005.01.11 21:31:48 | 000,000,000 | ---D | M] -- C:\WINDOWS

[2005.01.26 12:24:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen

[2005.01.26 12:29:40 | 000,000,000 | R--D | M] -- C:\Programme

[2005.01.26 12:42:30 | 000,000,000 | ---D | M] -- C:\Acer

[2005.01.26 13:12:22 | 000,000,000 | ---D | M] -- C:\SYSINFO

[2008.06.21 21:53:24 | 000,000,000 | -HSD | M] -- C:\FOUND.002

[2011.01.22 09:13:58 | 000,000,000 | -HSD | M] -- C:\FOUND.003

[2006.09.23 14:03:54 | 000,000,000 | -HSD | M] -- C:\System Volume Information

[2011.05.23 10:28:24 | 000,000,000 | -HSD | M] -- C:\FOUND.004

[2006.09.23 15:16:08 | 000,000,000 | -HSD | M] -- C:\Recycled

[2006.12.28 10:02:00 | 000,000,000 | ---D | M] -- C:\scaner

[2011.04.15 20:10:08 | 000,000,000 | -HSD | M] -- C:\Config.Msi

 
 < %PROGRAMFILES%\*.exe >

[2006.10.26 19:32:10 | 000,928,832 | ---- | M] (Google) -- C:\Programme\GoogleToolbarInstaller.exe

 

Invalid Environment Variable: LOCALAPPDATA

 
 < %systemroot%\*. /mp /s >

 

 
 < MD5 for: EXPLORER.EXE  >

[2004.08.04 05:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

[2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

[2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe

[2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[2007.06.13 15:21:46 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

 
 < MD5 for: REGEDIT.EXE  >

[2004.08.04 05:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe

[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe

[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe

[2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[2004.08.04 05:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2004.08.04 05:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-05-14 18:54:54

 
 <           >

2. nochmal die Frage zu dem Defroggerprogramm:

Ich habe Defrogger runtergeladen, gestartet (Disable gedrückt), Scandurchlauf mit OK bestätigt...nur fordert er mich nicht zum Neustart des PC`s auf und ich habe auch keine Logfile auf dem Desktop?

Habe ich da mal wieder was falsch gemacht??

So ich hoffe Du kannst damit jetzt was anfangen mit dem OTL-Ergebnis. :-)

Grüße, ehkarch

< End of report >[/CODE]
--- --- ---

Das Log vom defogger brauch ich nicht unbedingt...

Zitat:

FAT32 ist nicht mehr zeitgemäß, dafür instabil und unsicher - können wir nachher zu NTFS konvertieren.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

:Files

C:\FOUND.*

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Huhu,

1. Das OTL-Fix Ergebnis:

Code:

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

========== FILES ==========

C:\FOUND.000 folder moved successfully.

C:\FOUND.001 folder moved successfully.

C:\FOUND.002 folder moved successfully.

C:\FOUND.003 folder moved successfully.

C:\FOUND.004 folder moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.23.0 log created on 06102011_143802

--> hat keinen Neustart verlangt! :dummguck:

2. Defrogger:
OkiDoki :-)

3. FAT32 - FNTS:

Oh klasse...habe davon keine Ahnung und ist auch der Rechner meiner Eltern!

Wäre grossartig!!!! :-) :-) :singsing::singsing:

ehkarch

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Cosinus,

Auftrag ausgeführt....TDSSKiller hat nix gefunden: :singsing:

Code:



2011/06/10 16:34:34.0718 3228        TDSS rootkit removing tool 2.5.4.0 Jun  7 2011 17:31:48

2011/06/10 16:34:35.0015 3228        ================================================================================

2011/06/10 16:34:35.0015 3228        SystemInfo:

2011/06/10 16:34:35.0015 3228        

2011/06/10 16:34:35.0015 3228        OS Version: 5.1.2600 ServicePack: 3.0

2011/06/10 16:34:35.0015 3228        Product type: Workstation

2011/06/10 16:34:35.0015 3228        ComputerName: *****

2011/06/10 16:34:35.0015 3228        UserName: *****

2011/06/10 16:34:35.0015 3228        Windows directory: C:\WINDOWS

2011/06/10 16:34:35.0015 3228        System windows directory: C:\WINDOWS

2011/06/10 16:34:35.0015 3228        Processor architecture: Intel x86

2011/06/10 16:34:35.0015 3228        Number of processors: 1

2011/06/10 16:34:35.0015 3228        Page size: 0x1000

2011/06/10 16:34:35.0015 3228        Boot type: Normal boot

2011/06/10 16:34:35.0015 3228        ================================================================================

2011/06/10 16:34:36.0218 3228        Initialize success

2011/06/10 16:38:55.0843 1396        ================================================================================

2011/06/10 16:38:55.0843 1396        Scan started

2011/06/10 16:38:55.0843 1396        Mode: Manual; 

2011/06/10 16:38:55.0843 1396        ================================================================================

2011/06/10 16:38:56.0593 1396        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2011/06/10 16:38:56.0734 1396        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys

2011/06/10 16:38:57.0046 1396        aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2011/06/10 16:38:57.0156 1396        Afc             (a7b8a3a79d35215d798a300df49ed23f) C:\WINDOWS\system32\drivers\Afc.sys

2011/06/10 16:38:57.0281 1396        AFD             (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys

2011/06/10 16:38:57.0921 1396        ALCXWDM         (93f93a8e3e14cbbf1ce9a5af1a70c095) C:\WINDOWS\system32\drivers\ALCXWDM.SYS

2011/06/10 16:38:58.0250 1396        AmdK8           (769844eb65df6a62aa51b886290fe51d) C:\WINDOWS\system32\DRIVERS\AmdK8.sys

2011/06/10 16:38:58.0515 1396        Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys

2011/06/10 16:38:59.0031 1396        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2011/06/10 16:38:59.0187 1396        atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2011/06/10 16:38:59.0437 1396        Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2011/06/10 16:38:59.0531 1396        audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2011/06/10 16:38:59.0640 1396        avgio           (87828ecd657f81503465ac705e845076) C:\Programme\AntiVir PersonalEdition Classic\avgio.sys

2011/06/10 16:38:59.0734 1396        avgntflt        (fcb30820bed1d3feb55e3dd55a3f947f) C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys

2011/06/10 16:38:59.0828 1396        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2011/06/10 16:38:59.0906 1396        cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2011/06/10 16:39:00.0078 1396        Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2011/06/10 16:39:00.0218 1396        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2011/06/10 16:39:00.0343 1396        Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2011/06/10 16:39:01.0109 1396        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2011/06/10 16:39:01.0265 1396        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys

2011/06/10 16:39:01.0421 1396        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys

2011/06/10 16:39:01.0453 1396        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2011/06/10 16:39:01.0593 1396        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2011/06/10 16:39:01.0843 1396        drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2011/06/10 16:39:02.0015 1396        Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2011/06/10 16:39:02.0140 1396        Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2011/06/10 16:39:02.0250 1396        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys

2011/06/10 16:39:02.0390 1396        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2011/06/10 16:39:02.0453 1396        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2011/06/10 16:39:02.0500 1396        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2011/06/10 16:39:02.0531 1396        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2011/06/10 16:39:02.0640 1396        Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2011/06/10 16:39:02.0750 1396        grmnusb         (d956358054e99e6ffac69cd87e893a89) C:\WINDOWS\system32\drivers\grmnusb.sys

2011/06/10 16:39:02.0859 1396        GT680x          (eae6bf57ccae79111535e833e47abcfb) C:\WINDOWS\system32\DRIVERS\GT680x.SYS

2011/06/10 16:39:03.0031 1396        hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2011/06/10 16:39:03.0328 1396        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2011/06/10 16:39:03.0703 1396        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2011/06/10 16:39:03.0906 1396        Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2011/06/10 16:39:04.0328 1396        Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2011/06/10 16:39:04.0390 1396        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2011/06/10 16:39:04.0531 1396        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2011/06/10 16:39:04.0703 1396        IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2011/06/10 16:39:04.0843 1396        IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2011/06/10 16:39:05.0000 1396        irda            (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys

2011/06/10 16:39:05.0156 1396        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2011/06/10 16:39:05.0265 1396        irsir           (0501f0b9ab08425f8c0eacbdcc04aa32) C:\WINDOWS\system32\DRIVERS\irsir.sys

2011/06/10 16:39:05.0421 1396        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2011/06/10 16:39:05.0562 1396        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2011/06/10 16:39:05.0703 1396        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

2011/06/10 16:39:05.0843 1396        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2011/06/10 16:39:05.0953 1396        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2011/06/10 16:39:06.0265 1396        MACNDIS5        (e949d673842858d458f7e6bcd46a2a5d) C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS

2011/06/10 16:39:06.0421 1396        MBAMSwissArmy   (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2011/06/10 16:39:06.0515 1396        mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2011/06/10 16:39:06.0671 1396        Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys

2011/06/10 16:39:06.0812 1396        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2011/06/10 16:39:06.0890 1396        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2011/06/10 16:39:07.0015 1396        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2011/06/10 16:39:07.0281 1396        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2011/06/10 16:39:07.0421 1396        MRxSmb          (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2011/06/10 16:39:07.0578 1396        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2011/06/10 16:39:07.0718 1396        MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2011/06/10 16:39:07.0859 1396        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2011/06/10 16:39:07.0984 1396        MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2011/06/10 16:39:08.0062 1396        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2011/06/10 16:39:08.0187 1396        Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2011/06/10 16:39:08.0328 1396        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2011/06/10 16:39:08.0453 1396        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2011/06/10 16:39:08.0593 1396        Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2011/06/10 16:39:08.0718 1396        NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2011/06/10 16:39:08.0796 1396        NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys

2011/06/10 16:39:08.0937 1396        NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2011/06/10 16:39:09.0046 1396        NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2011/06/10 16:39:09.0296 1396        NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys

2011/06/10 16:39:09.0437 1396        nm              (1e421a6bcf2203cc61b821ada9de878b) C:\WINDOWS\system32\DRIVERS\NMnt.sys

2011/06/10 16:39:09.0562 1396        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2011/06/10 16:39:09.0734 1396        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2011/06/10 16:39:09.0843 1396        NTIDrvr         (7f1c1f78d709c4a54cbb46ede7e0b48d) C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys

2011/06/10 16:39:09.0906 1396        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2011/06/10 16:39:10.0109 1396        nv              (6f6f92603a4311a466f0241e8ef951fb) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys

2011/06/10 16:39:10.0296 1396        NVENETFD        (2a7a2c6ab9631028b6e3a4159aa65705) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys

2011/06/10 16:39:10.0406 1396        nvnetbus        (20526a8827dc0956b5526aebcb6751a0) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys

2011/06/10 16:39:10.0484 1396        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2011/06/10 16:39:10.0546 1396        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2011/06/10 16:39:10.0703 1396        ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys

2011/06/10 16:39:10.0828 1396        Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys

2011/06/10 16:39:10.0953 1396        PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2011/06/10 16:39:11.0000 1396        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys

2011/06/10 16:39:11.0109 1396        PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys

2011/06/10 16:39:11.0312 1396        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys

2011/06/10 16:39:11.0453 1396        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys

2011/06/10 16:39:12.0500 1396        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2011/06/10 16:39:12.0625 1396        Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys

2011/06/10 16:39:12.0750 1396        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2011/06/10 16:39:12.0796 1396        Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2011/06/10 16:39:13.0625 1396        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2011/06/10 16:39:13.0734 1396        Rasirda         (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys

2011/06/10 16:39:13.0859 1396        Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2011/06/10 16:39:13.0968 1396        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2011/06/10 16:39:14.0031 1396        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2011/06/10 16:39:14.0171 1396        Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2011/06/10 16:39:14.0218 1396        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2011/06/10 16:39:14.0375 1396        RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2011/06/10 16:39:14.0531 1396        redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys

2011/06/10 16:39:14.0734 1396        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2011/06/10 16:39:14.0843 1396        serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2011/06/10 16:39:14.0937 1396        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys

2011/06/10 16:39:15.0062 1396        Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2011/06/10 16:39:15.0281 1396        SONYPVU1        (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS

2011/06/10 16:39:15.0515 1396        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2011/06/10 16:39:15.0640 1396        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys

2011/06/10 16:39:15.0750 1396        Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys

2011/06/10 16:39:15.0890 1396        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2011/06/10 16:39:16.0000 1396        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2011/06/10 16:39:16.0671 1396        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2011/06/10 16:39:16.0828 1396        Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2011/06/10 16:39:16.0968 1396        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2011/06/10 16:39:17.0078 1396        TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2011/06/10 16:39:17.0218 1396        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2011/06/10 16:39:17.0500 1396        UBHelper        (e0c67be430c6de490d6ccaecfa071f9e) C:\WINDOWS\system32\drivers\UBHelper.sys

2011/06/10 16:39:17.0625 1396        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2011/06/10 16:39:17.0812 1396        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2011/06/10 16:39:17.0968 1396        usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2011/06/10 16:39:18.0125 1396        usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2011/06/10 16:39:18.0218 1396        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2011/06/10 16:39:18.0296 1396        usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys

2011/06/10 16:39:18.0406 1396        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

2011/06/10 16:39:18.0500 1396        usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

2011/06/10 16:39:18.0593 1396        USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2011/06/10 16:39:18.0687 1396        VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2011/06/10 16:39:18.0890 1396        VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys

2011/06/10 16:39:19.0000 1396        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2011/06/10 16:39:19.0234 1396        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2011/06/10 16:39:19.0484 1396        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2011/06/10 16:39:19.0578 1396        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2011/06/10 16:39:19.0625 1396        MBR (0x1B8)     (99852d5c3a78447c3d6d82b6155fe848) \Device\Harddisk0\DR0

2011/06/10 16:39:19.0718 1396        ================================================================================

2011/06/10 16:39:19.0718 1396        Scan finished

2011/06/10 16:39:19.0718 1396        ================================================================================

2011/06/10 16:39:19.0734 3704        Detected object count: 0

2011/06/10 16:39:19.0734 3704        Actual detected object count: 0

2. Soll ich Malewarebytes auch noch durchlaufen lassen? (So wie in der Anleitung für TDSSKILLER aufgeführt?)

3. Was haben wir eigendlich für einen Wurm/Virus oder anderen Plagegeist? :confused:

Grüsse und grossartig wie schnell das alles klappt mit Euch. Einfach Super!!

Frohe Ehkarch.

Nö, Malwarebytes machen wir später nochmal. Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Haallo,

ich habe Cobofix durchlaufen lassen, soll ich dort nach Aufforderung "alle Fehler" beheben?

ehkarch

Hallo Cosinus,

bitte meinen letzten Eintrag ignorieren! War ein anderes Programm welches ich fälschlicherweise habe laufen lassen.

Habe meinen Fehler bemerkt und nun kommen die Ergebnisse zu ComboFix:

Combofix Logfile:

Code:

ComboFix 11-06-10.0A - ************************* 11.06.2011  14:22:22.1.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.446.244 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\*************************\Desktop\CoFi.exe

AV: Avira AntiVir PersonalEdition Classic *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804FD2B8-FFA4-010D-0D24-347CA8A3377C}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\*************************\Anwendungsdaten\.#

c:\dokumente und einstellungen\*************************\Recent\skat.url

c:\dokumente und einstellungen\*************************\Recent\Thumbs.db

c:\dokumente und einstellungen\*************************\Recent\Turbo Turbolader VW Golf 4 1,9 TDI A3 Skoda Oktavia bei eBay.de Antrieb, Motor Getriebe (endet 22.02.09 201344 MEZ).URL

c:\dokumente und einstellungen\*************************\WINDOWS

c:\programme\Internet Explorer\SET78.tmp

c:\programme\Internet Explorer\SET79.tmp

c:\windows\IsUn0407.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-11 bis 2011-06-11  ))))))))))))))))))))))))))))))

.

.

2011-06-11 12:16 . 2011-06-11 12:16        --------        d-----w-        C:\CoFi

2011-06-11 08:02 . 2011-06-11 08:02        --------        d-----w-        c:\dokumente und einstellungen\*************************\Anwendungsdaten\Reviversoft

2011-06-11 08:02 . 2011-06-11 08:02        --------        d-----w-        c:\programme\Reviversoft

2011-06-11 08:02 . 2011-05-17 12:51        16704        ----a-w-        c:\windows\system32\roboot.exe

2011-06-10 12:38 . 2011-06-10 12:38        --------        d-----w-        C:\_OTL

2011-06-09 18:32 . 2011-06-09 18:32        --------        d-----w-        c:\dokumente und einstellungen\*************************\Anwendungsdaten\Malwarebytes

2011-06-09 18:32 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-06-09 18:32 . 2011-06-09 18:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-06-09 18:32 . 2011-06-09 18:32        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-06-09 18:32 . 2011-05-29 07:11        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-06-08 07:38 . 2011-06-08 07:38        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Goodsol

2011-06-08 07:35 . 2011-06-08 07:36        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2011-06-08 07:34 . 2011-06-08 07:34        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-24 09:28 . 2011-04-24 09:28        0        ---ha-w-        c:\dokumente und einstellungen\*************************\Lokale Einstellungen\Anwendungsdaten\BITD.tmp

2011-04-24 09:28 . 2011-04-24 09:28        0        ---ha-w-        c:\dokumente und einstellungen\*************************\Lokale Einstellungen\Anwendungsdaten\BITC.tmp

2011-04-13 22:40 . 2011-04-13 22:40        4284416        ----a-w-        c:\windows\system32\GPhotos.scr

2011-03-21 13:58 . 2011-04-29 19:50        152064        ----a-w-        c:\windows\system32\xvid.ax

2011-03-19 15:06 . 2011-04-29 19:50        240640        ----a-w-        c:\windows\system32\xvidvfw.dll

2011-03-19 15:04 . 2011-04-29 19:50        650752        ----a-w-        c:\windows\system32\xvidcore.dll

2006-10-26 17:32 . 2006-10-26 17:31        928832        ----a-w-        c:\programme\GoogleToolbarInstaller.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-26 68856]

"Registry Reviver"="c:\programme\Reviversoft\Registry Reviver\RegistryReviver.exe" [2011-05-17 1736000]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]

"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-11 7311360]

"nwiz"="nwiz.exe" [2005-11-11 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-11-11 86016]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"AspireService"="c:\programme\Acer\Acer eMode Management\AspireService.exe" [2006-01-19 110592]

"MediaSync"="c:\programme\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 425984]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]

"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

"Gtwatch"="c:\windows\Gtwatch.exe" [2000-11-13 28672]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Watch.lnk - c:\windows\twain_32\S6U12K\WATCH.exe [2006-12-20 356352]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\TightVNC\\WinVNC.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\System32\\ftp.exe"=

"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5800:TCP"= 5800:TCP:vnc5800

"5900:TCP"= 5900:TCP:VNC5900

.

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [07.12.2010 19:11 61440]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 19:42 136176]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 19:42 136176]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [07.12.2010 19:11 17280]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [09.06.2011 20:32 39984]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - INT15.SYS

.

Inhalt des "geplante Tasks" Ordners

.

2011-06-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-11 17:42]

.

2011-06-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-11 17:42]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html

TCP: DhcpNameServer = 192.168.0.1

FF - ProfilePath - c:\dokumente und einstellungen\*************************\Anwendungsdaten\Mozilla\Firefox\Profiles\gqzftst8.default\

FF - prefs.js: browser.startup.homepage - hxxp://ÄÄÄ.google.de/

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Adobe Acrobat 4.0 - c:\windows\ISUN0407.EXE

AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe

AddRemove-Skat! 2000 - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://ÄÄÄ.gmer.net

Rootkit scan 2011-06-11 14:27

Windows 5.1.2600 Service Pack 3 FAT NTAPI

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-06-11  14:28:24

ComboFix-quarantined-files.txt  2011-06-11 12:28

.

Vor Suchlauf: 13 Verzeichnis(se), 47.165.571.072 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 48.377.298.944 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - CE3882BB3A197E024974B3370048A0E1

--- --- ---

Habe Antivir deinstallieren müssen, da ComboFix immer meckerte.

Hoffe ich habe alles richtig gemacht.

Gruesse, ehkarch