Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kein Zugriff mehr auf Partitionen (https://www.trojaner-board.de/128200-kein-zugriff-mehr-partitionen.html)

bliss 16.12.2012 15:10
Kein Zugriff mehr auf Partitionen
 
Hi liebe Helfer,

auf meinem Windows-7-PC (32bit) hatte ich seit gestern ein paar blue screens of death. Ich hab mich schon gefragt, was da los ist, aber Microsoft Security Essentials fanden nichts und großartig ernstgenommen habe ich es erstmal nicht. Auf einmal waren dann sämtliche Partitionen außer der Systempartition verschwunden, alle Links dorthin führen ins Leere.

Wäre schön, die Daten wiederzubekommen, vor allem aber das ganze System nicht neu aufsetzen zu müssen... Das letzte Backup ist 1-2 Wochen alt, und da sind auch Daten von meinem Job drauf.

Welche Scans braucht ihr, um mir nen Tip geben zu können?

Beste Grüße,
bliss

cosinus 17.12.2012 19:19
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

bliss 17.12.2012 19:25
Hallo, nee bis jetzt hab ich noch keine Scans gemacht. Außer dem von Microsoft Security Essentials, der aber nichts gefunden hatte. Es gibt allerdings Neuigkeiten: Die Partitionen sind nach dem 2. oder 3. Neustart wieder aufgetaucht. Einen weiteren Bluescreen hat es aber auch gegeben (während ich versuchte, von den wieder aufgetauchten Partitionen schnell noch ein paar Daten zu retten). Soll ich Malwarebytes probieren?

cosinus 17.12.2012 19:52
Zitat:
Soll ich Malwarebytes probieren?
machen wir später oder hast du schon Logs dazu?

bliss 17.12.2012 20:14
Nein, wie gesagt keine Logs.

cosinus 17.12.2012 20:36
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Mach bitte einen CustomScan mit OTL . Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Code:
msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

bliss 17.12.2012 21:12
OTL Logfile:
Code:
OTL logfile created on: 17.12.2012 21:05:11 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Hendrik\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,41 Gb Available Physical Memory | 80,47% Memory free
5,98 Gb Paging File | 5,08 Gb Available in Paging File | 85,05% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,69 Gb Total Space | 62,01 Gb Free Space | 55,52% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 0,76 Gb Free Space | 1,52% Space Free | Partition Type: NTFS
Drive E: | 272,61 Gb Total Space | 80,83 Gb Free Space | 29,65% Space Free | Partition Type: NTFS
Drive F: | 50,00 Gb Total Space | 40,29 Gb Free Space | 80,58% Space Free | Partition Type: NTFS
Drive I: | 931,51 Gb Total Space | 22,00 Gb Free Space | 2,36% Space Free | Partition Type: NTFS
Drive J: | 465,64 Gb Total Space | 187,92 Gb Free Space | 40,36% Space Free | Partition Type: FAT32
 
Computer Name: LOKI | User Name: Hendrik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.12.17 20:43:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
PRC - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.05.24 19:39:22 | 027,112,840 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe
PRC - [2012.03.26 16:08:12 | 000,931,200 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft Security Client\msseces.exe
PRC - [2012.03.26 16:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Program Files\Microsoft Security Client\MsMpEng.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.04.06 02:59:04 | 000,393,216 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2011.04.06 02:58:36 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2010.11.20 13:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2010.11.20 13:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.05.14 14:24:24 | 000,517,440 | ---- | M] (D-Link Corp.) -- C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe
PRC - [2009.06.06 18:24:02 | 000,769,024 | ---- | M] (Dominik Reichl) -- E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\KeePass.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe
MOD - [2009.10.07 15:58:10 | 000,376,832 | ---- | M] () -- C:\Program Files\D-Link\DWA-547 revA\WlanDll.dll
MOD - [2009.09.08 17:04:32 | 000,208,896 | ---- | M] () -- C:\Program Files\D-Link\DWA-547 revA\WLanWps.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.12.01 20:56:50 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.03.26 16:03:40 | 000,214,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Program Files\Microsoft Security Client\NisSrv.exe -- (NisSrv)
SRV - [2012.03.26 16:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2011.04.22 10:16:52 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2011.04.06 02:58:36 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2011.03.16 09:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.09.26 18:02:28 | 000,954,368 | ---- | M] (Atheros Communications, Inc.) [On_Demand | Stopped] -- C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe -- (jswpsapi)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | System | Stopped] -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{27A58688-60A8-4B0E-B6C1-EF32AFF90F0C}\MpKsl2bfd09c6.sys -- (MpKsl2bfd09c6)
DRV - [2012.03.20 19:44:12 | 000,074,112 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NisDrvWFP.sys -- (NisDrv)
DRV - [2011.04.27 22:50:45 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2011.04.22 12:01:49 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2011.04.06 05:10:38 | 007,774,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2011.04.06 05:10:38 | 007,774,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011.04.06 02:21:22 | 000,242,176 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.11.20 13:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 13:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 13:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 11:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 10:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 10:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.04.21 10:11:12 | 001,268,736 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008.05.15 02:28:44 | 000,020,384 | ---- | M] (Atheros Communications, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\jswpslwf.sys -- (jswpslwf)
DRV - [2005.06.13 09:08:36 | 000,085,664 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800obex.sys -- (w800obex)
DRV - [2005.06.13 09:06:58 | 000,087,792 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mgmt.sys -- (w800mgmt)
DRV - [2005.06.13 09:05:16 | 000,096,224 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mdm.sys -- (w800mdm)
DRV - [2005.06.13 09:05:08 | 000,009,264 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mdfl.sys -- (w800mdfl)
DRV - [2005.06.13 09:03:12 | 000,060,768 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800bus.sys -- (w800bus)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.openintab: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: abhere2%40moztw.org:17.0.20121128
FF - prefs.js..extensions.enabledAddons: CompactMenuCE%40Merci.chao:5.1.0
FF - prefs.js..extensions.enabledAddons: OPIE%40guid.customsoftwareconsult.com:4.0
FF - prefs.js..extensions.enabledAddons: %7B4BBDD651-70CF-4821-84F8-2B918CF89CA3%7D:7.0.3.5
FF - prefs.js..extensions.enabledAddons: %7BA4732521-77D9-447E-A557-B279AC923F06%7D:0.6.9
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.12
FF - prefs.js..extensions.enabledAddons: %7BD4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389%7D:0.9.10
FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.0.3.1
FF - prefs.js..extensions.enabledAddons: %7BDDC359D1-844A-42a7-9AA1-88A850A938A8%7D:2.0.15
FF - prefs.js..extensions.enabledAddons: foxmarks%40kei.com:4.1.3
FF - prefs.js..extensions.enabledAddons: %7B1280606b-2510-4fe0-97ef-9b5a22eafe30%7D:0.7.9.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..extensions.enabledItems: abhere2@moztw.org:3.5.20091115
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10
FF - prefs.js..extensions.enabledItems: {4BBDD651-70CF-4821-84F8-2B918CF89CA3}:6.3.3.2
FF - prefs.js..extensions.enabledItems: {A4732521-77D9-447E-A557-B279AC923F06}:0.6.6
FF - prefs.js..extensions.enabledItems: IncredibleBookmarks@visibotech.com:0.7.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA}:7.0
FF - prefs.js..extensions.enabledItems: OPIE@guid.customsoftwareconsult.com:1.2.3
FF - prefs.js..extensions.enabledItems: {1a6907cb-d310-4d82-bded-c0dd31f8d9a2}:1.8
FF - prefs.js..extensions.enabledItems: CompactMenuCE@Merci.chao:4.2.1
FF - prefs.js..extensions.enabledItems: {1280606b-2510-4fe0-97ef-9b5a22eafe30}:0.6.8.3
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.4
FF - prefs.js..network.proxy.autoconfig_url: "hxxp://www.rz.uni-osnabrueck.de/proxy/proxy.pac"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.01 20:56:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.05.23 21:12:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.12.16 12:02:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions
[2012.07.19 19:56:39 | 000,000,000 | ---D | M] (FEBE) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}
[2012.11.21 19:30:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.12.05 22:14:40 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\foxmarks@kei.com
[2012.12.02 15:19:39 | 000,065,602 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\abhere2@moztw.org.xpi
[2012.06.26 07:50:50 | 000,073,806 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\CompactMenuCE@Merci.chao.xpi
[2011.12.23 10:21:08 | 000,345,230 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\OPIE@guid.customsoftwareconsult.com.xpi
[2012.12.16 12:02:07 | 000,516,464 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi
[2011.11.26 17:42:20 | 000,089,724 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{A4732521-77D9-447E-A557-B279AC923F06}.xpi
[2012.11.25 18:41:45 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2011.11.26 17:42:12 | 000,434,392 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi
[2012.12.02 15:19:39 | 000,710,866 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi
[2012.09.23 23:16:59 | 000,698,867 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.12.01 20:56:50 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.07.19 21:55:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.23 23:16:51 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.19 21:55:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.19 21:55:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.19 21:55:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.19 21:55:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [KeePass Password Safe] E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\keepass.exe (Dominik Reichl)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [Steam] C:\Program Files\Steam\Steam.exe (Valve Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8E3EA4B3-19C0-4579-8D8B-12FFEFE8111C}: DhcpNameServer = 192.168.2.254
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.02.07 15:26:35 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ef2a251e-6c54-11e0-aeae-d22f56e35763}\Shell - "" = AutoRun
O33 - MountPoints2\{ef2a251e-6c54-11e0-aeae-d22f56e35763}\Shell\AutoRun\command - "" = "J:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
MsConfig - StartUpReg: WinampAgent - hkey= - key= - C:\Program Files\Winamp\winampa.exe ()
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: MsMpSvc - c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootMin: NTDS -  File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vmms - Service
SafeBootMin: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: MsMpSvc - c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS -  File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vmms - Service
SafeBootNet: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CF211FE9-E6A3-652E-5802-BC09B1249B58} - Internet Explorer
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\Windows\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.yv12 - C:\Windows\System32\DivX.dll (DivX, Inc.)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.17 20:43:46 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.16 14:45:19 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2012.12.14 20:09:33 | 000,000,000 | ---D | C] -- C:\Program Files\VisiPics
[2012.12.14 19:36:45 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\IC3
[2012.12.14 19:36:38 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2012.12.08 10:32:43 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\becker
[2012.12.08 10:32:36 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Becker
[2012.12.08 10:32:36 | 000,000,000 | ---D | C] -- C:\Program Files\Becker
[2012.12.05 19:41:21 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\WinMerge
[2012.12.04 18:54:04 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\WinRAR
[2012.12.02 15:28:23 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Local\Eclipse
[2012.12.02 15:17:03 | 000,000,000 | ---D | C] -- C:\Program Files\eclipse
[2012.12.02 15:01:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2012.12.02 15:01:35 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2012.12.02 14:55:26 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.12.02 00:20:47 | 000,000,000 | ---D | C] -- C:\ProgramData\fotobuch.de AG
[2012.12.02 00:20:47 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\Designer Files
[2012.12.02 00:20:00 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2012.12.02 00:19:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\fotobuch.de
[2012.12.02 00:18:37 | 000,000,000 | ---D | C] -- C:\Program Files\fotobuch.de
[2012.12.02 00:18:37 | 000,000,000 | ---D | C] -- C:\Windows\System32\artworks
[2012.12.01 20:56:30 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2012.11.20 13:56:03 | 000,000,000 | ---D | C] -- C:\Program Files\Recuva
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.17 21:00:42 | 000,007,912 | ---- | M] () -- C:\Windows\wincmd.ini
[2012.12.17 20:43:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.17 19:05:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.12.17 09:39:24 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.12.17 09:39:24 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.12.17 09:36:29 | 000,609,092 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.12.17 09:36:29 | 000,104,370 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.12.17 09:32:20 | 255,709,579 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.12.17 09:32:19 | 2406,862,848 | -HS- | M] () -- C:\hiberfil.sys
[2012.12.16 14:32:01 | 000,000,600 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.15 13:51:15 | 000,050,176 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.14 19:47:51 | 000,000,131 | ---- | M] () -- C:\Windows\EurekaLog.ini
[2012.12.08 10:32:39 | 000,001,116 | ---- | M] () -- C:\Users\Hendrik\Desktop\Content Manager 2.lnk
[2012.12.07 22:07:53 | 000,000,848 | -HS- | M] () -- C:\Windows\System32\KGyGaAvL.sys
[2012.12.02 15:18:45 | 000,318,000 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.12.02 00:19:30 | 000,002,025 | ---- | M] () -- C:\Users\Hendrik\Desktop\Designer 2.0.lnk
 
========== Files Created - No Company Name ==========
 
[2012.12.16 14:31:52 | 000,000,600 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.14 19:40:34 | 000,000,131 | ---- | C] () -- C:\Windows\EurekaLog.ini
[2012.12.08 10:32:39 | 000,001,116 | ---- | C] () -- C:\Users\Hendrik\Desktop\Content Manager 2.lnk
[2012.12.02 18:01:23 | 000,001,159 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader.lnk
[2012.12.02 18:01:23 | 000,001,119 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Deinstallationsprogramm.lnk
[2012.12.02 18:01:23 | 000,001,104 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Update.lnk
[2012.12.02 15:18:35 | 255,709,579 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.12.02 00:19:30 | 000,002,025 | ---- | C] () -- C:\Users\Hendrik\Desktop\Designer 2.0.lnk
[2012.09.22 17:57:14 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2012.08.02 14:23:53 | 000,050,176 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.17 23:18:32 | 000,000,848 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys
[2011.04.28 21:41:02 | 000,000,120 | ---- | C] () -- C:\Windows\wcx_ftp.ini
[2011.04.27 22:52:50 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.04.22 12:09:34 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2011.04.21 21:05:11 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.04.21 19:41:12 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.04.05 21:09:48 | 000,059,904 | ---- | C] () -- C:\Windows\System32\OVDecode.dll
[2011.03.01 18:07:08 | 000,003,949 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.02.28 22:30:06 | 000,233,012 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.12.08 10:32:43 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\becker
[2011.05.23 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Braid
[2011.04.27 22:51:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DAEMON Tools Lite
[2012.12.17 20:59:18 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Dropbox
[2012.12.02 00:20:47 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2011.04.22 12:03:39 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\JAM Software
[2012.12.16 14:45:19 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2012.12.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2011.04.21 21:28:32 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Thunderbird
[2011.04.22 12:26:23 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\TrueCrypt
[2012.12.02 14:41:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\uTorrent
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2011.04.21 19:47:05 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2011.04.28 20:48:06 | 000,000,000 | ---D | M] -- C:\ATI
[2009.07.14 05:53:55 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2012.08.01 17:34:51 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2009.07.14 03:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2012.12.14 21:56:12 | 000,000,000 | R--D | M] -- C:\Program Files
[2012.12.14 21:56:12 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2011.04.21 19:47:00 | 000,000,000 | -HSD | M] -- C:\Recovery
[2012.12.17 21:05:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.04.21 19:47:03 | 000,000,000 | R--D | M] -- C:\Users
[2012.12.17 09:32:20 | 000,000,000 | ---D | M] -- C:\Windows
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.07.20 17:11:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Adobe
[2012.12.08 10:32:43 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\becker
[2011.05.23 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Braid
[2011.10.09 23:14:15 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Corel
[2011.04.27 22:51:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DAEMON Tools Lite
[2012.08.22 20:35:56 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DivX
[2012.12.17 20:59:18 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Dropbox
[2012.12.02 00:20:47 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2011.04.21 19:47:06 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Identities
[2011.04.21 20:20:40 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\InstallShield
[2011.04.22 12:03:39 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\JAM Software
[2012.12.16 14:45:19 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2011.05.22 17:21:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Macromedia
[2009.07.14 08:49:10 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Media Center Programs
[2012.08.17 19:22:04 | 000,000,000 | --SD | M] -- C:\Users\Hendrik\AppData\Roaming\Microsoft
[2011.04.21 21:05:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Mozilla
[2012.12.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2012.12.15 15:03:02 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Skype
[2011.04.22 12:09:29 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\skypePM
[2011.04.21 21:28:32 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Thunderbird
[2011.04.22 12:26:23 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\TrueCrypt
[2012.12.02 14:41:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\uTorrent
[2012.12.17 20:58:37 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\vlc
[2012.12.04 18:54:04 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\WinRAR
 
< %APPDATA%\*.exe /s >
[2012.05.24 19:39:22 | 027,112,840 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe
[2012.05.24 19:39:24 | 000,872,144 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxUpdateHelper.exe
[2012.05.24 19:39:56 | 000,177,280 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Uninstall.exe
[2011.04.27 21:21:44 | 000,010,240 | R--- | M] () -- C:\Users\Hendrik\AppData\Roaming\Microsoft\Installer\{916800EA-DDA2-4C5E-96F2-811F3F7C4258}\Icon916800EA.exe
 
< %SYSTEMROOT%\system32\drivers\*.sys /lockedfiles >
 
< %SYSTEMROOT%\System32\config\*.sav >
 
< %SYSTEMROOT%\*. /mp /s >
 
< %SYSTEMROOT%\system32\*.dll /lockedfiles >
 
<          >
[2009.07.14 05:53:46 | 000,015,244 | ---- | C] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2009.07.14 05:53:47 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< End of report >
--- --- ---

[/code]

cosinus 17.12.2012 23:34
Code:
Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

bliss 18.12.2012 01:51
Nee, ist mein Home-PC. Warum?

cosinus 18.12.2012 03:19
Warum? Die Frage warum danach frage steht eigentlich schon in dem Kasten in meinem Posting zuvor, ein Auszug aus deinem Logfile

Code:
Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
1.) Warum ein Windows-Professional? Ist nicht gerade sinnvoll/üblich für reine Heimanwendung

2.) Den DHCP-Server und in vielen Fällen damit auch der Router stellt sich eigentlich kein Heimanwender auf 192.168.2.254

Also warum das Ganze?

bliss 18.12.2012 09:58
1) Als ich noch Student war, hatte meine Uni so eine MSDN-AA-Lizenz. Da haben wir halt jede Version von Windows runtergeladen, die wir legal und gratis kriegen konnten.

2) Davon weiß ich gar nix, ist das eine Einstellung meines Computers? Das Internet teilt mein Nachbar mit mir, weil ich selbst keinen Telefonanschluss habe hier (lange Geschichte...)

cosinus 18.12.2012 22:00
Ok, danke für die Erläuterungen

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

bliss 21.12.2012 10:36
GMER Scan:

[CODE]
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-12-21 10:33:08
Windows 6.1.7601 Service Pack 1 Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0 XLR8_PL120AB rev.346A13F0
Running: hki4wsli.exe; Driver: C:\Users\Hendrik\AppData\Local\Temp\pxldapod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwRollbackEnlistment + 140D  82A4DA49 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82A874D2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x93C13000, 0x391095, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000049        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---


aswMBR Scan:

Code:
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-12-21 11:05:57
-----------------------------
11:05:57.402    OS Version: Windows 6.1.7601 Service Pack 1
11:05:57.402    Number of processors: 4 586 0x2A07
11:05:57.402    ComputerName: LOKI  UserName:
11:06:00.803    Initialize success
11:13:45.120    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
11:13:45.120    Disk 0 Vendor: SAMSUNG_HD401LJ ZZ100-15 Size: 381553MB BusType: 11
11:13:45.120    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
11:13:45.120    Disk 1 Vendor: XLR8_PL120AB 346A13F0 Size: 114473MB BusType: 11
11:13:45.120    Disk 1 MBR read successfully
11:13:45.136    Disk 1 MBR scan
11:13:45.136    Disk 1 Windows 7 default MBR code
11:13:45.136    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
11:13:45.136    Disk 1 Partition 2 00    07    HPFS/NTFS NTFS      114371 MB offset 206848
11:13:45.136    Disk 1 scanning sectors +234438656
11:13:45.136    Disk 1 scanning C:\Windows\system32\drivers
11:13:45.916    Service scanning
11:13:46.602    Service MpKslfcd0f4aa c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{4FE11EB8-2468-4C9E-89A1-D70B796A6DA2}\MpKslfcd0f4aa.sys **LOCKED** 32
11:13:47.835    Modules scanning
11:13:49.847    Disk 1 trace - called modules:
11:13:49.847    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS PCIIDEX.SYS msahci.sys
11:13:49.847    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x85a335d0]
11:13:49.863    3 CLASSPNP.SYS[8b19759e] -> nt!IofCallDriver -> [0x858dbc10]
11:13:49.863    5 ACPI.sys[8369c3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8553e908]
11:13:49.863    Scan finished successfully
11:14:19.440    Disk 1 MBR has been saved successfully to "C:\Users\Hendrik\Desktop\MBR.dat"
11:14:19.440    The log file has been saved successfully to "C:\Users\Hendrik\Desktop\aswMBR.txt"

cosinus 22.12.2012 19:44
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

bliss 23.12.2012 22:31
Alles klar, ich melde mich dann im neuen Jahr mit dem Ergebnis. Bin jetzt bei der Familie. Schöne Weihnachten!

cosinus 24.12.2012 15:59
Ok, dann schonmal frohes Fest :party: und guten Rutsch :alc: :D
Bis nächstes Jahr dann!

bliss 13.01.2013 21:24
Hallo,
also ich habe den Scan mit Combofix durchgeführt... Allerdings weiß ich nicht, ob er normal beendet wurde. Anstatt das Log zu öffnen, wurde der Rechner neugestartet (und das könnte wieder der Virus gewesen sein). Hier ist jedenfalls die Datei, die ich im Combofix-Verzeichnis gefunden habe:

Code:
ComboFix 13-01-13.01 - Hendrik 13.01.2013  21:12:38.1.4 - x86
Microsoft Windows 7 Professional  6.1.7601.1.1252.49.1033.18.3060.2050 [GMT 1:00]
ausgeführt von:: C:\Users\Hendrik\Downloads\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Windows\pkunzip.pif
C:\Windows\pkzip.pif


(((((((((((((((((((((((  Dateien erstellt von 2012-12-13 bis 2013-01-13  ))))))))))))))))))))))))))))))


2013-01-13 20:14:25 . 2013-01-13 20:14:29        --------        d-----w-        C:\Users\Hendrik\AppData\Local\temp
2013-01-13 20:14:25 . 2013-01-13 20:14:25        --------        d-----w-        C:\Users\Default\AppData\Local\temp
2013-01-13 20:07:06 . 2012-11-08 18:00:47        6812136        ----a-w-        C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{CBFB3338-1BE2-4A28-8805-BCA13BAA5EF5}\mpengine.dll
2012-12-21 10:16:18 . 2012-11-08 18:00:47        6812136        ----a-w-        C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-12-16 13:45:19 . 2012-12-16 13:45:19        --------        d-----w-        C:\Users\Hendrik\AppData\Roaming\KeePass
.


((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2012-12-16 11:01:50 . 2012-08-02 18:01:41        697272        ----a-w-        C:\Windows\system32\FlashPlayerApp.exe
2012-12-16 11:01:50 . 2011-05-22 16:20:37        73656        ----a-w-        C:\Windows\system32\FlashPlayerCPLApp.cpl
2012-12-02 14:01:26 . 2012-12-02 14:01:28        93672        ----a-w-        C:\Windows\system32\WindowsAccessBridge.dll
2012-12-02 14:01:24 . 2012-12-02 14:01:30        821736        ----a-w-        C:\Windows\system32\npDeployJava1.dll
2012-12-02 14:01:24 . 2012-12-02 14:01:30        746984        ----a-w-        C:\Windows\system32\deployJava1.dll
2012-11-28 18:38:21 . 2012-11-28 18:38:31        740840        ------w-        C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{44C251A6-7E31-48B1-9B3D-BF274A53304A}\gapaengine.dll
2012-12-01 19:56:50 . 2012-12-01 19:56:30        262112        ----a-w-        C:\Program Files\mozilla firefox\components\browsercomps.dll


((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32:48        129272        ----a-w-        C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32:48        129272        ----a-w-        C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32:48        129272        ----a-w-        C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32:48        129272        ----a-w-        C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KeePass Password Safe"="E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\keepass.exe" [2009-06-06 17:24:02 769024]
"Steam"="C:\Program Files\Steam\Steam.exe" [2012-12-09 20:21:20 1354736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\Program Files\Microsoft Security Client\msseces.exe" [2012-03-26 15:08:12 931200]
"Adobe ARM"="C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 20:51:26 919008]
"DivXUpdate"="C:\Program Files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 23:08:12 1259376]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 08:04:54 252848]

C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-1-4 28539232]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Wireless Connection Manager.lnk - C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe [2011-4-21 517440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20:12        1305408        ----a-w-        C:\Program Files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2006-05-25 17:35:48        35328        ----a-w-        C:\Program Files\Winamp\winampa.exe

R2 SkypeUpdate;Skype Updater;C:\Program Files\Skype\Updater\Updater.exe [x]
R3 jswpsapi;JumpStart Wi-Fi Protected Setup;C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe [x]
R3 NisDrv;Microsoft Network Inspection System;C:\Windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft Network Inspection;c:\Program Files\Microsoft Security Client\NisSrv.exe [x]
R3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows Activation Technologies Service;C:\Windows\system32\Wat\WatAdminSvc.exe [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 jswpslwf;JumpStart Wireless Filter Driver;C:\Windows\system32\DRIVERS\jswpslwf.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe [x]



------- Zusätzlicher Suchlauf -------

IE: Add to Google Photos Screensa&ver - C:\Windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.254
FF - ProfilePath - C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2012-12-05 22:14; foxmarks@kei.com; C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\foxmarks@kei.com

cosinus 13.01.2013 21:35
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

bliss 13.01.2013 21:49
Code:

# AdwCleaner v2.105 - Logfile created 01/13/2013 at 21:48:42
# Updated 08/01/2013 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (32 bits)
# User : Hendrik - LOKI
# Boot Mode : Normal
# Running from : C:\Users\Hendrik\Downloads\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\staged

***** [Registry] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16450

[OK] Registry is clean.

-\\ Mozilla Firefox v17.0.1 (de)

File : C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [779 octets] - [13/01/2013 21:48:42]

########## EOF - C:\AdwCleaner[R1].txt - [838 octets] ##########

cosinus 13.01.2013 21:56
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in CODE-Tags hier in den Thread.

bliss 13.01.2013 22:23
Code:
# AdwCleaner v2.105 - Logfile created 01/13/2013 at 22:15:59
# Updated 08/01/2013 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (32 bits)
# User : Hendrik - LOKI
# Boot Mode : Normal
# Running from : C:\Users\Hendrik\Downloads\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\staged

***** [Registry] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16450

[OK] Registry is clean.

-\\ Mozilla Firefox v17.0.1 (de)

File : C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [906 octets] - [13/01/2013 21:48:42]
AdwCleaner[S1].txt - [840 octets] - [13/01/2013 22:15:59]

########## EOF - C:\AdwCleaner[S1].txt - [899 octets] ##########
OTL Logfile:
Code:
OTL logfile created on: 13.01.2013 22:18:07 - Run 2
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Hendrik\Downloads
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,31 Gb Available Physical Memory | 77,37% Memory free
5,98 Gb Paging File | 5,23 Gb Available in Paging File | 87,44% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,69 Gb Total Space | 60,54 Gb Free Space | 54,20% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 0,76 Gb Free Space | 1,52% Space Free | Partition Type: NTFS
Drive E: | 272,61 Gb Total Space | 85,82 Gb Free Space | 31,48% Space Free | Partition Type: NTFS
Drive F: | 50,00 Gb Total Space | 40,29 Gb Free Space | 80,58% Space Free | Partition Type: NTFS
Drive I: | 931,51 Gb Total Space | 22,00 Gb Free Space | 2,36% Space Free | Partition Type: NTFS
 
Computer Name: LOKI | User Name: Hendrik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Hendrik\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
PRC - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files\Skype\Updater\Updater.exe (Skype Technologies)
PRC - C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Windows\System32\atieclxx.exe (AMD)
PRC - C:\Windows\System32\atiesrxx.exe (AMD)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe (D-Link Corp.)
PRC - E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\KeePass.exe (Dominik Reichl)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\Program Files\D-Link\DWA-547 revA\WlanDll.dll ()
MOD - C:\Program Files\D-Link\DWA-547 revA\WLanWps.dll ()
MOD - C:\Program Files\WinRAR\RarExt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MozillaMaintenance) -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (SkypeUpdate) -- C:\Program Files\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (NisSrv) -- c:\Program Files\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (PEVSystemStart) -- C:\ComboFix\pev.3XE ()
SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
SRV - (AMD External Events Utility) -- C:\Windows\System32\atiesrxx.exe (AMD)
SRV - (Steam Client Service) -- C:\Program Files\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (jswpsapi) -- C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe (Atheros Communications, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (catchme) -- C:\Users\Hendrik\AppData\Local\Temp\catchme.sys File not found
DRV - (NisDrv) -- C:\Windows\System32\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV - (dtsoftbus01) -- C:\Windows\System32\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV - (truecrypt) -- C:\Windows\System32\drivers\truecrypt.sys (TrueCrypt Foundation)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (amdkmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (amdkmdap) -- C:\Windows\System32\drivers\atikmpag.sys (Advanced Micro Devices, Inc.)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (jswpslwf) -- C:\Windows\System32\drivers\jswpslwf.sys (Atheros Communications, Inc.)
DRV - (w800obex) -- C:\Windows\System32\drivers\w800obex.sys (MCCI)
DRV - (w800mgmt) -- C:\Windows\System32\drivers\w800mgmt.sys (MCCI)
DRV - (w800mdm) -- C:\Windows\System32\drivers\w800mdm.sys (MCCI)
DRV - (w800mdfl) -- C:\Windows\System32\drivers\w800mdfl.sys (MCCI)
DRV - (w800bus) -- C:\Windows\System32\drivers\w800bus.sys (MCCI)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope =
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope =
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope =
 
IE - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.openintab: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: abhere2%40moztw.org:17.0.20121128
FF - prefs.js..extensions.enabledAddons: CompactMenuCE%40Merci.chao:5.1.0
FF - prefs.js..extensions.enabledAddons: OPIE%40guid.customsoftwareconsult.com:4.0
FF - prefs.js..extensions.enabledAddons: %7B4BBDD651-70CF-4821-84F8-2B918CF89CA3%7D:7.0.3.5
FF - prefs.js..extensions.enabledAddons: %7BA4732521-77D9-447E-A557-B279AC923F06%7D:0.6.9
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.12
FF - prefs.js..extensions.enabledAddons: %7BD4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389%7D:0.9.10
FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.0.3.1
FF - prefs.js..extensions.enabledAddons: %7BDDC359D1-844A-42a7-9AA1-88A850A938A8%7D:2.0.15
FF - prefs.js..extensions.enabledAddons: foxmarks%40kei.com:4.1.3
FF - prefs.js..extensions.enabledAddons: %7B1280606b-2510-4fe0-97ef-9b5a22eafe30%7D:0.7.9.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..extensions.enabledItems: abhere2@moztw.org:3.5.20091115
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10
FF - prefs.js..extensions.enabledItems: {4BBDD651-70CF-4821-84F8-2B918CF89CA3}:6.3.3.2
FF - prefs.js..extensions.enabledItems: {A4732521-77D9-447E-A557-B279AC923F06}:0.6.6
FF - prefs.js..extensions.enabledItems: IncredibleBookmarks@visibotech.com:0.7.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA}:7.0
FF - prefs.js..extensions.enabledItems: OPIE@guid.customsoftwareconsult.com:1.2.3
FF - prefs.js..extensions.enabledItems: {1a6907cb-d310-4d82-bded-c0dd31f8d9a2}:1.8
FF - prefs.js..extensions.enabledItems: CompactMenuCE@Merci.chao:4.2.1
FF - prefs.js..extensions.enabledItems: {1280606b-2510-4fe0-97ef-9b5a22eafe30}:0.6.8.3
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.4
FF - prefs.js..network.proxy.autoconfig_url: "hxxp://www.rz.uni-osnabrueck.de/proxy/proxy.pac"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.01 20:56:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.05.23 21:12:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013.01.13 22:16:01 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions
[2012.07.19 19:56:39 | 000,000,000 | ---D | M] (FEBE) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}
[2012.11.21 19:30:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.12.05 22:14:40 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\foxmarks@kei.com
[2012.12.02 15:19:39 | 000,065,602 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\abhere2@moztw.org.xpi
[2012.06.26 07:50:50 | 000,073,806 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\CompactMenuCE@Merci.chao.xpi
[2011.12.23 10:21:08 | 000,345,230 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\OPIE@guid.customsoftwareconsult.com.xpi
[2012.12.16 12:02:07 | 000,516,464 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi
[2011.11.26 17:42:20 | 000,089,724 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{A4732521-77D9-447E-A557-B279AC923F06}.xpi
[2012.11.25 18:41:45 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2011.11.26 17:42:12 | 000,434,392 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi
[2012.12.02 15:19:39 | 000,710,866 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi
[2012.09.23 23:16:59 | 000,698,867 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.12.01 20:56:50 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.07.19 21:55:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.23 23:16:51 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.19 21:55:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.19 21:55:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.19 21:55:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.19 21:55:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2013.01.13 21:14:27 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [KeePass Password Safe] E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\keepass.exe (Dominik Reichl)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [Steam] C:\Program Files\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8E3EA4B3-19C0-4579-8D8B-12FFEFE8111C}: DhcpNameServer = 192.168.2.254
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.02.07 15:26:35 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.13 21:18:32 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.01.13 21:14:25 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.01.13 21:14:25 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Local\temp
[2013.01.13 21:12:20 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.01.13 21:12:20 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.01.13 21:12:20 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.01.13 21:12:19 | 000,000,000 | ---D | C] -- C:\ComboFix
[2013.01.13 21:12:18 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.01.13 21:12:13 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.12.19 07:30:50 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Users\Hendrik\Desktop\aswMBR.exe
[2012.12.17 20:43:46 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.16 14:45:19 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\KeePass
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.13 22:16:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.13 22:16:42 | 2406,862,848 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.13 22:14:47 | 000,007,833 | ---- | M] () -- C:\Windows\wincmd.ini
[2013.01.13 21:22:55 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.13 21:22:55 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.13 21:22:47 | 000,609,092 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.01.13 21:22:47 | 000,104,370 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.01.13 21:15:50 | 362,219,403 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.01.13 21:14:27 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2013.01.13 21:05:26 | 000,001,013 | ---- | M] () -- C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2012.12.21 11:14:19 | 000,000,512 | ---- | M] () -- C:\Users\Hendrik\Desktop\MBR.dat
[2012.12.19 07:31:27 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Users\Hendrik\Desktop\aswMBR.exe
[2012.12.19 07:30:18 | 000,302,592 | ---- | M] () -- C:\Users\Hendrik\Desktop\hki4wsli.exe
[2012.12.17 20:43:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.16 14:32:01 | 000,000,600 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.16 12:01:50 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.12.16 12:01:50 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.12.15 13:51:15 | 000,050,176 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2013.01.13 21:12:20 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.01.13 21:12:20 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.01.13 21:12:20 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.01.13 21:12:20 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.01.13 21:12:20 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.12.21 11:14:19 | 000,000,512 | ---- | C] () -- C:\Users\Hendrik\Desktop\MBR.dat
[2012.12.19 07:30:17 | 000,302,592 | ---- | C] () -- C:\Users\Hendrik\Desktop\hki4wsli.exe
[2012.12.16 14:31:52 | 000,000,600 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.14 19:40:34 | 000,000,131 | ---- | C] () -- C:\Windows\EurekaLog.ini
[2012.09.22 17:57:14 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2012.08.02 14:23:53 | 000,050,176 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.17 23:18:32 | 000,000,848 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys
[2011.04.28 21:41:02 | 000,000,120 | ---- | C] () -- C:\Windows\wcx_ftp.ini
[2011.04.27 22:52:50 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.04.22 12:09:34 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2011.04.21 21:05:11 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.04.21 19:41:12 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.04.05 21:09:48 | 000,059,904 | ---- | C] () -- C:\Windows\System32\OVDecode.dll
[2011.03.01 18:07:08 | 000,003,949 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.02.28 22:30:06 | 000,233,012 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
--- --- ---


OTL Logfile:
Code:
OTL Extras logfile created on: 13.01.2013 22:18:07 - Run 2
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Hendrik\Downloads
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,31 Gb Available Physical Memory | 77,37% Memory free
5,98 Gb Paging File | 5,23 Gb Available in Paging File | 87,44% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,69 Gb Total Space | 60,54 Gb Free Space | 54,20% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 0,76 Gb Free Space | 1,52% Space Free | Partition Type: NTFS
Drive E: | 272,61 Gb Total Space | 85,82 Gb Free Space | 31,48% Space Free | Partition Type: NTFS
Drive F: | 50,00 Gb Total Space | 40,29 Gb Free Space | 80,58% Space Free | Partition Type: NTFS
Drive I: | 931,51 Gb Total Space | 22,00 Gb Free Space | 2,36% Space Free | Partition Type: NTFS
 
Computer Name: LOKI | User Name: Hendrik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\fotobuch.de\Designer 2.0\Designer.exe" = C:\Program Files\fotobuch.de\Designer 2.0\Designer.exe:*:Designer.exe -- ()
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{15A60420-2DE2-432F-9D1E-9DC5F95844CE}" = protocol=6 | dir=in | app=c:\users\hendrik\appdata\roaming\dropbox\bin\dropbox.exe |
"{213B6C39-AB63-4C6C-BDCF-554381FD6FC6}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\simcity 4 deluxe\apps\simcity 4.exe |
"{3631770A-1E79-4DD5-8D00-11868F40494D}" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{3C7FC6A7-E4F2-4219-863E-951039A1DD97}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{6BE74223-4485-4073-8E7E-56B549FBBDB9}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{75072CEF-51FA-48CA-8BDB-3B40312482DC}" = protocol=17 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe |
"{85A51FCB-C971-4F37-BB1F-A3A53E265EB7}" = protocol=6 | dir=in | app=c:\program files\starcraft ii\starcraft ii.exe |
"{8B7F9B7C-277C-45E2-AE42-825CF0EF2946}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\simcity 4 deluxe\support\ea help\electronic_arts_technical_support.htm |
"{977BED32-6918-4A38-9072-9610023EA7D9}" = protocol=17 | dir=in | app=c:\users\hendrik\appdata\roaming\dropbox\bin\dropbox.exe |
"{A0EE0CA6-D3F9-4F11-B990-7ED3324B358C}" = protocol=6 | dir=in | app=c:\program files\steam\steam.exe |
"{A5A6955C-4B07-45DF-8438-63B5126F3AD9}" = protocol=17 | dir=in | app=c:\program files\steam\steam.exe |
"{AFB175B6-A766-40EE-85CB-3E52676B9834}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\simcity 4 deluxe\support\ea help\electronic_arts_technical_support.htm |
"{DA6E571C-D24D-4FC7-A82A-EB4827DCE94E}" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{FAB88795-0A2C-4286-9A49-DA9DE425EACD}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{FB091549-FF7A-4CBE-B67E-719311740A67}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\simcity 4 deluxe\apps\simcity 4.exe |
"TCP Query User{3C9A7564-F91E-4DC5-B614-155AA1F18629}C:\program files\java\jre7\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe |
"TCP Query User{73F5AAB6-E44A-465E-8965-6CF73AB81C88}D:\programme\emule\emule.exe" = protocol=6 | dir=in | app=d:\programme\emule\emule.exe |
"UDP Query User{5647D4E9-A754-4207-99D0-D27298FF989D}D:\programme\emule\emule.exe" = protocol=17 | dir=in | app=d:\programme\emule\emule.exe |
"UDP Query User{B29F2E61-6D9E-40A9-88A8-68B18201DD39}C:\program files\java\jre7\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1A15507A-8551-4626-915D-3D5FA095CC1B}" = Corel Paint Shop Pro X
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{32A3A4F4-B792-11D6-A78A-00B0D0170090}" = Java SE Development Kit 7 Update 9
"{457A1082-080B-ECCB-07E9-CC841173A5E3}" = ATI Catalyst Install Manager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{537575D6-3B96-474C-BD8F-DFF667363DBD}" = Naviextras Toolbox Prerequesities
"{6F6F39E3-D24D-4EEE-9AEA-DEDAF991385D}" = DWA-547
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{79AAE9BC-BE15-CA31-66BD-70ACE16E2A82}" = AMD Drag and Drop Transcoding
"{859B9BCA-5376-4566-9F88-C6C9DAA7A925}" = Microsoft Security Client DE-DE Language Pack
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{916800EA-DDA2-4C5E-96F2-811F3F7C4258}" = Total Commander 6.54a
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{A25FF1C0-80B6-4B8B-A551-DC525697A408}" = AMD APP SDK Runtime
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"5513-1208-7298-9440" = JDownloader 0.9
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"CCleaner" = CCleaner
"Content Manager 2" = Content Manager 2
"DAEMON Tools Lite" = DAEMON Tools Lite
"Designer 2.0_is1" = Designer 2.0
"DivX Setup" = DivX-Setup
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Microsoft Security Client" = Microsoft Security Essentials
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Picasa 3" = Picasa 3
"Recuva" = Recuva
"Sony Ericsson W800" = Sony Ericsson W800 Software
"StarCraft II" = StarCraft II
"Steam App 24780" = SimCity 4 Deluxe
"Steam App 26800" = Braid
"TreeSize Free_is1" = TreeSize Free V2.5
"TrueCrypt" = TrueCrypt
"uTorrent" = µTorrent
"VisiPics_is1" = VisiPics V1.25
"VLC media player" = VLC media player 2.0.4
"Winamp" = Winamp (remove only)
"WinRAR archiver" = WinRAR Archivierer
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 22.09.2012 16:35:45 | Computer Name = Loki | Source = Application Hang | ID = 1002
Description = The program TOTALCMD.EXE version 6.5.4.0 stopped interacting with
Windows and was closed. To see if more information about the problem is available,
 check the problem history in the Action Center control panel.    Process ID: d60    Start
 Time: 01cd82f9cd6dc1f5    Termination Time: 15    Application Path: C:\Program Files\Total.Commander.6.54a\TOTALCMD.EXE

Report
 Id: 147ae2e2-04f5-11e2-ba2b-fe39b8836c5d 
 
Error - 23.09.2012 17:49:52 | Computer Name = Loki | Source = ESENT | ID = 215
Description = WinMail (3120) WindowsMail0: The backup has been stopped because it
 was halted by the client or the connection with the client failed.
 
Error - 04.10.2012 18:04:42 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: Paint Shop Pro X.exe, version: 10.0.0.0,
 time stamp: 0x4303b411  Faulting module name: unknown, version: 0.0.0.0, time stamp:
 0x00000000  Exception code: 0xc0000005  Fault offset: 0x32332032  Faulting process id:
 0xc08  Faulting application start time: 0x01cda2528e5e9862  Faulting application path:
 C:\Program Files\Corel\Corel Paint Shop Pro X\Paint Shop Pro X.exe  Faulting module
 path: unknown  Report Id: 7f2f1aa8-0e6f-11e2-a442-b7809016e961
 
Error - 06.10.2012 06:49:20 | Computer Name = Loki | Source = Application Hang | ID = 1002
Description = The program TOTALCMD.EXE version 6.5.4.0 stopped interacting with
Windows and was closed. To see if more information about the problem is available,
 check the problem history in the Action Center control panel.    Process ID: 1d04    Start
 Time: 01cda3af6bc860e4    Termination Time: 2    Application Path: C:\Program Files\Total.Commander.6.54a\TOTALCMD.EXE

Report
 Id: 7802750e-0fa3-11e2-a442-b7809016e961 
 
Error - 06.10.2012 06:49:42 | Computer Name = Loki | Source = Application Hang | ID = 1002
Description = The program TOTALCMD.EXE version 6.5.4.0 stopped interacting with
Windows and was closed. To see if more information about the problem is available,
 check the problem history in the Action Center control panel.    Process ID: 1f90    Start
 Time: 01cda3b03f29bbcd    Termination Time: 2    Application Path: C:\Program Files\Total.Commander.6.54a\TOTALCMD.EXE

Report
 Id: 86c275e8-0fa3-11e2-a442-b7809016e961 
 
Error - 09.12.2012 10:41:57 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: designer.exe, version: 0.0.0.0, time stamp:
 0x5006a173  Faulting module name: QtGui4.dll, version: 4.3.3.0, time stamp: 0x47559e07
Exception
 code: 0xc0000005  Fault offset: 0x0004214c  Faulting process id: 0xe74  Faulting application
 start time: 0x01cdd6193ea293b6  Faulting application path: C:\Program Files\fotobuch.de\Designer
 2.0\designer.exe  Faulting module path: C:\Program Files\fotobuch.de\Designer 2.0\QtGui4.dll
Report
 Id: 94dd8e53-420e-11e2-8b03-bc8fbd5a6c5d
 
Error - 09.12.2012 13:52:45 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: designer.exe, version: 0.0.0.0, time stamp:
 0x5006a173  Faulting module name: QtCore4.dll, version: 4.3.3.0, time stamp: 0x475599d5
Exception
 code: 0xc0000005  Fault offset: 0x0009fb86  Faulting process id: 0x170  Faulting application
 start time: 0x01cdd6219b9a09f9  Faulting application path: C:\Program Files\fotobuch.de\Designer
 2.0\designer.exe  Faulting module path: C:\Program Files\fotobuch.de\Designer 2.0\QtCore4.dll
Report
 Id: 3c59a21d-4229-11e2-8b04-928c4f51ea5c
 
Error - 11.12.2012 14:15:25 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: designer.exe, version: 0.0.0.0, time stamp:
 0x5006a173  Faulting module name: QtGui4.dll, version: 4.3.3.0, time stamp: 0x47559e07
Exception
 code: 0xc0000005  Fault offset: 0x0002ccf4  Faulting process id: 0xe64  Faulting application
 start time: 0x01cdd7bf926eeebf  Faulting application path: C:\Program Files\fotobuch.de\Designer
 2.0\designer.exe  Faulting module path: C:\Program Files\fotobuch.de\Designer 2.0\QtGui4.dll
Report
 Id: bbcf1ed9-43be-11e2-8b30-b93f9eb76a5e
 
Error - 11.12.2012 17:47:37 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: designer.exe, version: 0.0.0.0, time stamp:
 0x5006a173  Faulting module name: QtGui4.dll, version: 4.3.3.0, time stamp: 0x47559e07
Exception
 code: 0xc0000005  Fault offset: 0x00013216  Faulting process id: 0x62c  Faulting application
 start time: 0x01cdd7e36aa4ccf3  Faulting application path: C:\Program Files\fotobuch.de\Designer
 2.0\designer.exe  Faulting module path: C:\Program Files\fotobuch.de\Designer 2.0\QtGui4.dll
Report
 Id: 60ad8049-43dc-11e2-8b30-b93f9eb76a5e
 
Error - 11.12.2012 18:05:25 | Computer Name = Loki | Source = Application Error | ID = 1000
Description = Faulting application name: designer.exe, version: 0.0.0.0, time stamp:
 0x5006a173  Faulting module name: QtGui4.dll, version: 4.3.3.0, time stamp: 0x47559e07
Exception
 code: 0xc0000005  Fault offset: 0x0002ccf4  Faulting process id: 0x164  Faulting application
 start time: 0x01cdd7e92920e498  Faulting application path: C:\Program Files\fotobuch.de\Designer
 2.0\designer.exe  Faulting module path: C:\Program Files\fotobuch.de\Designer 2.0\QtGui4.dll
Report
 Id: dd4218a1-43de-11e2-8b30-b93f9eb76a5e
 
[ System Events ]
Error - 21.12.2012 06:16:18 | Computer Name = Loki | Source = atapi | ID = 262155
Description = The driver detected a controller error on \Device\Ide\IdePort0.
 
Error - 21.12.2012 06:16:18 | Computer Name = Loki | Source = atapi | ID = 262155
Description = The driver detected a controller error on \Device\Ide\IdePort0.
 
Error - 21.12.2012 09:28:21 | Computer Name = Loki | Source = atapi | ID = 262155
Description = The driver detected a controller error on \Device\Ide\IdePort0.
 
Error - 13.01.2013 15:56:37 | Computer Name = Loki | Source = EventLog | ID = 6008
Description = The previous system shutdown at 20:55:24 on ?13.?01.?2013 was unexpected.
 
Error - 13.01.2013 15:56:38 | Computer Name = Loki | Source = BugCheck | ID = 1001
Description =
 
Error - 13.01.2013 16:12:34 | Computer Name = Loki | Source = Service Control Manager | ID = 7030
Description = The PEVSystemStart service is marked as an interactive service.  However,
 the system is configured to not allow interactive services.  This service may not
 function properly.
 
Error - 13.01.2013 16:13:23 | Computer Name = Loki | Source = Service Control Manager | ID = 7030
Description = The PEVSystemStart service is marked as an interactive service.  However,
 the system is configured to not allow interactive services.  This service may not
 function properly.
 
Error - 13.01.2013 16:15:51 | Computer Name = Loki | Source = EventLog | ID = 6008
Description = The previous system shutdown at 21:14:32 on ?13.?01.?2013 was unexpected.
 
Error - 13.01.2013 16:15:53 | Computer Name = Loki | Source = BugCheck | ID = 1001
Description =
 
Error - 13.01.2013 17:16:14 | Computer Name = Loki | Source = DCOM | ID = 10010
Description =
 
 
< End of report >
--- --- ---

cosinus 13.01.2013 22:35
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


bliss 14.01.2013 00:00
Malwarebytes hat irgendwas gefunden:

Code:
Malwarebytes Anti-Malware (Trial) 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.13.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Hendrik :: LOKI [administrator]

Protection: Enabled

13.01.2013 23:51:49
MBAM-log-2013-01-13 (23-59-00).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 189610
Time elapsed: 1 minute(s), 2 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Windows\System32\cmdow.exe (PUP.Tool) -> No action taken.

(end)

cosinus 14.01.2013 08:32
Ist eher harmlos. cmdow wird von verschiedenen Tools benutzt

bliss 17.01.2013 09:38
Was war jetzt eigentlich das Problem auf meinem Rechner? Ich würde nämlich gerne noch den Laptop und sämtliche externen Festplatten überprüfen, sonst trage ich die Infektion durch meine Backups eventuell hin und her... Wie mach ich das am besten, d.h. mit welchem Scan?

Hier ist der ESET-Scan mit einem Teil der Festplatten schonmal:

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=2a939544944f0d4b8e53ffb145931d2f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-17 02:06:23
# local_time=2013-01-17 03:06:23 (+0100, W. Europe Standard Time)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5892 16777213 88 94 15759855 26122931 0 0
# scanned=1148149
# found=7
# cleaned=0
# scan_time=15159
E:\Eigene Dateien\Programme\flv plugin for wmp\PlayFLV.exe        Win32/TrojanDownloader.Adload.NIQ trojan        042D9553E96142603F82041659A05B0AC0D9F3C8        I
E:\Eigene Dateien\Programme\System Analysis\SiSoftware.Sandra.Pro.Home.v2007.SP1.Multilingual.Retail.Incl.Keymaker-ZWT.zip        probably a variant of Win32/Agent.BIDOUIY trojan        9119F16960EC02A715CA71CD545B45CF65E43ABC        I
E:\Eigene Dateien\Programme\VLC Player\vlc-0.9.8a-win32.exe        a variant of Win32/Foxferi.A trojan        3F13BD46677DF05A57E80E381624D6633B29EDC2        I
F:\Rosetta Languages\data\1c\2\1c2136a7c1675c9ff26a4bae649e01faeac67f54        SWF/Exploit.CVE-2007-0071 trojan        7FAF9CDDB31B3CB464F91CDCFB9857B926D6DCD1        I
M:\Backup\Eigene Dateien\Programme\flv plugin for wmp\PlayFLV.exe        Win32/TrojanDownloader.Adload.NIQ trojan        042D9553E96142603F82041659A05B0AC0D9F3C8        I
M:\Backup\Eigene Dateien\Programme\System Analysis\SiSoftware.Sandra.Pro.Home.v2007.SP1.Multilingual.Retail.Incl.Keymaker-ZWT.zip        probably a variant of Win32/Agent.BIDOUIY trojan        9119F16960EC02A715CA71CD545B45CF65E43ABC        I
M:\Backup\Eigene Dateien\Programme\VLC Player\vlc-0.9.8a-win32.exe        a variant of Win32/Foxferi.A trojan        3F13BD46677DF05A57E80E381624D6633B29EDC2        I

cosinus 17.01.2013 16:01
Code:
E:\Eigene Dateien\Programme\System Analysis\SiSoftware.Sandra.Pro.Home.v2007.SP1.Multilingual.Retail.Incl.Keymaker-ZWT.zip
Na toll! :pfui:

bliss 17.01.2013 16:09
Ja... *schaem* ich benutze das nichtmal (war wohl auch besser so?). Hab es wohl als Student mal runtergeladen, weil ich kein Geld hatte und meinte, es zu brauchen.

Soll ich die Funde jetzt von Hand loeschen?

Und kannst du mir noch sagen, wie ich checken kann, dass das Problem nicht auf meinen Laptop uebergegriffen hat oder irgendwo in meinen Backups steckt? Ich hab immer noch nicht so genau verstanden, was das Problem eigentlich war...

cosinus 17.01.2013 16:18
Normalerweise gibt hier es hier keine Bereinigung wenn wir sowas sehen! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...tml#post616774

Hinweis: Alte Cracks oder Keygens
Lesestoff:
Alte Cracks und Keygens
Werkzeuge, die einen Kopierschutz umgehen, sind nach geltendem Recht illegal. Anhand der letzten Logfiles habe ich gesehen, dass du solche Programme vermutlich noch von früher auf deinem Computer hast.
Bitte umgehend alle diese Dateien von deinem Rechner entfernen! Melde dich, wenn das erledigt ist. Sollten solche Dateien in einem der nächsten Logfiles auftauchen müssen wir den Support einstellen. Bitte habe Verständnis dafür, dass wir das illegale Kopieren von Software nicht unterstützen können und dürfen.

bliss 17.01.2013 16:24
Ja, wie gesagt hab ich das Ding ja nie benutzt. Wenn ich noch andre Cracks irgendwo finde, kann ich sie auch loeschen, ich benutz eh nur noch legale Software aus Sicherheitsgruenden... Als Studenten haben wir da halt anders gedacht. Sorry :)

cosinus 17.01.2013 16:30
Na dann lösch mal alles und auch die ESET Funde

bliss 18.01.2013 00:06
gemacht

cosinus 18.01.2013 12:40
Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

bliss 18.01.2013 18:10
Ich würde wie gesagt gerne noch wissen, wie ich meinen Laptop und meine externen Festplatten checken kann; sonst hole ich mir beim nächsten Backup vielleicht wieder dasselbe Problem...

Oh oh. Problem. Der Desktop, der gerade bereinigt erschien, hat sich wieder mit einem Bluescreen verabschiedet und lässt sich nun gar nicht mehr starten. Ich bekomme nur die Anzeige "BOOTMGR IS MISSING - PRESS CTRL+ALT+DEL TO RESTART".

cosinus 20.01.2013 18:58
Da wirst du wohl von der Windows-DVD starten und Reparatur durchführen müssen....

bliss 30.01.2013 18:28
Okay, dann muss ich erstmal das Image finden und irgendwie auf DVD brennen lassen (mein Brenner ist dummerweise im kaputten Rechner)... Und wie soll ich das dann machen mit der Reparatur?

cosinus 31.01.2013 10:52
Schonmal auf die Idee gekommen, das Handbuch zu konsultieren? :wtf:
JEDER Hersteller hält das anders!

bliss 31.01.2013 12:34
Hersteller von was? Mainboard? (Sorry, ich bastel daran normalerweise nie rum...)

cosinus 31.01.2013 12:36
Sry ich dachte eben erst an Recovery
Du musst von der Windows-DVD booten!

bliss 31.01.2013 13:19
Und wie reparier ich dann den Bootmanager?

cosinus 31.01.2013 13:48
Systemstartreparatur für Vista und Windows 7

Sagmal findest du sowas nicht selbst über Google? :wtf:

bliss 31.01.2013 17:07
Bis jetzt hattest du mich ja auch an der Hand durch jeden einzelnen Schritt gefuehrt (mit regelmaessigen Warnungen, auch JA NIX zu machen, was mir nicht gesagt wurde). Woher soll ich dann wissen, ab wann ich alleine weitermachen soll? Danke jedenfalls bis hierhin.

cosinus 01.02.2013 10:23
Ein wenig Eigeninitiative sollte man schon erwarten können, banale Dinge wie Googlen usw sollten doch eine Selbstverständlichkeit sein!
Oder wartest du in allen Lebensbereichen darauf, dass man dir alles auf's sprichwörtliche silberne Tablett serviert? :wtf:

bliss 01.02.2013 10:33
Lies nochmal den ersten Satz meines letzten Posts. Es ist nunmal der Ansatz dieses Forums, dass man genau das machen soll, was einem die Helfer sagen, und keine eigenen Rettungsversuche unternimmt. So habe ich das zumindest verstanden. Wenn deine Hilfe beendet ist, dann sag es einfach freundlich und ich sehe, wie ich allein klarkomme.

Kein Grund hier zu streiten...

cosinus 01.02.2013 10:37
Zitat:
und keine eigenen Rettungsversuche unternimmt
Ja, was bzgl. einer Bereinigung ist! Erkennst du den Unterschied?
Nach Informationen zu googlen wie man von CD bootet, und zu bestimmten Menüs kommt hat doch nun reingarnix mehr mit einer Bereinigung und "unseren" Spezialtools zu tun!

bliss 01.02.2013 10:41
Das weiss ich ja nicht. Ich hatte einen befallenen Rechner, und der hat auf einmal nicht mehr gebootet. Du weisst vielleicht, dass das mit Bereinigung nichts mehr zu tun hat, aber ich nicht... Fuer mich ist das nur ein weiteres Symptom meines Rechners, deswegen hab ich's ja hier geschrieben und auf Hilfe gehofft.

cosinus 01.02.2013 10:46
Und nun, was willst du denn jetzt noch, eine Anleitung hab ich dir gegeben, die du selbst mit Leichtigkeit via Google gefunden hättest

bliss 01.02.2013 11:19
Danke. Ich kann ganz gut googeln. (Ich kann mir meine eigene Suchmaschine schreiben, wenn's sein muss.) Ich find es nur nicht ganz fair, unhoeflich zu sein, nur weil sich jemand Muehe gibt, deiner Hilfe zu folgen.
Am Wochenende werd ich mal schauen, ob ich den Rechner wieder flottkriege.

cosinus 01.02.2013 11:25
Zitat:
Ich find es nur nicht ganz fair, unhoeflich zu sein, nur weil sich jemand Muehe gibt, deiner Hilfe zu folgen.
Ich reagier etwas genervt, wenn man jede Kleinigkeit vorkauen und für den Hilfesuchenden Googlesuchen machen muss. Soviel Eigeninitiative sollte schon vorhanden sein, dass man da auch mal selbst auf die Idee kommt.
Nichts auf eigene Faust machen bezieht sich ausdrücklich darauf keine speziellen Tools wie CF, OTL TDSS-Killer oder dergleichen einfach mal anzuwenden!


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19