Trojaner-Board - Metropolitan Police Bildschirm- dann startet Windows7 nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Metropolitan Police Bildschirm- dann startet Windows7 nicht mehr (https://www.trojaner-board.de/101238-metropolitan-police-bildschirm-dann-startet-windows7-mehr.html)

Metropolitan Police Bildschirm- dann startet Windows7 nicht mehr

Hallo, ich habe das Problem das ein Motebook mit Windows7 Ultimate einen Bildschirm zeigt, dort steht eswas von Motropolitan Police und ein Text in Englisch. In Windows lässt der Lappi mich nicht.

Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Habe Otlpe heruntergelagen, gebrannt und den Rechner über CD gestartet.

folgende Aktion lief dann ab:

Starting reatogo.exe
please wait
dann erscheint kurz der Anmeldebildschirm von Windows XP
nun kommt folgende Fehlermeldung als bluescreen:

A problem has been detected and windows has been shut down to prevent to your computer.

If this is the first you´ve seen this stop error screen, restart your computer. If this screen appear again, follow these steps.

Check for viruses on your computer. Remove any newly installed hard drives or hard drives controlers. Check your hard drive to make sure it is proberly configured and terminated.
Run Chkdsk/f to chek for hard drive corruption, and tzhan rwstar your computer.

Technical information:
*** stop: 0x000007B(0xF78DA529, 0x0000034, 0x00000000, 0x00000000)

das cd Laufwerk hält an.

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Oki, reatogo started dann,

leider keine Unterstützung für usb maus oder touchpad, kann aber OTLPE starten.

dort erscheint ein Bildschirm zur Auswahl

Browser for Folder.

hier mehrere optionen von:

-My computer

- Ram Disk( B:)
- Lokal Disk(c:)
-Removable Disk(d:)
-Boot(e:)
-Recover(f:)
ReatogoPE(X:)

bei Auswahl von My Computer, Boot,Lokal Disk bekomme ich die Meldung :

RunScanner error

Target is not windows2000 or later

( button)ok

was nun?

Du musst den Windows-Ordner auswählen

So scan erledigt.

Die beiden Dateien sind angehängt.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - F:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - F:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - F:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)

O3 - HKU\***_ON_F\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - F:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)

O20 - HKU\***_ON_F Winlogon: Shell - (C:\Users\***\AppData\Local\Temp\0.9727084259673712.dll) - F:\Users\***\AppData\Local\Temp\0.9727084259673712.dll (BitDefender)

[2011/04/27 06:20:32 | 000,000,152 | -H-- | C] () -- F:\ProgramData\~33087240r

[2011/04/27 06:20:31 | 000,000,184 | -H-- | C] () -- F:\ProgramData\~33087240

[2011/04/27 06:19:46 | 000,000,384 | -H-- | C] () -- F:\ProgramData\33087240

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

wie mach ich das?
was ist OTL-Fix ?

hab an diesem Laptop ja kein Internet und muss also alles vom 2. Rechner per Datenstick transportieren. geht somit ja nur über einen Editor

Und? Dann pack den Fixtext in eine Textdatei und überträgst es per Stick.
Mach es dir doch nicht so kompliziert...

Danke für die Unterstützung, manchmal sieht man den Wald vor lauter Bäumen nicht.

So in Windows kann ich wieder rein, jetzt heißt es sicherlich den " Scheiß" richtig zu entsorgen und den Rechner besser zu schützen.

Wasmussalso noch geschehen?

Austausch von Avira gegen Avast? was meint Ihr als Experten?

:dankeschoen: erstmal

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier Ergebnis von malwarebyte

gruß

thomas

OTL Logfile:

Code:

OTL logfile created on: 13.07.2011 17:40:24 - Run 1

OTL by OldTimer - Version 3.2.26.1     Folder = C:\Users\Nele\Desktop

 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,43 Gb Total Physical Memory | 2,11 Gb Available Physical Memory | 61,68% Memory free

6,85 Gb Paging File | 5,48 Gb Available in Paging File | 79,90% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 424,66 Gb Total Space | 357,83 Gb Free Space | 84,26% Space Free | Partition Type: NTFS

Drive D: | 40,00 Gb Total Space | 17,16 Gb Free Space | 42,91% Space Free | Partition Type: NTFS

 

Computer Name: NELE´S-PC | User Name: Nele | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2011.07.13 16:58:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Nele\Desktop\OTL.exe

PRC - [2011.05.29 09:11:28 | 000,449,584 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe

PRC - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

PRC - [2011.03.14 16:05:54 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe

PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe

PRC - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe

PRC - [2010.11.20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe

PRC - [2010.10.27 20:17:52 | 000,207,424 | ---- | M] (ArcSoft Inc.) -- C:\Programme\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

PRC - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) -- C:\Programme\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

PRC - [2010.03.02 15:18:50 | 000,678,432 | ---- | M] (Realtek Semiconductor) -- C:\Programme\Realtek\Audio\HDA\RtHDVBg.exe

PRC - [2010.01.13 11:18:30 | 000,413,696 | ---- | M] (Wistron Corp.) -- C:\Programme\Launch Manager\WButton.exe

PRC - [2010.01.03 17:07:48 | 000,246,520 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe

PRC - [2009.12.14 12:25:00 | 000,200,704 | ---- | M] (Wistron) -- C:\Programme\Launch Manager\HotkeyApp.exe

PRC - [2009.12.11 16:18:16 | 000,348,960 | ---- | M] (Wistron Corp.) -- C:\Programme\Launch Manager\OSD.exe

PRC - [2009.12.10 09:48:26 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

PRC - [2009.12.10 09:48:24 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

PRC - [2009.11.07 04:46:52 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe

PRC - [2009.11.02 15:21:26 | 000,103,720 | ---- | M] (CyberLink) -- C:\Programme\CyberLink\Power2Go\CLMLSvc.exe

PRC - [2009.10.22 18:05:40 | 000,118,560 | ---- | M] (Wistron Corp.) -- C:\Programme\Launch Manager\WisLMSvc.exe

PRC - [2009.10.02 14:26:12 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

PRC - [2009.05.19 12:36:18 | 000,240,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

PRC - [2009.04.07 09:39:44 | 000,233,472 | ---- | M] (Teruten) -- C:\Windows\System32\FsUsbExService.Exe

PRC - [2009.03.30 17:28:36 | 001,533,808 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE

PRC - [2009.03.30 17:28:36 | 000,183,152 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE

PRC - [2009.02.03 15:53:00 | 001,155,072 | ---- | M] (MAGIX AG) -- C:\Programme\Common Files\MAGIX Services\Database\bin\FABS.exe

PRC - [2007.07.24 12:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- c:\Programme\Common Files\Protexis\License Service\PsiService_2.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2011.07.13 16:58:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Nele\Desktop\OTL.exe

MOD - [2010.11.20 13:55:09 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2011.05.29 09:11:28 | 000,366,640 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)

SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Programme\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)

SRV - [2010.01.03 17:07:48 | 000,246,520 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)

SRV - [2009.12.10 09:48:26 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R)

SRV - [2009.12.10 09:48:24 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R)

SRV - [2009.11.07 04:46:52 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)

SRV - [2009.10.22 18:05:40 | 000,118,560 | ---- | M] (Wistron Corp.) [On_Demand | Running] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc)

SRV - [2009.10.02 14:26:12 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R)

SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)

SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2009.04.07 09:39:44 | 000,233,472 | ---- | M] (Teruten) [Auto | Running] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)

SRV - [2009.02.03 15:53:00 | 001,155,072 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe -- (Fabs)

SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)

SRV - [2007.07.24 12:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)

DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)

DRV - [2010.02.10 16:01:10 | 000,132,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\system32\DRIVERS\Impcd.sys -- (Impcd)

DRV - [2010.01.19 18:55:06 | 000,996,896 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se)

DRV - [2010.01.08 04:50:08 | 000,232,448 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\IntcDAud.sys -- (IntcDAud) Intel(R)

DRV - [2009.12.22 19:18:58 | 000,065,576 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C)

DRV - [2009.09.18 05:54:14 | 000,041,088 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\system32\DRIVERS\HECI.sys -- (HECI) Intel(R)

DRV - [2009.08.13 17:39:40 | 000,786,400 | ---- | M] (DiBcom SA) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mod7700.sys -- (mod7700)

DRV - [2009.07.31 03:45:22 | 000,171,520 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RtsUStor.sys -- (RSUSBSTOR)

DRV - [2009.07.14 01:45:33 | 000,083,456 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\serial.sys -- (Serial)

DRV - [2009.05.13 13:47:30 | 000,027,160 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\x10ufx2.sys -- (XUIF)

DRV - [2009.05.13 13:26:26 | 000,013,720 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\Drivers\x10hid.sys -- (X10Hid)

DRV - [2009.04.07 09:39:44 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} -  File not found

IE - HKLM\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = Medion | MSN [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Medion | MSN [binary data]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Welcome to ALDI

IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} -  File not found

IE - HKCU\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.selectedEngine: "ICQ Search"

FF - prefs.js..browser.startup.homepage: "hxxp://search.conduit.com/?ctid=CT2431245&SearchSource=13"

FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2.0.0.2

FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:2.7.1.3

FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&q="

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\3.0.50106.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.4: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.07.11 00:51:17 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.14 16:06:06 | 000,000,000 | ---D | M]

 

[2010.05.05 18:55:31 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\Nele\AppData\Roaming\mozilla\Extensions

[2011.07.13 16:52:53 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions

[2010.05.05 19:04:08 | 000,000,000 | -H-D | M] ("ICQ Toolbar") -- C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

[2010.08.14 15:13:55 | 000,000,000 | -H-D | M] (softonic-de3 Toolbar) -- C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2010.06.08 11:29:10 | 000,000,927 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\conduit.xml

[2011.07.13 16:52:54 | 000,000,950 | ---- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-1.xml

[2011.03.14 16:06:37 | 000,000,950 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-2.xml

[2010.05.05 19:04:08 | 000,000,168 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.gif

[2010.05.05 19:04:08 | 000,000,618 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.src

[2010.08.14 11:41:58 | 000,000,947 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.xml

[2010.05.05 18:55:04 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2011.03.14 16:06:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml

[2011.03.14 16:06:00 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml

[2011.03.14 16:06:01 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml

[2011.03.14 16:06:01 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml

[2011.03.14 16:06:01 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2011.07.13 23:40:50 | 000,000,098 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: ::1       localhost

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)

O2 - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} -  File not found

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} -  File not found

O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)

O4 - HKLM..\Run: [CLMLServer] C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)

O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)

O4 - HKLM..\Run: [LMgrOSD]  File not found

O4 - HKLM..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe (Wistron Corp.)

O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - HKLM..\Run: [NPSStartup]  File not found

O4 - HKLM..\Run: [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\Wbutton.exe (Wistron Corp.)

O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.1\ICQ.exe (ICQ, LLC.)

O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)

O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found

O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found

O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)

O13 - gopher Prefix: missing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1

O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)

O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O20 - HKCU Winlogon: Shell - (C:\Users\Nele\AppData\Local\Temp\0.9727084259673712.dll) -  File not found

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: FastUserSwitchingCompatibility -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Nla -  File not found

NetSvcs: Ntmssvc -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: SRService -  File not found

NetSvcs: WmdmPmSp -  File not found

NetSvcs: LogonHours -  File not found

NetSvcs: PCAudit -  File not found

NetSvcs: helpsvc -  File not found

NetSvcs: uploadmgr -  File not found

 

 

SafeBootMin: AppMgmt - Service

SafeBootMin: Base - Driver Group

SafeBootMin: Boot Bus Extender - Driver Group

SafeBootMin: Boot file system - Driver Group

SafeBootMin: File system - Driver Group

SafeBootMin: Filter - Driver Group

SafeBootMin: HelpSvc - Service

SafeBootMin: NTDS -  File not found

SafeBootMin: PCI Configuration - Driver Group

SafeBootMin: PNP Filter - Driver Group

SafeBootMin: Primary disk - Driver Group

SafeBootMin: sacsvr - Service

SafeBootMin: SCSI Class - Driver Group

SafeBootMin: System Bus Extender - Driver Group

SafeBootMin: vmms - Service

SafeBootMin: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy

SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers

SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices

SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

 

SafeBootNet: AppMgmt - Service

SafeBootNet: Base - Driver Group

SafeBootNet: Boot Bus Extender - Driver Group

SafeBootNet: Boot file system - Driver Group

SafeBootNet: File system - Driver Group

SafeBootNet: Filter - Driver Group

SafeBootNet: HelpSvc - Service

SafeBootNet: Messenger - Service

SafeBootNet: NDIS Wrapper - Driver Group

SafeBootNet: NetBIOSGroup - Driver Group

SafeBootNet: NetDDEGroup - Driver Group

SafeBootNet: Network - Driver Group

SafeBootNet: NetworkProvider - Driver Group

SafeBootNet: NTDS -  File not found

SafeBootNet: PCI Configuration - Driver Group

SafeBootNet: PNP Filter - Driver Group

SafeBootNet: PNP_TDI - Driver Group

SafeBootNet: Primary disk - Driver Group

SafeBootNet: rdsessmgr - Service

SafeBootNet: sacsvr - Service

SafeBootNet: SCSI Class - Driver Group

SafeBootNet: Streams Drivers - Driver Group

SafeBootNet: System Bus Extender - Driver Group

SafeBootNet: TDI - Driver Group

SafeBootNet: vmms - Service

SafeBootNet: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SafeBootNet: WudfUsbccidDriver - Driver

SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net

SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient

SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService

SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans

SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers

SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy

SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers

SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices

SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0

ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7

ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

 

Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)

Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.07.13 23:40:44 | 000,000,000 | ---D | C] -- C:\_OTL

[2011.07.13 16:58:00 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Nele\Desktop\OTL.exe

[2011.07.13 16:47:03 | 000,000,000 | ---D | C] -- C:\Users\Nele\AppData\Roaming\Malwarebytes

[2011.07.13 16:46:51 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys

[2011.07.13 16:46:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware

[2011.07.13 16:46:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2011.07.13 16:46:47 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

[2011.07.13 16:46:47 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2011.07.13 15:27:45 | 000,000,000 | ---D | C] -- C:\Windows\System32\SPReview

[2011.07.13 15:26:54 | 000,000,000 | ---D | C] -- C:\Windows\System32\EventProviders

[2010.08.25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.07.13 16:58:02 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Nele\Desktop\OTL.exe

[2011.07.13 16:46:52 | 000,009,888 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2011.07.13 16:46:52 | 000,009,888 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2011.07.13 16:43:58 | 000,654,166 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2011.07.13 16:43:58 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2011.07.13 16:43:58 | 000,130,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2011.07.13 16:43:58 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[2011.07.13 16:39:20 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2011.07.13 16:39:07 | 2760,847,360 | -HS- | M] () -- C:\hiberfil.sys

[2011.07.13 15:47:14 | 000,383,528 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT

[2011.07.13 15:33:28 | 000,072,822 | ---- | M] () -- C:\Windows\System32\ieuinit.inf

 
 ========== Files Created - No Company Name ==========

 

[2011.07.13 15:33:28 | 000,072,822 | ---- | C] () -- C:\Windows\System32\ieuinit.inf

[2010.08.25 20:30:02 | 000,127,868 | ---- | C] () -- C:\Windows\System32\igcompkrng575.bin

[2010.08.25 20:30:00 | 000,870,560 | ---- | C] () -- C:\Windows\System32\igkrng575.bin

[2010.08.25 20:30:00 | 000,104,796 | ---- | C] () -- C:\Windows\System32\igfcg575m.bin

[2010.08.01 15:02:31 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll

[2010.08.01 15:02:31 | 000,036,608 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys

[2010.03.13 06:58:11 | 000,140,288 | ---- | C] () -- C:\Windows\System32\igfxtvcx.dll

[2010.03.03 12:55:22 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll

[2010.03.02 07:40:12 | 000,149,504 | ---- | C] () -- C:\Windows\unwise32_setup.exe

[2010.03.02 07:40:12 | 000,127,184 | ---- | C] () -- C:\Windows\Unwise.exe

[2010.03.02 07:39:10 | 000,451,072 | ---- | C] () -- C:\Windows\System32\ISSRemoveSP.exe

[2010.03.02 06:59:45 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll

[2010.03.02 06:59:44 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll

[2010.03.02 06:59:42 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config

[2009.08.03 16:07:42 | 000,403,816 | ---- | C] () -- C:\Windows\System32\OGACheckControl.dll

[2009.08.03 16:07:42 | 000,230,768 | ---- | C] () -- C:\Windows\System32\OGAEXEC.exe

[2009.07.14 10:47:43 | 000,654,166 | ---- | C] () -- C:\Windows\System32\perfh007.dat

[2009.07.14 10:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat

[2009.07.14 10:47:43 | 000,130,006 | ---- | C] () -- C:\Windows\System32\perfc007.dat

[2009.07.14 10:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat

[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat

[2009.07.14 06:33:53 | 000,383,528 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT

[2009.07.14 04:05:48 | 000,616,008 | ---- | C] () -- C:\Windows\System32\perfh009.dat

[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat

[2009.07.14 04:05:48 | 000,106,388 | ---- | C] () -- C:\Windows\System32\perfc009.dat

[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat

[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT

[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat

[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin

[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll

[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll

[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat

[2007.10.25 17:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys

 
 ========== LOP Check ==========

 

[2011.06.19 16:40:45 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\ICQ

[2011.05.04 10:53:13 | 000,000,000 | ---D | M] -- C:\Users\Nele\AppData\Roaming\MAGIX

[2010.08.01 15:02:19 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Samsung

[2011.06.08 19:36:06 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %ALLUSERSPROFILE%\Application Data\*. >

 
 < %ALLUSERSPROFILE%\Application Data\*.exe /s >

 
 < %APPDATA%\*. >

[2010.06.15 19:05:34 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Adobe

[2010.08.14 15:26:07 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\ArcSoft

[2011.06.19 16:40:45 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\ICQ

[2010.05.05 17:03:06 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Identities

[2010.05.05 18:06:22 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Macromedia

[2011.05.04 10:53:13 | 000,000,000 | ---D | M] -- C:\Users\Nele\AppData\Roaming\MAGIX

[2011.07.13 16:47:03 | 000,000,000 | ---D | M] -- C:\Users\Nele\AppData\Roaming\Malwarebytes

[2009.07.14 10:56:41 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Media Center Programs

[2011.05.04 11:36:13 | 000,000,000 | --SD | M] -- C:\Users\Nele\AppData\Roaming\Microsoft

[2010.05.05 18:55:31 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Mozilla

[2010.08.01 15:02:19 | 000,000,000 | -H-D | M] -- C:\Users\Nele\AppData\Roaming\Samsung

 
 < %APPDATA%\*.exe /s >

[2010.10.29 23:19:28 | 002,788,816 | -H-- | M] (Adobe Systems, Inc.) -- C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe

[2010.08.01 14:59:36 | 000,069,632 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Samsung\New PC Studio\DriverChecker.exe

 
 < %SYSTEMDRIVE%\*.exe >

 

 
 < MD5 for: AGP440.SYS  >

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\drivers\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_x86_neutral_a97a2a0d0fbc6696\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_b9e9435f20046eeb\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_bc1a57271cf2f285\AGP440.sys

 
 < MD5 for: ATAPI.SYS  >

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_fab873f3e8a3315c\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_df3f92057fcbe7a7\atapi.sys

 
 < MD5 for: CNGAUDIT.DLL  >

[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\System32\cngaudit.dll

[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll

 
 < MD5 for: EVENTLOG.DLL  >

[2008.06.06 15:03:52 | 000,007,216 | ---- | M] () MD5=C2A279A458A06DE2C83D842AA042B5A8 -- C:\Program Files\CyberLink\PowerDirector\EventLog.dll

 
 < MD5 for: IASTOR.SYS  >

[2009.10.02 13:40:50 | 000,432,664 | ---- | M] (Intel Corporation) MD5=D5EDB998656E6ECF1A17C78DAB019A3C -- C:\Windows\System32\drivers\iaStor.sys

[2009.10.02 13:40:50 | 000,432,664 | ---- | M] (Intel Corporation) MD5=D5EDB998656E6ECF1A17C78DAB019A3C -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_x86_neutral_c08288e6bf102290\iaStor.sys

 
 < MD5 for: IASTORV.SYS  >

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\System32\drivers\iaStorV.sys

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_0bcee2057afcc090\iaStorV.sys

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_b0daddb9e6380745\iaStorV.sys

[2011.03.11 07:43:55 | 000,332,160 | ---- | M] (Intel Corporation) MD5=71F1A494FEDF4B33C02C4A6A28D6D9E9 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_aef580fde910b4b0\iaStorV.sys

[2011.03.11 07:28:00 | 000,332,160 | ---- | M] (Intel Corporation) MD5=778D0E6D7D9EBA0C403BADBAAD41DB20 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_b152a892ff64119f\iaStorV.sys

[2009.07.14 03:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_aee7a89be91b9000\iaStorV.sys

[2010.11.20 14:29:54 | 000,332,160 | ---- | M] (Intel Corporation) MD5=A3CAE5D281DB4CFF7CFF8233507EE5AD -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_668286aa35d55928\iaStorV.sys

[2010.11.20 14:29:54 | 000,332,160 | ---- | M] (Intel Corporation) MD5=A3CAE5D281DB4CFF7CFF8233507EE5AD -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_b118bc63e60a139a\iaStorV.sys

[2011.03.11 07:52:21 | 000,332,160 | ---- | M] (Intel Corporation) MD5=B9039A34C2F8769490DCC494E2402445 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_afae2d45020c148b\iaStorV.sys

 
 < MD5 for: NETLOGON.DLL  >

[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\System32\netlogon.dll

[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_ffbf212e963c0162\netlogon.dll

[2009.07.14 03:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_fd8e0d66994d7dc8\netlogon.dll

 
 < MD5 for: NVSTOR.SYS  >

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\System32\drivers\nvstor.sys

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_0276fc3b3ea60d41\nvstor.sys

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_3ba44e691d6eb11d\nvstor.sys

[2011.03.11 07:44:01 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4520B63899E867F354EE012D34E11536 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_39bef1ad20475e88\nvstor.sys

[2011.03.11 07:28:10 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=66D468654A58594F5F3BA63D5AD5B1AF -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_3c1c1942369abb77\nvstor.sys

[2011.03.11 07:52:25 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=8A7583A3B58D3EEB28BB26626526BC91 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_3a779df43942be63\nvstor.sys

[2010.11.20 14:30:06 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=9283C58EBAA2618F93482EB5DABCEC82 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_dd659ed032d28a14\nvstor.sys

[2010.11.20 14:30:06 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=9283C58EBAA2618F93482EB5DABCEC82 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_3be22d131d40bd72\nvstor.sys

[2009.07.14 03:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_39b1194b205239d8\nvstor.sys

 
 < MD5 for: SCECLI.DLL  >

[2009.07.14 03:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_37e4387f3a6f0483\scecli.dll

[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\System32\scecli.dll

[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_3a154c47375d881d\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2009.07.14 03:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll

[2010.11.20 14:21:33 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 -- C:\Windows\System32\user32.dll

[2010.11.20 14:21:33 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_cf3fd62ccb9e983d\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\System32\userinit.exe

[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe

[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe

 
 < MD5 for: WININIT.EXE  >

[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe

[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe

[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe

[2010.11.20 14:17:54 | 000,286,720 | ---- | M] (Microsoft Corporation) MD5=6D13E1406F50C66E2A95D97F22C47560 -- C:\Windows\System32\winlogon.exe

[2010.11.20 14:17:54 | 000,286,720 | ---- | M] (Microsoft Corporation) MD5=6D13E1406F50C66E2A95D97F22C47560 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_71ca6b0233339500\winlogon.exe

[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\System32\drivers\ws2ifsl.sys

[2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_4f5cf6f829213bb2\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

 
 <           >

 
 ========== Files - Unicode (All) ==========

[2011.06.19 18:11:38 | 000,000,000 | -H-D | M](C:\Users\Nele\Desktop\645052887 » Sell?. ?) -- C:\Users\Nele\Desktop\645052887 » Seℓℓι. ♥

[2011.06.14 19:22:45 | 000,000,000 | -H-D | M](C:\Users\Nele\Desktop\456848414 Kr?s??n. ?) -- C:\Users\Nele\Desktop\456848414 Krιsтιn. ♥

[2011.05.19 19:29:37 | 000,135,042 | ---- | C] ()(C:\Users\Nele\Desktop\akin & nele ?.jpg) -- C:\Users\Nele\Desktop\akin & nele ♥.jpg

[2011.02.11 22:05:30 | 000,000,000 | -H-D | M](C:\Users\Nele\Desktop\416328253 ?a??[?]) -- C:\Users\Nele\Desktop\416328253 ѕαъы[ٿ]

[2011.02.11 22:05:24 | 000,000,000 | -H-D | C](C:\Users\Nele\Desktop\416328253 ?a??[?]) -- C:\Users\Nele\Desktop\416328253 ѕαъы[ٿ]

[2011.01.03 21:53:53 | 000,000,000 | -H-D | C](C:\Users\Nele\Desktop\645052887 » Sell?. ?) -- C:\Users\Nele\Desktop\645052887 » Seℓℓι. ♥

[2010.12.29 22:40:49 | 000,000,000 | -H-D | C](C:\Users\Nele\Desktop\456848414 Kr?s??n. ?) -- C:\Users\Nele\Desktop\456848414 Krιsтιn. ♥

[2010.05.28 20:29:33 | 000,135,042 | ---- | M] ()(C:\Users\Nele\Desktop\akin & nele ?.jpg) -- C:\Users\Nele\Desktop\akin & nele ♥.jpg
 

< End of report >

--- --- ---

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

und mochmal die Log Datei, diesmal mit Aktion

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.selectedEngine: "ICQ Search"

FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2431245&SearchSource=13"

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&q="

[2010.05.05 19:04:08 | 000,000,000 | -H-D | M] ("ICQ Toolbar") -- C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

[2010.08.14 15:13:55 | 000,000,000 | -H-D | M] (softonic-de3 Toolbar) -- C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2010.06.08 11:29:10 | 000,000,927 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\conduit.xml

[2011.07.13 16:52:54 | 000,000,950 | ---- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-1.xml

[2011.03.14 16:06:37 | 000,000,950 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-2.xml

[2010.05.05 19:04:08 | 000,000,168 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.gif

[2010.05.05 19:04:08 | 000,000,618 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.src

[2010.08.14 11:41:58 | 000,000,947 | -H-- | M] () -- C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.xml

O20 - HKCU Winlogon: Shell - (C:\Users\Nele\AppData\Local\Temp\0.9727084259673712.dll) -  File not found

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} -  File not found

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found

O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} -  File not found

:Commands

[purity]

[resethosts]

========== OTL ==========
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "softonic-de3 Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://search.conduit.com/?ctid=CT2431245&SearchSource=13" removed from browser.startup.homepage
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&q=" removed from keyword.URL
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\sites folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\search_engine folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\META-INF folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults\preferences folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\defaults folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\components folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\skin\favicon folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\skin folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\tr folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\sk folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\ru folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\it folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\he folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\fr folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\es folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\en-US folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\de folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\cs folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale\bg folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\locale folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\content\img folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome\content folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}\chrome folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\searchplugin folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\META-INF folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\lib folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\defaults folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\chrome folder moved successfully.
C:\Users\Nele\AppData\Roaming\mozilla\Firefox\Profiles\fajri70e.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} folder moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\conduit.xml moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-1.xml moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin-2.xml moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.gif moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.src moved successfully.
C:\Users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\searchplugins\icqplugin.xml moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Nele\AppData\Local\Temp\0.9727084259673712.dll deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ deleted successfully.
C:\Programme\Windows Live\Toolbar\wltcore.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07132011_224704

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Habe scan des Kaspersky Tools gestartet,beide Optionen angehakt, kein Fund-

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code:

ComboFix 11-07-13.04 - Nele 14.07.2011  11:07:53.1.4 - x86

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3511.2410 [GMT 2:00]

ausgeführt von:: c:\users\Nele\Downloads\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-14 bis 2011-07-14  ))))))))))))))))))))))))))))))

.

.

2011-07-14 09:15 . 2011-07-14 09:15        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-07-13 21:53 . 2011-07-13 21:53        --------        d-----w-        c:\users\Nele\AppData\Local\ElevatedDiagnostics

2011-07-13 21:40 . 2011-07-13 21:40        --------        d-----w-        C:\_OTL

2011-07-13 16:07 . 2011-07-04 11:36        309848        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2011-07-13 16:07 . 2011-07-04 11:32        19544        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2011-07-13 16:07 . 2011-07-04 11:32        25432        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2011-07-13 16:07 . 2011-07-04 11:36        441176        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2011-07-13 16:07 . 2011-07-04 11:35        43608        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2011-07-13 16:07 . 2011-07-04 11:32        54104        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2011-07-13 16:07 . 2011-07-04 11:43        40112        ----a-w-        c:\windows\avastSS.scr

2011-07-13 16:07 . 2011-07-04 11:43        199304        ----a-w-        c:\windows\system32\aswBoot.exe

2011-07-13 16:07 . 2011-07-13 16:07        --------        d-----w-        c:\programdata\AVAST Software

2011-07-13 16:07 . 2011-07-13 16:07        --------        d-----w-        c:\program files\AVAST Software

2011-07-13 14:47 . 2011-07-13 14:47        --------        d-----w-        c:\users\Nele\AppData\Roaming\Malwarebytes

2011-07-13 14:46 . 2011-07-13 14:46        --------        d-----w-        c:\programdata\Malwarebytes

2011-07-13 14:46 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-13 14:46 . 2011-07-13 20:26        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-07-13 14:46 . 2011-05-29 07:11        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-13 13:34 . 2011-07-13 13:34        --------        d-----w-        c:\windows\system32\wbem\en-US

2011-07-13 13:27 . 2011-07-13 13:27        --------        d-----w-        c:\windows\system32\SPReview

2011-07-13 13:26 . 2011-07-13 13:26        --------        d-----w-        c:\windows\system32\EventProviders

2011-07-08 09:04 . 2011-05-24 10:44        293376        ----a-w-        c:\windows\system32\umpnpmgr.dll

2011-07-08 09:04 . 2010-11-20 12:18        145920        ----a-w-        c:\windows\system32\cfgmgr32.dll

2011-07-08 09:04 . 2011-05-04 04:34        1549312        ----a-w-        c:\windows\system32\tquery.dll

2011-07-08 09:04 . 2011-05-04 04:32        1401344        ----a-w-        c:\windows\system32\mssrch.dll

2011-07-08 09:04 . 2011-05-04 04:32        666624        ----a-w-        c:\windows\system32\mssvp.dll

2011-07-08 09:04 . 2011-05-04 04:32        337408        ----a-w-        c:\windows\system32\mssph.dll

2011-07-08 09:04 . 2011-05-04 04:32        197120        ----a-w-        c:\windows\system32\mssphtb.dll

2011-07-08 09:04 . 2011-05-04 04:28        427520        ----a-w-        c:\windows\system32\SearchIndexer.exe

2011-07-08 09:04 . 2011-05-04 04:28        164352        ----a-w-        c:\windows\system32\SearchProtocolHost.exe

2011-07-08 09:04 . 2011-05-04 04:32        59392        ----a-w-        c:\windows\system32\msscntrs.dll

2011-07-08 09:04 . 2011-05-04 04:28        86528        ----a-w-        c:\windows\system32\SearchFilterHost.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-13 13:40 . 2009-07-14 02:05        152576        ----a-w-        c:\windows\system32\msclmd.dll

2011-05-24 17:14 . 2010-03-02 06:22        222080        ------w-        c:\windows\system32\MpSigStub.exe

2011-04-22 19:14 . 2011-05-24 18:52        27008        ----a-w-        c:\windows\system32\drivers\Diskdump.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-07-04 11:43        122512        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.1\ICQ.exe" [2011-01-05 133432]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]

"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]

"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-11 1594664]

"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-03-02 8522272]

"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-03-02 678432]

"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]

"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-05-29 39984]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-31 171520]

R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-07-04 54104]

S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]

S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-04-07 233472]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]

S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-01-03 246520]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]

S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]

S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-04-07 36608]

S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-10 132352]

S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-01-08 232448]

S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-12-22 65576]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-05-29 22712]

S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]

S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]

S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - FSUSBEXDISK

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.aldi.com

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4

IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\program files\ICQ7.1\ICQ.exe

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\Nele\AppData\Roaming\Mozilla\Firefox\Profiles\fajri70e.default\

FF - prefs.js: browser.search.defaulturl - 

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.2&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)

HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe

HKLM-Run-NPSStartup - (no file)

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-07-14  11:20:39

ComboFix-quarantined-files.txt  2011-07-14 09:20

.

Vor Suchlauf: 5 Verzeichnis(se), 379.325.919.232 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 379.546.427.392 Bytes frei

.

- - End Of File - - CDCE89B74E388402FEC920DD9416EB41

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: MEDION
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MEDION
System Product Name: E6214
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 193):
0x82C47000 \SystemRoot\system32\ntkrnlpa.exe
0x82C10000 \SystemRoot\system32\halmacpi.dll
0x80BC9000 \SystemRoot\system32\kdcom.dll
0x83206000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8328B000 \SystemRoot\system32\PSHED.dll
0x8329C000 \SystemRoot\system32\BOOTVID.dll
0x832A4000 \SystemRoot\system32\CLFS.SYS
0x832E6000 \SystemRoot\system32\CI.dll
0x8C030000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8C0A1000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8C0AF000 \SystemRoot\system32\drivers\ACPI.sys
0x8C0F7000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8C100000 \SystemRoot\system32\drivers\msisadrv.sys
0x8C108000 \SystemRoot\system32\drivers\pci.sys
0x8C132000 \SystemRoot\system32\drivers\vdrvroot.sys
0x8C13D000 \SystemRoot\System32\drivers\partmgr.sys
0x8C14E000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8C156000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8C161000 \SystemRoot\system32\drivers\volmgr.sys
0x8C171000 \SystemRoot\System32\drivers\volmgrx.sys
0x8C1BC000 \SystemRoot\System32\drivers\mountmgr.sys
0x8C20B000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8C3BE000 \SystemRoot\system32\drivers\amdxata.sys
0x8C3C7000 \SystemRoot\system32\drivers\fltmgr.sys
0x8C1D2000 \SystemRoot\system32\drivers\fileinfo.sys
0x8C439000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8C568000 \SystemRoot\System32\Drivers\msrpc.sys
0x8C593000 \SystemRoot\System32\Drivers\ksecdd.sys
0x83391000 \SystemRoot\System32\Drivers\cng.sys
0x8C5A6000 \SystemRoot\System32\drivers\pcw.sys
0x8C5B4000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x8C628000 \SystemRoot\system32\drivers\ndis.sys
0x8C6DF000 \SystemRoot\system32\drivers\NETIO.SYS
0x8C71D000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x8C82D000 \SystemRoot\System32\drivers\tcpip.sys
0x8C977000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C9A8000 \SystemRoot\system32\drivers\volsnap.sys
0x8C9E7000 \SystemRoot\System32\Drivers\spldr.sys
0x8C800000 \SystemRoot\System32\drivers\rdyboost.sys
0x8C9EF000 \SystemRoot\System32\Drivers\mup.sys
0x8C742000 \SystemRoot\System32\drivers\hwpolicy.sys
0x8C74A000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x8C77C000 \SystemRoot\system32\DRIVERS\disk.sys
0x8C78D000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x91400000 \SystemRoot\system32\drivers\cdrom.sys
0x91A04000 \SystemRoot\System32\Drivers\aswSnx.SYS
0x91A74000 \SystemRoot\System32\Drivers\Null.SYS
0x91A7B000 \SystemRoot\System32\Drivers\Beep.SYS
0x91A82000 \SystemRoot\System32\drivers\vga.sys
0x91A8E000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x91AAF000 \SystemRoot\System32\drivers\watchdog.sys
0x91ABC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x91AC4000 \SystemRoot\system32\drivers\rdpencdd.sys
0x91ACC000 \SystemRoot\system32\drivers\rdprefmp.sys
0x91AD4000 \SystemRoot\System32\Drivers\Msfs.SYS
0x91ADF000 \SystemRoot\System32\Drivers\Npfs.SYS
0x91AED000 \SystemRoot\system32\DRIVERS\tdx.sys
0x91B04000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x91B10000 \SystemRoot\System32\Drivers\aswTdi.SYS
0x91B19000 \SystemRoot\system32\drivers\afd.sys
0x91B73000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x91B78000 \SystemRoot\System32\DRIVERS\netbt.sys
0x91BAA000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x91BB1000 \SystemRoot\system32\DRIVERS\pacer.sys
0x91BD0000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x91BE1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x9141F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x91BEF000 \SystemRoot\system32\drivers\termdd.sys
0x8C7BF000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8C600000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8C60A000 \SystemRoot\system32\drivers\mssmbios.sys
0x8C614000 \SystemRoot\System32\drivers\discache.sys
0x8C5BD000 \SystemRoot\System32\Drivers\dfsc.sys
0x8C5D5000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x91E2A000 \SystemRoot\System32\Drivers\aswSP.SYS
0x91E74000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x9522E000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0x91E95000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x95B4E000 \SystemRoot\System32\drivers\dxgmms1.sys
0x95B87000 \SystemRoot\system32\DRIVERS\HECI.sys
0x95B92000 \SystemRoot\system32\drivers\usbehci.sys
0x95BA1000 \SystemRoot\system32\drivers\USBPORT.SYS
0x95200000 \SystemRoot\system32\drivers\HDAudBus.sys
0x95BEC000 \SystemRoot\system32\DRIVERS\L1C62x86.sys
0x92C2D000 \SystemRoot\system32\DRIVERS\rtl8192se.sys
0x92D40000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x92D4A000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x92D4E000 \SystemRoot\system32\drivers\i8042prt.sys
0x92D66000 \SystemRoot\system32\drivers\kbdclass.sys
0x92D73000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x92DAA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x92DAC000 \SystemRoot\system32\drivers\mouclass.sys
0x92DB9000 \SystemRoot\system32\DRIVERS\Impcd.sys
0x92DDA000 \SystemRoot\system32\drivers\wmiacpi.sys
0x92DE3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x92C00000 \SystemRoot\system32\drivers\CompositeBus.sys
0x92C0D000 \SystemRoot\System32\Drivers\x10hid.sys
0x92C0F000 \SystemRoot\System32\Drivers\HIDCLASS.SYS
0x92C22000 \SystemRoot\System32\Drivers\HIDPARSE.SYS
0x91F4C000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x91F5E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x92DF5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x91F76000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x91F98000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x91FB0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x91FC7000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x92C29000 \SystemRoot\system32\drivers\swenum.sys
0x8C400000 \SystemRoot\system32\drivers\ks.sys
0x9521F000 \SystemRoot\system32\drivers\umbus.sys
0x8221D000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x82261000 \SystemRoot\system32\drivers\kbdhid.sys
0x8226D000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x96816000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x96AF9000 \SystemRoot\system32\drivers\portcls.sys
0x96B28000 \SystemRoot\system32\drivers\drmk.sys
0x96B41000 \SystemRoot\system32\DRIVERS\IntcDAud.sys
0x96EF0000 \SystemRoot\System32\win32k.sys
0x96B7F000 \SystemRoot\System32\drivers\Dxapi.sys
0x96B89000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x96B9F000 \SystemRoot\System32\Drivers\crashdmp.sys
0x91432000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x96BAC000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x96BBD000 \SystemRoot\System32\Drivers\x10ufx2.sys
0x96BF4000 \SystemRoot\system32\DRIVERS\monitor.sys
0x96800000 \SystemRoot\system32\drivers\hidusb.sys
0x9680B000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x97150000 \SystemRoot\System32\TSDDD.dll
0x97180000 \SystemRoot\System32\cdd.dll
0x96BC7000 \SystemRoot\system32\drivers\luafv.sys
0x8227E000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
0x96BE2000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0x822B6000 \SystemRoot\system32\drivers\WudfPf.sys
0x822D0000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x822E0000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x82326000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x82336000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x82349000 \SystemRoot\system32\drivers\HTTP.sys
0x823CE000 \SystemRoot\system32\DRIVERS\bowser.sys
0x823E7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x91E00000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAF039000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xAF074000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xAF0A7000 \SystemRoot\system32\drivers\peauth.sys
0xAF13E000 \SystemRoot\System32\Drivers\secdrv.SYS
0xAF148000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xAF169000 \SystemRoot\System32\drivers\tcpipreg.sys
0xAF176000 \SystemRoot\System32\DRIVERS\srv2.sys
0xB0A30000 \SystemRoot\System32\DRIVERS\srv.sys
0xB0A82000 \??\C:\Windows\system32\FsUsbExDisk.SYS
0xB0A8B000 \??\C:\Windows\system32\drivers\mbam.sys
0xB0AF9000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0xB0B02000 \??\C:\Windows\system32\Drivers\PROCEXP113.SYS
0xB0B04000 \??\C:\Users\Nele\AppData\Local\Temp\catchme.sys
0xB0B40000 \??\C:\Users\Nele\AppData\Local\Temp\uxriqpow.sys
0x770F0000 \Windows\System32\ntdll.dll
0x47FA0000 \Windows\System32\smss.exe
0x77330000 \Windows\System32\apisetschema.dll
0x00520000 \Windows\System32\autochk.exe
0x76F30000 \Windows\System32\iertutil.dll
0x77280000 \Windows\System32\usp10.dll
0x76D90000 \Windows\System32\setupapi.dll
0x77230000 \Windows\System32\Wldap32.dll
0x76D00000 \Windows\System32\oleaut32.dll
0x76CA0000 \Windows\System32\shlwapi.dll
0x76BD0000 \Windows\System32\msctf.dll
0x76AC0000 \Windows\System32\urlmon.dll
0x76AB0000 \Windows\System32\psapi.dll
0x76A80000 \Windows\System32\imagehlp.dll
0x769B0000 \Windows\System32\user32.dll
0x76890000 \Windows\System32\wininet.dll
0x76800000 \Windows\System32\clbcatq.dll
0x76750000 \Windows\System32\rpcrt4.dll
0x76710000 \Windows\System32\ws2_32.dll
0x76700000 \Windows\System32\normaliz.dll
0x765A0000 \Windows\System32\ole32.dll
0x76550000 \Windows\System32\gdi32.dll
0x75900000 \Windows\System32\shell32.dll
0x75850000 \Windows\System32\msvcrt.dll
0x757B0000 \Windows\System32\advapi32.dll
0x757A0000 \Windows\System32\lpk.dll
0x756C0000 \Windows\System32\kernel32.dll
0x756B0000 \Windows\System32\nsi.dll
0x75690000 \Windows\System32\imm32.dll
0x75670000 \Windows\System32\sechost.dll
0x75610000 \Windows\System32\difxapi.dll
0x75590000 \Windows\System32\comdlg32.dll
0x75500000 \Windows\System32\comctl32.dll
0x754D0000 \Windows\System32\cfgmgr32.dll
0x753B0000 \Windows\System32\crypt32.dll
0x75360000 \Windows\System32\KernelBase.dll
0x75330000 \Windows\System32\wintrust.dll
0x75310000 \Windows\System32\devobj.dll
0x75300000 \Windows\System32\msasn1.dll

Processes (total 70):
0 System Idle Process
4 SYSTEM
348 C:\Windows\System32\smss.exe
472 csrss.exe
536 C:\Windows\System32\wininit.exe
544 csrss.exe
592 C:\Windows\System32\services.exe
608 C:\Windows\System32\lsass.exe
620 C:\Windows\System32\lsm.exe
716 C:\Windows\System32\svchost.exe
784 C:\Windows\System32\winlogon.exe
856 C:\Windows\System32\svchost.exe
920 C:\Windows\System32\svchost.exe
988 C:\Windows\System32\svchost.exe
1020 C:\Windows\System32\svchost.exe
1164 C:\Windows\System32\svchost.exe
1296 C:\Windows\System32\svchost.exe
1468 C:\Program Files\AVAST Software\Avast\AvastSvc.exe
1792 C:\Windows\System32\spoolsv.exe
1820 C:\Windows\System32\svchost.exe
1908 C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
1956 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
2008 C:\Windows\System32\FsUsbExService.Exe
2044 C:\Program Files\ICQ6Toolbar\ICQ Service.exe
372 C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
464 C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
580 C:\Program Files\CyberLink\Shared files\RichVideo.exe
872 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
1260 C:\Windows\System32\svchost.exe
1400 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
2060 C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
2100 C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
2412 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
2568 C:\Windows\System32\SearchIndexer.exe
2872 C:\Windows\System32\dwm.exe
2908 C:\Windows\System32\taskhost.exe
3252 C:\Program Files\Launch Manager\HotkeyApp.exe
3260 C:\Program Files\Launch Manager\OSD.exe
3268 C:\Program Files\Launch Manager\WButton.exe
3292 C:\Program Files\Launch Manager\WisLMSvc.exe
3300 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3328 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
3352 WmiPrvSE.exe
3464 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
3484 C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
3532 C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
3588 C:\Program Files\AVAST Software\Avast\AvastUI.exe
3612 C:\Windows\System32\igfxtray.exe
3664 C:\Windows\System32\hkcmd.exe
3688 C:\Windows\System32\igfxpers.exe
4008 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
2540 C:\Program Files\Windows Media Player\wmpnetwk.exe
3140 C:\Windows\System32\svchost.exe
1940 C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
2484 C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
672 C:\Windows\System32\svchost.exe
3956 C:\Windows\System32\svchost.exe
3628 C:\Windows\explorer.exe
2652 C:\Program Files\Mozilla Firefox\firefox.exe
4464 C:\Windows\System32\audiodg.exe
3792 C:\Program Files\Mozilla Firefox\plugin-container.exe
852 C:\Windows\explorer.exe
4920 C:\Windows\explorer.exe
4644 C:\Windows\System32\wuauclt.exe
2664 C:\Windows\System32\SearchProtocolHost.exe
5152 C:\Windows\System32\SearchFilterHost.exe
5136 dllhost.exe
5800 dllhost.exe
4296 C:\Users\Nele\Downloads\MBRCheck.exe
416 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000006a`30900000 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000BEVT-00A0RT0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: F61074C24A6DA26C38919A0032AE32ED64E1F93E

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

und noch die Log dateien:

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit quick scan 2011-07-14 12:45:06
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.01.0
Running: t2pj4iqe.exe; Driver: C:\Users\Nele\AppData\Local\Temp\uxriqpow.sys

---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x91E49398]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 13:01:54 on 14.07.2011
 

OS: Windows 7 Home Premium Edition Service Pack 1 (Build 7601), 32-bit

Default Browser: Mozilla Corporation Firefox 3.6.13
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys

"aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys

"aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\system32\drivers\aswRdr.sys

"aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys

"aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys

"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys

"catchme" (catchme) - ? - C:\Users\Nele\AppData\Local\Temp\catchme.sys  (File not found)

"FsUsbExDisk" (FsUsbExDisk) - ? - C:\Windows\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)

"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbam.sys

"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\Windows\system32\drivers\mbamswissarmy.sys

"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"Realtek IR Driver" (RtsUIR) - ? - C:\Windows\System32\DRIVERS\Rts516xIR.sys  (File not found)

"Realtek Smartcard Reader Driver" (USBCCID) - ? - C:\Windows\System32\DRIVERS\RtsUCcid.sys  (File not found)

"uxriqpow" (uxriqpow) - ? - C:\Users\Nele\AppData\Local\Temp\uxriqpow.sys  (Hidden registry entry, rootkit activity | File not found)
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL

{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\ashShell.dll

{DE902992-61FC-4A01-8091-53E1895C9775} "CDR Icon Handler" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{7AD101F2-0B93-4D66-A1CA-DF73F3C4377B} "CDR preview provider" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellVista.dll

{7FA63AC0-F5BC-4F3B-A9CF-94328D812B62} "CDR Property Handler" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellVista.dll

{1462EBAA-96E7-4D93-9A66-0E4068DE4FCF} "CDR Thumbnail provider" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - C:\Program Files\Windows Live\Mail\mailcomm.dll

{DE902994-61FC-4A01-8091-53E1895C9775} "CMX Icon Handler" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{1462EBAC-96E7-4D93-9A66-0E4068DE4FCF} "CMX Thumbnail provider" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{DE902993-61FC-4A01-8091-53E1895C9775} "CPT Icon Handler" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{7FA63AC1-F5BC-4F3B-A9CF-94328D812B62} "CPT Property Handler" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellVista.dll

{1462EBAB-96E7-4D93-9A66-0E4068DE4FCF} "CPT Thumbnail provider" - "Corel Corporation" - c:\Program Files\Common Files\Corel\Shared\Shell Extension\ShellXP.dll

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONFILTER.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4  (HTTP value)

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----

 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)

{855F3B16-6D32-4fe6-8A56-BBB695989046} "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

"eBay - Der weltweite Online-Marktplatz" - ? - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4  (HTTP value)

"ICQ7.1" - "ICQ, LLC." - C:\Program Files\ICQ7.1\ICQ.exe

{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

<binary data> "{21FA44EF-376D-4D53-9B0F-8A89D3229068}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID-Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} "Windows Live Toolbar Helper" - ? - C:\Program Files\Windows Live\Toolbar\wltcore.dll  (File not found)
 

[LSA Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----

"Security Packages" - "Microsoft Corporation" - C:\Windows\system32\livessp.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"ICQ" - "ICQ, LLC." - "C:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"ArcSoft Connection Service" - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

"avast" - "AVAST Software" - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

"CLMLServer" - "CyberLink" - "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"

"HotkeyApp" - "Wistron" - "C:\Program Files\Launch Manager\HotkeyApp.exe"

"LMgrVolOSD" - "Wistron Corp." - "C:\Program Files\Launch Manager\OSD.exe"

"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

"Wbutton" - "Wistron Corp." - "C:\Program Files\Launch Manager\Wbutton.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared files\RichVideo.exe

"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe

"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe

"FsUsbExService" (FsUsbExService) - "Teruten" - C:\Windows\system32\FsUsbExService.Exe

"ICQ Service" (ICQ Service) - ? - C:\Program Files\ICQ6Toolbar\ICQ Service.exe

"Intel(R) Management & Security Application User Notification Service" (UNS) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

"Intel(R) Management and Security Application Local Management Service" (LMS) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

"Intel(R) Rapid Storage Technology" (IAStorDataMgrSvc) - "Intel Corporation" - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

"Protexis Licensing V2" (PSI_SVC_2) - "Protexis Inc." - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

"SeaPort" (SeaPort) - "Microsoft Corporation" - C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

"Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

"WisLMSvc" (WisLMSvc) - "Wistron Corp." - C:\Program Files\Launch Manager\WisLMSvc.exe

"X10 Device Network Service" (x10nets) - "X10" - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"WindowsLive Local NSP" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL

"WindowsLive NSP" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Dein MBR scheint unbekannt oder infiziert zu sein.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

aswMBR version 0.9.7.707 Copyright(c) 2011 AVAST Software
Run date: 2011-07-14 19:38:55
-----------------------------
19:38:55.032 OS Version: Windows 6.1.7601 Service Pack 1
19:38:55.032 Number of processors: 4 586 0x2502
19:38:55.048 ComputerName: NELE´S-PC UserName: Nele
19:38:56.499 Initialize success
19:38:56.717 AVAST engine defs: 11071400
19:39:03.472 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
19:39:03.472 Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
19:39:03.503 Disk 0 MBR read successfully
19:39:03.503 Disk 0 MBR scan
19:39:03.503 Disk 0 unknown MBR code
19:39:03.503 Disk 0 scanning sectors +976771072
19:39:03.550 Disk 0 scanning C:\Windows\system32\drivers
19:39:13.799 Service scanning
19:39:15.203 Disk 0 trace - called modules:
19:39:15.219 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll
19:39:15.219 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8813b030]
19:39:15.234 3 CLASSPNP.SYS[8c79859e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x86599028]
19:39:16.139 AVAST engine scan C:\Windows
21:09:14.326 AVAST engine scan C:\Users\Nele
21:39:24.771 AVAST engine scan C:\ProgramData
21:42:48.960 Scan finished successfully
21:49:09.210 Disk 0 MBR has been saved successfully to "C:\Users\Nele\Documents\MBR.dat"
21:49:09.210 The log file has been saved successfully to "C:\Users\Nele\Documents\aswMBR.txt"

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (32-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-32-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (32-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier Log datei von Malwarebyte

jetzt noch der Bericht von superantispyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/15/2011 at 07:29 PM

Application Version : 4.55.1000

Core Rules Database Version : 7413
Trace Rules Database Version: 5225

Scan type : Complete Scan
Total Scan Time : 01:24:21

Memory items scanned : 695
Memory threats detected : 0
Registry items scanned : 9747
Registry threats detected : 0
File items scanned : 150293
File threats detected : 62

Adware.Tracking Cookie
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@questionmarket[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@bs.serving-sys[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@collective-media[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad.yieldmanager[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@adfarm1.adition[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@imrworldwide[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@zanox[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@oberon-media[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@mediaplex[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@tradedoubler[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@traffictrack[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@gamecenter.oberon-media[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad.zanox[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ads.medienhaus[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@atwola[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@tacoda[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@content.yieldmanager[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad2.adfarm1.adition[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@adserver.traffictrack[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@sevenoneintermedia.112.2o7[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@advertising[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@zanox-affiliate[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@doubleclick[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@tracking.hannoversche[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@www.adservercentral[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@revsci[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@webmasterplan[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@2o7[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad3.adfarm1.adition[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@eyewonder[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@content.yieldmanager[3].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@adservercentral[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@tracking.mindshare[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@at.atwola[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@atdmt[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad.adnet[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@serving-sys[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@smartadserver[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ads.creative-serving[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@apmebf[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@zbox.zanox[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@ad.dyntracker[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@tracking.quisma[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@invitemedia[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@unitymedia[2].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@www.zanox-affiliate[1].txt
C:\Users\Nele\AppData\Roaming\Microsoft\Windows\Cookies\nele@adtech[1].txt
bc.youporn.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
counter.cam-content.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
icq.oberon-media.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
macromedia.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
media.classic.goalunited.org [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
media.global.goalunited.net [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
media.goalunited.org [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
media.goodgamestudios.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
media.mtvnservices.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
oddcast.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
s0.2mdn.net [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
secure-uk.imrworldwide.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
serving-sys.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
static.youporn.com [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]
www.adservercentral.info [ C:\Users\Nele\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UXZLQ37R ]

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

Nur Cookies und Überreste.
Rechner wieder im Lot?

Hallo Arne,
vielen herzlichen Dank für die super Hilfe.

Welche Schutzprogramme solle ich denn Deiner Meinung nach auf dem Rechner aktiv belassen.

Gruß
Thomas

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.