Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Adware.Agent und TR/Trash.Gen Trojan gefunden und bei Gmer was falsch gemacht :-( (https://www.trojaner-board.de/95528-adware-agent-tr-trash-gen-trojan-gefunden-gmer-falsch-gemacht.html)

Opel-Vectra 09.02.2011 07:26
Adware.Agent und TR/Trash.Gen Trojan gefunden und bei Gmer was falsch gemacht :-(
 
Hallo trojaner-board.de,

ich benötige Eure Hilfe, um meinen Rechner wieder zu säubern. Vor ca. 2 Wochen wurde mein Rechner langsamer brach des Öfteren bei einem Facebook-Game zusammen. Meine Freundin klickte im Internet herum, um "automatische Hilfsprogramme" zu nutzen. Dabei (oder vielleicht auch schon vorher) ging wohl was schief ;-(

BEVOR ich auf Eurem Forum nach Hilfe gesucht habe, habe ich folgendes getan:

Ich habe Malwarebytes Anti-Malware (MBAM) mit dem aktuellsten Update am 05.02.2011 ein Full System Scan laufen lassen, wobei 2 Infektionen mit Trojan.Agent gefunden, quarantiert und gelöscht wurden. Ich werde den Log-File dazu unten anhängen.

Im nächsten Schritt fuhr ich meinen Rechner runter und wieder hoch.

Außerdem verwende ich "Avira Antivirus Personal - Free Antivirus" mit dem aktuellsten Update. Auch dieses Programm habe ich einen Scan durchlaufen lassen und es hat 2 Infektionen mit TR/Trash.Gen gefunden - obwohl MBAM nichts mehr gefunden hatte. Das lässt mich vermuten, dass vermutlich noch mehr auf dem Rechner ist, das weder von MBAM noch Avira gefunden werden kann. Ich werde auch diesen Log weiter unten anhängen.

Nach erneutem runter- und wieder hochfahren, hörte ich den Rechner (noch vor dem passwortgeschützten Log-In) auf der Festplatte wie wild schreiben, was auch durch die gelbe LED am Gehäuse des Rechners angezeigt wurde. Normalerweise fängt mein Rechner erst nach dem Windows-Log-In an, die benötigten Programme hoch zu laden und dementsprechend auf der Festplatte rum zu knuspern. Wie gesagt, dies geschah noch vor dem Log-In und da nach 8 Minuten noch immer nicht Schluss war damit, habe ich mich eingeloggt und im Windows Task Manager nachgeschaut, welcher Prozess dort außergewöhnlich viel Memory Usage verursacht. Es war mit über 90MB das Programm AVscan.exe. Da zu diesem Zeitpunkt Avira noch gar nicht gestartet hatte, habe ich SOFORT einen kompletten Systemscan mit Avira angefangen und avscan.exe gesellte sich mit ca. 35MB Mem Usage in den Windows Task Manager hinzu - welchen Prozess ich auch sofort wieder abbrach. Anschließend versuchte ich den AVscan.exe Prozess abzubrechen, was mir nicht gelang. Ich bekam eine "Access Denied"-Nachricht. Beim nächsten Hochfahren meines Rechners, schien alles wieder normal zu laufen, allerdings fehlte meine Schnellstartleiste, die ich dann wieder hergestellt habe - aber sie sieht jetzt nicht mehr so aus, wie ich sie vor dem Viren oder Trojaner Angriff eingerichtet hatte.

Wie gesagt, ich gehe davon aus, dass da noch was auf meinem Rechner ist, was da nicht so hingehört.

NACHDEM ich auf Eurem Forum nach Hilfe gesucht habe, habe ich die Anleitung Load.exe von Larusso befolgt. Ich habe MBAM geupdated, mit Quick Scan erneut laufen lassen - ohne Fund. Diesen Log werde ich hier aber nicht posten, sondern den Log vom 05.02. Ist das so in Ordnung?

Ein anderer Unterschied zur Anleitung ist, dass Defogger nachdem ich bei FINISHED auf OK geklickt habe mich nicht zu einem Neustart aufgefordert hatte. Ich habe daher manuell einen Neustart durchgeführt...

So, dann ging bei mir was schief!!! Da die Anleitung für Schritt 5 (Gmer) auf mehrere Seiten ausgedruckt wurde, habe ich den Hinweis, den Haken neben IAT/EAT zu entfernen erst ca. 45 Sekunden nach Programmstart gelesen :-( Autsch! Ich habe den Vorgang dann abgebrochen, den Haken entfernt und dann wieder auf Scan geklickt. Keine Ahnung, ob und was dabei passiert ist. Ich vermute aber, dass das, was da passiert ist, nicht gut war! Habe nach Speichern der Gmer.txt den Rechner runtergefahren und wieder gestartet. Normalerweise dauert das so um die 2 1/2 Minuten. Dieses mal hat es 17 Minuten gedauert - kam mir vor wie 2 Stunden!!! Der Rechner ist nun RICHTIG langsam... Der erneute reboot dauerte dann nur noch 14 Minuten. Irgendwas stimmt einfach nicht.

Beim Aufrufen von OTL dauert es etwas, bis es angezeigt wird. Wenn ich in das Fenster klicke werde ich nicht gefragt, ob ich eine Datei einfügen will. Ich habe daher manuell die Scan.txt-Datei geöffnet und den Text in die Box eingefügt und anschließend auf Quick Scan geklickt. Ich hoffe, dass das richtig war...

Wie ich jetzt auch noch feststllen muss, wurden die Sound-Einstellungen meines Rechenrs verstellt. Vielleicht ist das aber normal und soll so sein?

Ich würde mich über Eure Hilfe RIESIG freuen!!!

Opel-Vectra

PS: Mir faellt gerade noch ein, dass ich vor ca. 2 Wochen Skype installiert habe. Koennte es sein, dass mein Rechenr dadurch infiziert wurde???

PSS:
Mein System ist Win_XP 32 bit mit Service Pack 3



#############################################
###### MBAM logfile - Anfang ################
#############################################

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5682

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.02.2011 04:54:14
mbam-log-2011-02-05 (04-54-14).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 272944
Time elapsed: 1 hour(s), 11 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\system volume information\_restore{4e015214-6bb0-4181-b365-456cf1dec069}\RP69\A0015219.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\zz downloads\aviplayersetup_3-0.exe (Adware.Agent) -> Quarantined and deleted successfully.

#############################################
######## MBAM logfile - Ende ################
#############################################

#############################################
###### AVIRA logfile - Anfang ###############
#############################################


Avira AntiVir Personal
Report file date: Samstag, 5. Februar 2011 08:25

Scanning for 2456743 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : EMACHINE

Version information:
BUILD.DAT : 10.0.0.611 31824 Bytes 1/14/2011 13:42:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 12/9/2010 22:10:59
AVSCAN.DLL : 10.0.3.0 46440 Bytes 4/19/2010 11:55:10
LUKE.DLL : 10.0.3.2 104296 Bytes 12/9/2010 22:11:00
LUKERES.DLL : 10.0.0.1 12648 Bytes 2/11/2010 04:40:49
VBASE000.VDF : 7.10.0.0 19875328 Bytes 11/6/2009 14:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 12/14/2010 15:06:20
VBASE002.VDF : 7.11.0.1 2048 Bytes 12/14/2010 15:06:20
VBASE003.VDF : 7.11.0.2 2048 Bytes 12/14/2010 15:06:20
VBASE004.VDF : 7.11.0.3 2048 Bytes 12/14/2010 15:06:21
VBASE005.VDF : 7.11.0.4 2048 Bytes 12/14/2010 15:06:21
VBASE006.VDF : 7.11.0.5 2048 Bytes 12/14/2010 15:06:21
VBASE007.VDF : 7.11.0.6 2048 Bytes 12/14/2010 15:06:21
VBASE008.VDF : 7.11.0.7 2048 Bytes 12/14/2010 15:06:21
VBASE009.VDF : 7.11.0.8 2048 Bytes 12/14/2010 15:06:21
VBASE010.VDF : 7.11.0.9 2048 Bytes 12/14/2010 15:06:22
VBASE011.VDF : 7.11.0.10 2048 Bytes 12/14/2010 15:06:22
VBASE012.VDF : 7.11.0.11 2048 Bytes 12/14/2010 15:06:22
VBASE013.VDF : 7.11.0.52 128000 Bytes 12/16/2010 15:06:23
VBASE014.VDF : 7.11.0.91 226816 Bytes 12/20/2010 15:06:26
VBASE015.VDF : 7.11.0.122 136192 Bytes 12/21/2010 15:06:27
VBASE016.VDF : 7.11.0.156 122880 Bytes 12/24/2010 15:06:28
VBASE017.VDF : 7.11.0.185 146944 Bytes 12/27/2010 15:06:30
VBASE018.VDF : 7.11.0.228 132608 Bytes 12/30/2010 15:06:31
VBASE019.VDF : 7.11.1.5 148480 Bytes 1/3/2011 04:22:30
VBASE020.VDF : 7.11.1.37 156672 Bytes 1/7/2011 04:22:32
VBASE021.VDF : 7.11.1.65 140800 Bytes 1/10/2011 04:22:33
VBASE022.VDF : 7.11.1.87 225280 Bytes 1/11/2011 04:22:35
VBASE023.VDF : 7.11.1.124 125440 Bytes 1/14/2011 04:22:37
VBASE024.VDF : 7.11.1.155 132096 Bytes 1/17/2011 10:19:18
VBASE025.VDF : 7.11.1.189 451072 Bytes 1/20/2011 14:18:44
VBASE026.VDF : 7.11.1.230 138752 Bytes 1/24/2011 14:18:45
VBASE027.VDF : 7.11.2.12 164352 Bytes 1/27/2011 14:18:47
VBASE028.VDF : 7.11.2.43 178176 Bytes 2/1/2011 14:18:49
VBASE029.VDF : 7.11.2.78 206336 Bytes 2/4/2011 14:18:51
VBASE030.VDF : 7.11.2.79 2048 Bytes 2/4/2011 14:18:51
VBASE031.VDF : 7.11.2.80 2048 Bytes 2/4/2011 14:18:51
Engineversion : 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 8/3/2010 00:51:38
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 2/5/2011 14:19:18
AESCN.DLL : 8.1.7.2 127349 Bytes 11/24/2010 12:09:10
AESBX.DLL : 8.1.3.2 254324 Bytes 11/24/2010 12:09:15
AERDL.DLL : 8.1.9.2 635252 Bytes 9/22/2010 09:27:09
AEPACK.DLL : 8.2.4.9 512374 Bytes 2/5/2011 14:19:14
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 2/5/2011 14:19:11
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 2/5/2011 14:19:10
AEHELP.DLL : 8.1.16.1 246134 Bytes 2/5/2011 14:18:57
AEGEN.DLL : 8.1.5.2 397683 Bytes 2/5/2011 14:18:55
AEEMU.DLL : 8.1.3.0 393589 Bytes 11/24/2010 12:08:52
AECORE.DLL : 8.1.19.2 196983 Bytes 2/5/2011 14:18:53
AEBB.DLL : 8.1.1.0 53618 Bytes 5/3/2010 02:57:48
AVWINLL.DLL : 10.0.0.0 19304 Bytes 1/14/2010 17:03:38
AVPREF.DLL : 10.0.0.0 44904 Bytes 1/14/2010 17:03:35
AVREP.DLL : 10.0.0.8 62209 Bytes 2/18/2010 21:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 11/7/2010 01:36:56
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 12/9/2010 22:11:00
AVARKT.DLL : 10.0.22.6 231784 Bytes 12/9/2010 22:10:56
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 1/26/2010 14:53:30
SQLITE3.DLL : 3.6.19.0 355688 Bytes 1/28/2010 17:57:58
AVSMTP.DLL : 10.0.0.17 63848 Bytes 3/16/2010 20:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 2/19/2010 19:41:00
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 1/28/2010 18:10:20
RCTEXT.DLL : 10.0.58.0 97128 Bytes 11/7/2010 01:36:54

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Extended process scan...............: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Samstag, 5. Februar 2011 08:25

Starting search for hidden objects.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[NOTE] The registry entry is invisible.

The scan of running processes will be started
Scan process 'msdtc.exe' - '40' Module(s) have been scanned
Scan process 'dllhost.exe' - '45' Module(s) have been scanned
Scan process 'vssvc.exe' - '48' Module(s) have been scanned
Scan process 'avscan.exe' - '65' Module(s) have been scanned
Scan process 'avcenter.exe' - '63' Module(s) have been scanned
Scan process 'TrayMin700.exe' - '24' Module(s) have been scanned
Scan process 'jusched.exe' - '22' Module(s) have been scanned
Scan process 'WrtProc.exe' - '18' Module(s) have been scanned
Scan process 'avgnt.exe' - '53' Module(s) have been scanned
Scan process 'vphc700.exe' - '17' Module(s) have been scanned
Scan process 'alg.exe' - '33' Module(s) have been scanned
Scan process 'WrtMon.exe' - '18' Module(s) have been scanned
Scan process 'OpwareSE4.exe' - '16' Module(s) have been scanned
Scan process 'dllhost.exe' - '59' Module(s) have been scanned
Scan process 'zHotkey.exe' - '33' Module(s) have been scanned
Scan process 'RTHDCPL.EXE' - '36' Module(s) have been scanned
Scan process 'readericon45G.exe' - '26' Module(s) have been scanned
Scan process 'ehtray.exe' - '29' Module(s) have been scanned
Scan process 'mcrdsvc.exe' - '28' Module(s) have been scanned
Scan process 'svchost.exe' - '36' Module(s) have been scanned
Scan process 'svchost.exe' - '28' Module(s) have been scanned
Scan process 'jqs.exe' - '33' Module(s) have been scanned
Scan process 'ehSched.exe' - '19' Module(s) have been scanned
Scan process 'ehRecvr.exe' - '42' Module(s) have been scanned
Scan process 'Explorer.EXE' - '97' Module(s) have been scanned
Scan process 'Ati2evxx.exe' - '22' Module(s) have been scanned
Scan process 'sched.exe' - '50' Module(s) have been scanned
Scan process 'spoolsv.exe' - '55' Module(s) have been scanned
Scan process 'svchost.exe' - '32' Module(s) have been scanned
Scan process 'svchost.exe' - '157' Module(s) have been scanned
Scan process 'svchost.exe' - '30' Module(s) have been scanned
Scan process 'svchost.exe' - '38' Module(s) have been scanned
Scan process 'svchost.exe' - '33' Module(s) have been scanned
Scan process 'Ati2evxx.exe' - '14' Module(s) have been scanned
Scan process 'avshadow.exe' - '25' Module(s) have been scanned
Scan process 'avguard.exe' - '54' Module(s) have been scanned
Scan process 'lsass.exe' - '58' Module(s) have been scanned
Scan process 'services.exe' - '27' Module(s) have been scanned
Scan process 'winlogon.exe' - '68' Module(s) have been scanned
Scan process 'csrss.exe' - '12' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
Master boot sector HD3
[INFO] No virus was found!
Master boot sector HD4
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '1800' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\System Volume Information\_restore{4E015214-6BB0-4181-B365-456CF1DEC069}\RP93\A0020735.exe
[DETECTION] Is the TR/Trash.Gen Trojan
Begin scan in 'D:\'

Beginning disinfection:
C:\System Volume Information\_restore{4E015214-6BB0-4181-B365-456CF1DEC069}\RP93\A0020735.exe
[DETECTION] Is the TR/Trash.Gen Trojan
[NOTE] The file was moved to the quarantine directory under the name '4e0fa985.qua'.


End of the scan: Samstag, 5. Februar 2011 20:52
Used time: 1:15:28 Hour(s)

The scan has been done completely.

10000 Scanned directories
447755 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
447754 Files not concerned
14759 Archives were scanned
0 Warnings
1 Notes
462764 Objects were scanned with rootkit scan
1 Hidden objects were found

#############################################
######## AVIRA logfile - Ende ###############
#############################################

#############################################
##### defogger_disable.log - Anfang #########
#############################################

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 10:17 on 08/02/2011 (Owner)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

#############################################
##### defogger_disable.log - Ende ###########
#############################################

#############################################
########### Gmer.txt - Anfang ###############
#############################################

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-08 12:30:04
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-16 WDC_WD2000BB-22RDA0 rev.20.00K20
Running: g2m3e4r.exe; Driver: C:\DOCUME~1\Owner\LOCALS~1\Temp\fxlyapob.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwConnectPort [0xED6D9534]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xED6D3782]
SSDT F7D7ABAE ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreatePort [0xED6D9CC0]
SSDT F7D7ABA4 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xED6D9DF6]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xED6D4398]
SSDT F7D7ABB3 ZwDeleteKey
SSDT F7D7ABBD ZwDeleteValueKey
SSDT F7D7ABC2 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xED6F4B44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xED6D3FAA]
SSDT F7D7AB90 ZwOpenProcess
SSDT F7D7AB95 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xED6F58D2]
SSDT F7D7ABCC ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xED6D90F4]
SSDT F7D7ABC7 ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xED6D475C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xED6F5E12]
SSDT F7D7ABB8 ZwSetValueKey
 
---- Devices - GMER 1.0.15 ----
 
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
 
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
 
Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
 
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
---- EOF - GMER 1.0.15 ----
--- --- ---

#############################################
########### Gmer.txt - Ende #################
#############################################

#############################################
########### OTL.txt - Anfang ################
#############################################OTL Logfile:
Code:
OTL logfile created on: 08.02.2011 13:09:57 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Documents and Settings\Owner\Desktop\MFTools
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
893,00 Mb Total Physical Memory | 476,00 Mb Available Physical Memory | 53,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 181,01 Gb Total Space | 141,30 Gb Free Space | 78,06% Space Free | Partition Type: NTFS
Drive D: | 5,28 Gb Total Space | 3,40 Gb Free Space | 64,43% Space Free | Partition Type: FAT32
 
Computer Name: EMACHINE | User Name: Owner | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.02.08 09:54:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Owner\Desktop\MFTools\OTL.exe
PRC - [2010.12.09 16:10:57 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.06 19:36:56 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.06 19:36:55 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.06.28 12:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) -- C:\WINDOWS\system32\ZoneLabs\vsmon.exe
PRC - [2010.06.28 11:59:52 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
PRC - [2010.01.14 20:11:00 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.04.13 18:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.10.11 11:45:12 | 000,075,304 | ---- | M] (ScanSoft, Inc.) -- C:\Program Files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
PRC - [2006.09.20 07:35:26 | 000,020,480 | ---- | M] () -- C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
PRC - [2006.09.19 15:05:32 | 000,024,576 | ---- | M] () -- C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
PRC - [2005.12.09 19:44:40 | 000,139,264 | ---- | M] (Alcor Micro, Corp.) -- C:\Program Files\Digital Media Reader\readericon45G.exe
PRC - [2005.07.20 18:56:06 | 000,339,968 | ---- | M] (Sonix) -- C:\WINDOWS\vphc700.exe
PRC - [2005.07.12 19:04:04 | 000,278,528 | ---- | M] () -- C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin700.exe
PRC - [2004.12.08 18:57:36 | 000,550,912 | ---- | M] () -- C:\WINDOWS\zHotkey.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.02.08 09:54:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Owner\Desktop\MFTools\OTL.exe
MOD - [2010.08.23 10:12:02 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2006.10.04 21:07:12 | 000,144,936 | ---- | M] (ScanSoft, Inc.) -- C:\Program Files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
MOD - [2001.07.02 21:36:30 | 000,024,576 | ---- | M] () -- C:\WINDOWS\HKNTDLL.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.12.09 16:10:57 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.06 19:36:56 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.08.13 08:13:32 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.06.28 12:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.18 15:47:22 | 000,035,160 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe -- (aspnet_state)
SRV - [2010.03.18 12:16:28 | 000,753,504 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.03.18 12:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2009.12.17 16:36:24 | 000,067,360 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2006.08.19 01:48:24 | 000,172,032 | ---- | M] (New Boundary Technologies, Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS -- (PrismXL)
SRV - [2005.10.03 11:04:04 | 000,102,400 | ---- | M] () [Disabled | Stopped] -- C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor4.0)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.01.01 09:06:57 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.24 06:09:17 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.05.13 09:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.05.11 10:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.25 05:29:52 | 000,130,432 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2008.11.20 13:19:06 | 000,009,200 | ---- | M] (Sonic Solutions) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cdralw2k.sys -- (Cdralw2k)
DRV - [2008.11.20 13:19:06 | 000,009,072 | ---- | M] (Sonic Solutions) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cdr4_xp.sys -- (Cdr4_xp)
DRV - [2008.04.13 12:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)
DRV - [2008.04.13 12:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB Audio Driver (WDM)
DRV - [2008.04.13 12:36:39 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdagp.sys -- (amdagp)
DRV - [2008.04.13 12:36:39 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2008.04.13 10:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.06.18 19:18:26 | 000,023,680 | ---- | M] (Motorola) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\motmodem.sys -- (motmodem)
DRV - [2007.05.02 19:06:32 | 000,131,456 | ---- | M] (Paragon) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Uim_IM.sys -- (Uim_IM)
DRV - [2007.05.02 19:06:32 | 000,038,448 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)
DRV - [2007.05.02 19:06:32 | 000,032,352 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\UimBus.sys -- (UimBus)
DRV - [2006.04.17 02:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.01.15 00:48:08 | 001,477,632 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.10.21 07:25:32 | 000,013,396 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\MTictwl.sys -- (NCPro)
DRV - [2005.10.21 07:25:32 | 000,013,396 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MTictwl.sys -- (MagicTune)
DRV - [2005.07.22 11:02:12 | 001,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2005.07.22 11:01:10 | 000,231,168 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys -- (HSFHWBS2)
DRV - [2005.07.22 11:01:00 | 000,717,952 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2005.06.07 13:21:18 | 000,541,568 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\phc700.sys -- (phc700) USB PC Camera (phc700)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) Realtek RTL8139(A/B/C)
DRV - [2003.01.10 15:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
DRV - [2001.12.17 11:58:42 | 000,050,911 | ---- | M] (Virata) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vvbususb.sys -- (VvBusUsb)
DRV - [2001.12.17 11:58:42 | 000,015,309 | ---- | M] (Virata) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vvbetht.sys -- (VVBETHERNET)
DRV - [2001.08.17 22:07:44 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sparrow.sys -- (Sparrow)
DRV - [2001.08.17 22:07:42 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys -- (sym_u3)
DRV - [2001.08.17 22:07:40 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys -- (sym_hi)
DRV - [2001.08.17 22:07:36 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys -- (symc8xx)
DRV - [2001.08.17 22:07:34 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\symc810.sys -- (symc810)
DRV - [2001.08.17 21:52:22 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ultra.sys -- (ultra)
DRV - [2001.08.17 21:52:20 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql12160.sys -- (ql12160)
DRV - [2001.08.17 21:52:20 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql1080.sys -- (ql1080)
DRV - [2001.08.17 21:52:18 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ql1280.sys -- (ql1280)
DRV - [2001.08.17 21:52:16 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys -- (dac2w2k)
DRV - [2001.08.17 21:52:12 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys -- (mraid35x)
DRV - [2001.08.17 21:52:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\asc.sys -- (asc)
DRV - [2001.08.17 21:51:58 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\asc3550.sys -- (asc3550)
DRV - [2001.08.17 21:51:56 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\aliide.sys -- (AliIde)
DRV - [2001.08.17 21:51:54 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\cmdide.sys -- (CmdIde)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gateway.com/g/startpage.html?Ch=Retail&Br=EM&Loc=ENG_US&Sys=DTP&M=T5212
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.12.16 19:31:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.12.10 10:44:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape 7.2\Extensions\\Components: C:\Program Files\Netscape\Netscape\Components [2011.02.02 14:48:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape 7.2\Extensions\\Plugins: C:\Program Files\Netscape\Netscape\Plugins [2010.11.19 14:25:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.1.2.0\Extensions\\Components: C:\Program Files\Netscape\Netscape Browser\Components
FF - HKLM\software\mozilla\Netscape Browser 8.1.2.0\Extensions\\Plugins: C:\Program Files\Netscape\Netscape Browser\Plugins [2010.11.19 14:25:03 | 000,000,000 | ---D | M]
 
[2009.02.03 21:28:35 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Extensions
[2011.02.07 14:11:13 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions
[2009.10.24 11:44:14 | 000,000,000 | ---D | M] ("Garmin Communicator") -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2010.04.28 23:03:39 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.05 20:43:49 | 000,000,000 | ---D | M] (NoScript) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.09.10 17:25:24 | 000,000,000 | ---D | M] (WOT) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2010.09.06 06:02:46 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Documents and Settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2011.02.07 14:11:13 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.04.22 00:00:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.05 12:54:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.10.13 19:48:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.19 14:22:32 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
File not found (No name found) -- C:\PROGRAM FILES\FLOCK\FLOCK\EXTENSIONS\AFCE93FC2E44C41-BRANDING@FLOCK.COM
File not found (No name found) -- C:\PROGRAM FILES\FLOCK\FLOCK\EXTENSIONS\NSE-BRANDING@FLOCK.COM
[2010.11.12 18:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
 
O1 HOSTS File: ([2010.10.13 14:09:01 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CHotkey] C:\WINDOWS\zHotkey.exe ()
O4 - HKLM..\Run: [OpwareSE4] C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [phc700] C:\WINDOWS\vphc700.exe (Sonix)
O4 - HKLM..\Run: [readericon] C:\Program Files\Digital Media Reader\readericon45G.exe (Alcor Micro, Corp.)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe ()
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [Power2GoExpress] File not found
O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\TrayMin700.exe.lnk = C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin700.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab (Solitaire Showdown Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop WallPaper: C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.06.17 03:41:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
MsConfig - StartUpReg: Avi Player - hkey= - key= - C:\Program Files\Avi Player\AviPlayer.exe ()
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.08 10:03:23 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT
[2011.02.08 10:03:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\ERUNT
[2011.02.08 09:54:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Owner\Desktop\MFTools
[2011.02.07 14:39:47 | 000,775,536 | ---- | C] (BillP Studios) -- C:\Documents and Settings\Owner\Desktop\wpsetup.exe
[2011.02.06 17:50:24 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Owner\Recent
[2011.01.19 13:08:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Owner\Application Data\skypePM
[2011.01.19 13:07:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Skype
[2011.01.19 13:07:29 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2011.01.19 13:07:26 | 000,000,000 | R--D | C] -- C:\Program Files\Skype
[2011.01.19 13:07:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Owner\Application Data\Skype
[2011.01.19 13:07:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Skype
[2011.01.19 08:07:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\windows media
[2011.01.19 08:07:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Windows Media
[2011.01.19 08:07:13 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Media-Komponenten
[2006.11.27 22:58:34 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\cphc700.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.08 13:01:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.08 13:01:35 | 936,566,784 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.08 10:17:36 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\Owner\defogger_reenable
[2011.02.08 10:03:24 | 000,000,611 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\NTREGOPT.lnk
[2011.02.08 10:03:24 | 000,000,592 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\ERUNT.lnk
[2011.02.08 09:54:45 | 000,296,448 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\g2m3e4r.exe
[2011.02.08 09:54:41 | 000,050,477 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\defogger.exe
[2011.02.08 09:51:13 | 000,471,802 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\Load.exe
[2011.02.07 14:39:48 | 000,775,536 | ---- | M] (BillP Studios) -- C:\Documents and Settings\Owner\Desktop\wpsetup.exe
[2011.02.07 14:22:49 | 000,000,612 | ---- | M] () -- C:\WINDOWS\3DHOME.INI
[2011.02.02 15:05:19 | 000,063,488 | ---- | M] () -- C:\Documents and Settings\Owner\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.27 15:10:01 | 000,002,216 | ---- | M] () -- C:\WINDOWS\winzip32.ini
[2011.01.24 17:48:23 | 000,009,662 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\anita-craigslist-index.html
[2011.01.19 13:07:30 | 000,001,880 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Skype.lnk
[2011.01.16 22:19:55 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.14 09:36:08 | 000,023,040 | ---- | M] () -- C:\Documents and Settings\Owner\Desktop\DishNetwork.doc
 
========== Files Created - No Company Name ==========
 
[2011.02.08 10:17:36 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Owner\defogger_reenable
[2011.02.08 10:03:24 | 000,000,611 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\NTREGOPT.lnk
[2011.02.08 10:03:24 | 000,000,592 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\ERUNT.lnk
[2011.02.08 09:54:42 | 000,296,448 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\g2m3e4r.exe
[2011.02.08 09:54:40 | 000,050,477 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\defogger.exe
[2011.02.08 09:51:12 | 000,471,802 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\Load.exe
[2011.02.07 13:51:53 | 936,566,784 | -HS- | C] () -- C:\hiberfil.sys
[2011.01.19 13:07:30 | 000,001,880 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\Skype.lnk
[2011.01.14 09:36:08 | 000,023,040 | ---- | C] () -- C:\Documents and Settings\Owner\Desktop\DishNetwork.doc
[2010.02.22 18:08:45 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2010.02.22 18:07:19 | 000,000,036 | -H-- | C] () -- C:\WINDOWS\System32\swk.ini
[2010.01.22 21:17:26 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009.06.14 15:15:50 | 000,000,222 | ---- | C] () -- C:\WINDOWS\System32\SunData.ini
[2009.06.14 14:13:52 | 000,000,085 | ---- | C] () -- C:\WINDOWS\TTL3Util.ini
[2009.06.14 14:13:40 | 000,000,120 | ---- | C] () -- C:\WINDOWS\TTL3.ini
[2009.04.22 00:26:19 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.03.03 11:18:04 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2008.09.29 20:41:01 | 000,011,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys
[2008.09.29 20:40:59 | 000,247,824 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll
[2008.09.29 20:40:58 | 004,245,008 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll
[2008.09.29 20:40:58 | 000,013,840 | ---- | C] () -- C:\WINDOWS\System32\wnaspi32.dll
[2008.03.25 19:51:47 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2008.01.18 11:45:58 | 000,000,105 | ---- | C] () -- C:\WINDOWS\fahrplan.ini
[2007.09.13 17:00:03 | 000,010,593 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2007.04.17 20:42:05 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\IPPCPUID.DLL
[2007.04.17 20:41:04 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2007.04.17 20:39:36 | 000,000,416 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2007.04.16 23:07:48 | 000,541,568 | ---- | C] () -- C:\WINDOWS\System32\drivers\phc700.sys
[2007.04.16 23:07:48 | 000,015,488 | ---- | C] () -- C:\WINDOWS\phc700.ini
[2007.01.26 00:59:41 | 000,000,067 | ---- | C] () -- C:\WINDOWS\StationRipper.INI
[2006.12.07 22:24:01 | 000,002,216 | ---- | C] () -- C:\WINDOWS\winzip32.ini
[2006.12.05 22:05:03 | 000,000,612 | ---- | C] () -- C:\WINDOWS\3DHOME.INI
[2006.12.05 21:29:15 | 000,000,037 | ---- | C] () -- C:\WINDOWS\Viewer.ini
[2006.12.05 21:01:30 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini
[2006.12.01 22:01:33 | 000,063,488 | ---- | C] () -- C:\Documents and Settings\Owner\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.12.01 18:12:52 | 000,000,128 | ---- | C] () -- C:\Documents and Settings\Owner\Local Settings\Application Data\fusioncache.dat
[2006.11.27 20:58:08 | 000,001,793 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2006.11.25 00:31:45 | 000,000,305 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\addr_file.html
[2006.11.24 19:33:50 | 000,013,396 | ---- | C] () -- C:\WINDOWS\System32\drivers\MTictwl.sys
[2006.11.24 18:23:31 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2006.08.19 02:02:27 | 000,532,544 | ---- | C] () -- C:\WINDOWS\PIC.dll
[2006.08.19 02:02:27 | 000,024,576 | ---- | C] () -- C:\WINDOWS\HKNTDLL.dll
[2006.08.19 02:02:27 | 000,011,776 | ---- | C] () -- C:\WINDOWS\HIDMNT.dll
[2006.08.19 02:01:20 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.08.19 01:54:25 | 000,001,125 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.06.21 03:48:15 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.06.17 03:24:58 | 000,001,442 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.06.17 03:24:57 | 000,000,493 | ---- | C] () -- C:\WINDOWS\System32\emver.ini
[2006.06.16 20:31:45 | 000,004,348 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.05.02 16:38:24 | 000,000,748 | ---- | C] () -- C:\WINDOWS\SetBrowser.ini
[2005.08.05 22:01:54 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005.06.23 10:24:30 | 000,035,328 | ---- | C] () -- C:\WINDOWS\System32\INETWH32.DLL
[1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
 
========== LOP Check ==========
 
[2007.04.22 13:48:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\espionServerData
[2008.07.13 13:51:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\MailFrontier
[2009.11.08 12:05:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Napster
[2009.11.02 00:02:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
[2007.04.17 20:39:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ScanSoft
[2011.02.07 14:35:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2009.12.13 20:48:54 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Application Data\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
[2008.11.08 11:38:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Amazon
[2009.08.19 22:48:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Antispyware
[2007.06.21 08:37:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Canon
[2009.05.26 07:20:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Flock
[2009.08.05 16:34:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\GARMIN
[2009.11.02 00:02:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\NCH Swift Sound
[2010.10.14 01:23:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Netscape
[2007.09.14 19:55:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\NewSoft
[2009.09.05 21:54:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\NoteCable
[2007.11.22 12:28:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Opera
[2006.08.19 02:13:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\SampleView
[2007.04.17 20:39:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\ScanSoft
[2009.09.08 00:25:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\VirtuelleProbefahrt
[2009.07.07 10:42:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\W Photo Studio Viewer
[2008.01.23 01:06:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\Walgreens
[2006.11.24 19:38:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\WildTangent
[2007.11.13 13:06:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner\Application Data\XnView
[2006.11.24 18:12:19 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\ISP signup reminder 1.job
[2006.11.24 18:12:20 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\ISP signup reminder 3.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.07.05 18:32:55 | 000,000,000 | ---D | M] -- C:\3DHAD3
[2010.04.01 03:16:31 | 000,000,000 | RHSD | M] -- C:\cmdcons
[2006.06.17 03:21:48 | 000,000,000 | ---D | M] -- C:\CMPNENTS
[2010.10.14 00:32:45 | 000,000,000 | --SD | M] -- C:\ComboFix
[2010.10.20 00:09:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings
[2006.06.16 20:30:04 | 000,000,000 | ---D | M] -- C:\Drivers
[2009.05.12 22:30:33 | 000,000,000 | ---D | M] -- C:\f947b47fc9b2d7e8ac65
[2008.11.10 21:54:35 | 000,000,000 | ---D | M] -- C:\Garmin_all-GPS-fodlers
[2009.09.04 21:44:29 | 000,000,000 | ---D | M] -- C:\I386
[2006.08.19 02:05:02 | 000,000,000 | ---D | M] -- C:\My Music
[2011.02.08 10:03:23 | 000,000,000 | ---D | M] -- C:\Program Files
[2010.10.19 23:26:17 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2009.10.24 13:15:33 | 000,000,000 | ---D | M] -- C:\Spiele
[2011.02.08 09:36:00 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.10.20 00:18:51 | 000,000,000 | -H-D | M] -- C:\test
[2009.06.14 14:13:43 | 000,000,000 | ---D | M] -- C:\TTL3
[2011.02.08 13:03:18 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2010.07.02 21:19:58 | 000,000,000 | ---D | M] -- C:\Wurzelimperium
[2011.01.19 16:18:40 | 000,000,000 | ---D | M] -- C:\zz Downloads
[2011.01.17 12:21:39 | 000,000,000 | ---D | M] -- C:\zz Fotos
[2011.01.19 09:43:13 | 000,000,000 | ---D | M] -- C:\zz tmp
[2011.02.06 00:33:24 | 000,000,000 | ---D | M] -- C:\zzz
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2008.04.13 18:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\ERDNT\cache\explorer.exe
[2008.04.13 18:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\explorer.exe
[2008.04.13 18:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.13 18:12:19 | 001,033,728 | ---- | M] (Microsoft Corporation) MD5=12896823FB95BFB3DC9B46BCAEDC9923 -- C:\WINDOWS\system32\dllcache\explorer.exe
[2007.06.13 05:26:03 | 001,033,216 | ---- | M] (Microsoft Corporation) MD5=7712DF0CDDE3A5AC89843E61CD5B3658 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2007.06.13 04:23:07 | 001,033,216 | ---- | M] (Microsoft Corporation) MD5=97BD6515465659FF8F3B7BE375B2EA87 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: USERINIT.EXE >
[2004.08.10 13:00:00 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=39B1FFB03C2296323832ACBAE50D2AFF -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
[2008.04.13 18:12:38 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=A93AEE1928A9D7CE3E16D24EC7380F89 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2008.04.13 18:12:38 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=A93AEE1928A9D7CE3E16D24EC7380F89 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.13 18:12:38 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=A93AEE1928A9D7CE3E16D24EC7380F89 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.13 18:12:38 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=A93AEE1928A9D7CE3E16D24EC7380F89 -- C:\WINDOWS\system32\userinit.exe
[2002.08.29 17:00:00 | 000,022,016 | ---- | M] (Microsoft Corporation) MD5=E931E0A2B8BF0019DB902E98D03662CB -- C:\I386\SYSTEM32\userinit.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.10 13:00:00 | 000,502,272 | ---- | M] (Microsoft Corporation) MD5=01C3346C241652F43AED8E2149881BFE -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2002.08.29 17:00:00 | 000,516,608 | ---- | M] (Microsoft Corporation) MD5=2246D8D8F4714A2CEDB21AB9B1849ABB -- C:\I386\SYSTEM32\winlogon.exe
[2008.04.13 18:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2008.04.13 18:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.13 18:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.13 18:12:39 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=ED0EF0A136DEC83DF69F04118870003E -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-01-19 22:18:47
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 95 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
@Alternate Data Stream - 162 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:09DBCD87
@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A9364E30
 
< End of report >
--- --- ---

#############################################
############### OTL.txt - Ende ############
#############################################

#############################################
######## Extras.txt Anfang #################
#############################################OTL Logfile:
Code:
OTL Extras logfile created on: 08.02.2011 13:09:57 - Run 1
OTL by OldTimer - Version 3.2.20.6 Folder = C:\Documents and Settings\Owner\Desktop\MFTools
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
893,00 Mb Total Physical Memory | 476,00 Mb Available Physical Memory | 53,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 181,01 Gb Total Space | 141,30 Gb Free Space | 78,06% Space Free | Partition Type: NTFS
Drive D: | 5,28 Gb Total Space | 3,40 Gb Free Space | 64,43% Space Free | Partition Type: FAT32
 
Computer Name: EMACHINE | User Name: Owner | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = MozillaHTML] -- C:\Program Files\Netscape\Netscape\Netscp.exe (Mozilla, Netscape)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
https [open] -- C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE -url "%1" (Mozilla, Netscape)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"5985:TCP" = 5985:TCP:*:Disabled:Windows Remote Management
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Common Files\AOL\Loader\aolload.exe" = C:\Program Files\Common Files\AOL\Loader\aolload.exe:*:Enabled:AOL Application Loader -- (America Online, Inc.)
"C:\Program Files\Adobe\Photoshop Elements 4.0\AdobePhotoshopElementsMediaServer.exe" = C:\Program Files\Adobe\Photoshop Elements 4.0\AdobePhotoshopElementsMediaServer.exe:*:Disabled:Adobe Photoshop Elements Media Server -- ()
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00020407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Standard
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{10F15459-C54E-41BA-AC83-F12ACAF24690}" = Moorfrosch XS
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4804" = CanoScan 8600F
"{15377C3E-9655-400F-B441-E69F0A6BEAFE}" = Recovery Software Suite eMachines
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Solution
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live Upload Tool
"{21BBAD12-C75F-4F06-A9B0-6F8BEEAF3846}" = Moorhuhn X - XS
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{269A4095-DB55-4D35-8FD0-39957D26BEEC}" = Philips VLounge
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 23
"{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go 4.0
"{45338B07-A236-4270-9A77-EBB4115517B5}" = Windows Live Sign-in Assistant
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AC55A61-BA20-4DF5-ABFF-8F4819E0C875}" = Digital Media Reader
"{5D95AD35-368F-47D5-B63A-A082DDF00111}" = Microsoft Digital Image Starter Edition 2006 Editor
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F9662B9-ED3F-4F02-9DEE-EFA1F95F629F}" = Paragon Drive Backup 2007
"{62BFB4C2-8C4E-4D91-BD7D-81C06EAAC3C0}" = Windows Rights Management Client with Service Pack 2
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{691F4068-81BF-49E3-B32E-FE3E16400111}" = Microsoft Digital Image Starter Edition 2006 Library
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6C611DD2-2685-4A76-92B5-ECD237128582}" = Type to Learn 3
"{6E66ECBD-FCA7-4AE1-A8C5-1CA78BEEB057}" = Multimedia Keyboard Driver
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{81128EE8-8EAD-4DB0-85C6-17C2CE50FF71}" = Windows Live Essentials
"{85309D89-7BE9-4094-BB17-24999C6118FC}" = ArcSoft PhotoStudio 5.5
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{8FFC924C-ED06-44CB-8867-3CA778ECE903}" = Adobe Help Center 2.0
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9941F0AA-B903-4AF4-A055-83A9815CC011}" = Sonic Encoders
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A85FD55B-891B-4314-97A5-EA96C0BD80B5}" = Windows Live Messenger
"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.1
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{B1102A25-3AA3-446B-AA0F-A699B07A02FD}" = Garmin USB Drivers
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1E693A4-B1D5-4DCD-B68D-2087835B7184}" = ScanSoft OmniPage SE 4.0
"{C70BF2F2-2B54-4303-ABE6-82A20038A2EA}" = Philips SPC 700NC PC Camera
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2D6B9EB-C6DC-4DAA-B4DE-BB7D9735E7DA}" = Presto! PageManager 7.15.14
"{D6CB264F-88D2-43EA-BE36-DA86460A5FF9}" = MP3 Recorder 2008
"{E0783143-EAE2-4047-A8D6-E155523C594C}" = Garmin WebUpdater
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{EBB7C1C1-D439-4D9B-9FDC-954C10F266B0}" = Adobe Photoshop Elements 4.0
"{EC905264-BCFE-423B-9C42-C3A106266790}" = Windows Rights Management Client Backwards Compatibility SP2
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F6BD194C-4190-4D73-B1B1-C48C99921BFE}" = Windows Live Call
"{F92CDFEB-DB96-4589-B88C-BE181D153445}" = Moorhuhn WE AYCS
"{F958CA02-BB40-4007-894B-258729456EE4}" = QuickTime
"{FC2C7405-BC58-4E11-8F51-29671BEAC06B}" = Natural Color Pro
"3D Home Architect Deluxe 3.0" = 3D Home Architect(r) Deluxe 3.0
"45A7283175C62FAC673F913C1F532C5361F97841" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices (03/08/2007 2.2.1.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop Elements 4" = Adobe Photoshop Elements 4.0
"Adobe Shockwave Player" = Adobe Shockwave Player
"AlbumWeb" = AlbumWeb
"Amazon MP3 Downloader" = Amazon MP3 Downloader 1.0.3
"ATI Display Driver" = ATI Display Driver
"Avi Player" = Avi Player
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon CanoScan 8600F User Registration" = Canon CanoScan 8600F User Registration
"CanoScan Toolbox 5.0" = Canon CanoScan Toolbox 5.0
"CCleaner" = CCleaner
"CNXT_MODEM_PCI_VEN_14F1&DEV_2F20&SUBSYS_200014F1" = Soft Data Fax Modem with SmartCP
"ERUNT_is1" = ERUNT 1.1j
"ffdshow_is1" = ffdshow [rev 918] [2007-02-12]
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{4AC55A61-BA20-4DF5-ABFF-8F4819E0C875}" = Digital Media Reader
"M4P MP3 Converter_is1" = M4P MP3 Converter 1.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom" = Nero - Burning Rom
"Netscape (7.2)" = Netscape (7.2)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Office8.0" = Microsoft Office 97, Professional Edition
"PictureItSuiteTrial_v11" = Microsoft Digital Image Starter Edition 2006
"RealPlayer 6.0" = RealPlayer
"SpywareBlaster_is1" = SpywareBlaster 4.4
"SUPER ©" = SUPER © Version 2009.bld.35 (Jan 5, 2009)
"VLC media player" = VLC media player 0.9.4
"WavePad" = WavePad Sound Editor
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"WIC" = Windows Imaging Component
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"ZoneAlarm" = ZoneAlarm
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player
"UnityWebPlayer" = Unity Web Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 06.02.2011 10:13:31 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: A connection with the server could not be established
 
Error - 06.02.2011 16:00:29 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
Error - 07.02.2011 15:52:19 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
Error - 07.02.2011 16:42:52 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: A connection with the server could not be established
 
Error - 07.02.2011 19:19:31 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
Error - 08.02.2011 10:57:35 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: A connection with the server could not be established
 
Error - 08.02.2011 11:58:21 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: A connection with the server could not be established
 
Error - 08.02.2011 12:24:55 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
Error - 08.02.2011 14:43:06 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
Error - 08.02.2011 15:03:12 | Computer Name = EMACHINE | Source = crypt32 | ID = 131080
Description = Failed auto update retrieval of third-party root list sequence number
from: <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
with error: The server name or address could not be resolved
 
[ System Events ]
Error - 08.02.2011 11:58:27 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
Lbd
 
Error - 08.02.2011 12:24:59 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7023
Description = The HID Input Service service terminated with the following error:
%%126
 
Error - 08.02.2011 12:25:04 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
Lbd
 
Error - 08.02.2011 14:30:02 | Computer Name = EMACHINE | Source = DCOM | ID = 10005
Description = DCOM got error "%1058" attempting to start the service StiSvc with
arguments "" in order to run the server: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 08.02.2011 14:44:20 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7023
Description = The HID Input Service service terminated with the following error:
%%126
 
Error - 08.02.2011 14:44:27 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
Lbd
 
Error - 08.02.2011 14:45:44 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7009
Description = Timeout (30000 milliseconds) waiting for the Application Layer Gateway
Service service to connect.
 
Error - 08.02.2011 14:45:44 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7000
Description = The Application Layer Gateway Service service failed to start due
to the following error: %%1053
 
Error - 08.02.2011 15:03:20 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7023
Description = The HID Input Service service terminated with the following error:
%%126
 
Error - 08.02.2011 15:03:23 | Computer Name = EMACHINE | Source = Service Control Manager | ID = 7026
Description = The following boot-start or system-start driver(s) failed to load:
Lbd
 
 
< End of report >
--- --- ---

#############################################
########## Extras.txt Ende #################
#############################################

cosinus 10.02.2011 13:55
Zitat:
HKLM..\Run: [ZoneAlarm Client]
Kann ich nur dringend von abraten. Deinstallieren und Windows-Firewall verwenden.
Sag Bescheid wenn ZA weg ist.

Opel-Vectra 11.02.2011 00:33
Hallo Arne,

Danke fuer Deine schnelle Antwort. Gestern Nachmittag, als ich von meinem Rechner aus nachschauen wollte, ob es eine Antwort auf mein Posting gab, hat der Rechner so ca. ein mal in der Minute fleissig auf der Festplatte rumgeknuspert fuer ca. 10 bis 15 Sekunden. Nach einiger Zeit hat sich der Rechner aufeinmal ausgeschaltet und fing an unverzueglich wieder hoch zu fahren. Nach 8 Minuten (und 7 Sekunden) erschien endlich wieder das Log-In-Menue und ich gab mein Passwort ein. Waehrend des weiteren Hochfahrens stuerzte der Rechner wieder ab bevor mein Desktop angezeigt wurde und startete selber wieder hoch. ch habe ihn dann vom Log In Screen runtergefahren und seitdem nicht mehr angefasst...

Ich habe jetzt einen Labftop von einem Bekannten (leider ohne deutsche Tastatur oder Rechtschreiberkennung - Sorry!). Nun habe ich einige Fragen:

1.) Hat der lange Ladevorgang und das jetzige Abstuerzen damit etwas zu tun, dass ich den Haken bei Gmer unter IAT/EAT nicht entfernt habe? Wenn ja, ist da was zu reparieren?

2.) Ich habe nun Angst den Rechner wieder normal hoch zu fahren. Sollte ich ihn im Safe Mode hochfahren? Wenn ja mit oder ohne Internet Connection? In Safe Mode kann man doch Software deinstallieren, oder?

Vielen Dank

Dirk

cosinus 11.02.2011 09:22
Ja abgesicherter Modus sollte auch gehen.

Opel-Vectra 11.02.2011 13:40
Arne ZA ist deinstalliert.

Windows Firewall laesst sich nicht einrichten. Oder liegt das am abgesicherten Modus? Die Meldungen dazu lauten "Windows Firewall settings cannot be displayed because the associated service is not running. Do you want to start the Windows Firewall/Internet Connection Sharing (ICS) service?" Hab auf "Yes" geklickt. Anschliessend kam Windows cannot start the Windows Firewall/ICS service".

Haettest Du einen Vorschlag? Will ja nicht ohne Firewall ins Internet, oder? Sollte ich

a) versuchen im Safemode mit Internet connection die Windows Firewall zu installieren?
b)versuchen den Rechner normal hochzufahren und die Firewall dann einzurichten?
c) oder was ganz anderes machen?
d) ich koennte ja a) oder b) auch mit herausgezogenem Internetkabel machen... Hmm???

ich warte erstamal ab, was Du empfielst.

Ich weiss, dass Du viel, sehr viel zu tun hast, koenntest Du mir aber trotzdem bitte kurz verraten, ob oder wieviel von meinen Problemen mit dem Haken vor IAT/EAT zu tun haben - oder n link schicken, wo ich das nachlesen koennte. Das ware echt super!

Aehm, bestimmt wirst Du spaeter nach weiteren MBAM logs fragen. Davon habe (oder hatte) ich 69 oder 70 auf meinem Rechner - 10 davon mit infektionen. Wenn es soweit ist, sag mir bitte, ob Du all oder nur die positiven haben moechtest.

cosinus 11.02.2011 13:49
Das liegt am abgesicherten Modus. Im normalen Modus läuft sie. POste bei so vielen Logs von MBAM nur die mit Funden.

Opel-Vectra 11.02.2011 14:16
Arne,

Danke Dir fuer Deine superschnelle Antwort! Muss jetzt los zur Arbeit, komme erst, wenn es in Deutschland schon nach Mitternacht ist, wieder nach Hause...

Dann werde ich versuchen, den Rechner normal hochzufahren bei gekappter Internetverbindung, dann die Firewall einrichten, wieder mit Internetverbindung hochfahren und die Logs posten... Da ich dann viel Zeit haben werde koennte ich nochmals MBAM updaten und einen neuen FullScan laufen lassen. Kann ja nicht schaden, oder?

Opel-Vectra 12.02.2011 00:34
okay, habe den Rechner hochgefahren und dann eine schwarzes Feld, welches C:document~\Admin\...Cpes.clean_launcher.exe fuer so ca. eine halbe Minute auf dem Bildschirm gesehn. Anschliessend oeffnete sich ein Windowsfenster mit der Nachricht "The system has recovered from a serious error. A log of this error has been created..." Keine Ahnung wo dieser Log zu finden waere und ob er hier interessant/wichtig waere.

Habe auch die Firewall installiert und habe unter dem Reiter "Allgemein" "Aktiv" gewaehlt. Ich hoffe, dass das so richtig ist. Haette ich einen Haken vor "Keine Ausnahmen zulassen setzen sollen?

Bin mir beim Reiter "Ausnahmen" aber nicht sicher, was ich freigeben muss - hab mal alles ausgeschaltet. Die optionen waeren:

a) Adobe Photoshop
b) AOL Application Loader
c) File and Printer Sharing
d) Network Diagnostics for Windows XP
e) Remote Assistance
f) Remote Assistance - Windows Messanger
g) Remote Desktop
h) Skype
i) Skype Extras Manager
j) UPnP Framework
k) vsmon
l) Windows Live Call
m) Windows Live Messanger
n) Windows Messanger
o) Windows Remote Management

Koenntest Du mir vielleicht sagen, welche von denen ich minimal freigeben muss, damit ich ins Internet kann und die Logs von meinem Rechner posten kann? Wuerde mich unheimlich darueber freuen.

Dirk

cosinus 12.02.2011 00:39
Standardeinstellungen der Windows-Firewall unter XP reichen völlig, es werden zB eingehende Zugriffe auf die Datei- und Druckerfreigabe verhindert. Das reicht auch völlig.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Opel-Vectra 12.02.2011 00:46
Danke, Arne, dass Du noch so spaet am Rechner bist und mir hilst, finde ich echt SUPER!!! Ich werde es abarbeiten und dann auch die MBAM logs einstellen. Dass der CCleaner schon auf englisch installiert ist, macht ja wohl hoffentlich nichts. Und natuerlich weiss ich, dass ich die aktuellste Version brauche. Vielen Dank nochmal, dass Du noch wach bist!!!

Opel-Vectra 12.02.2011 01:21
Sorry, da bin ich noch mal. Mein Rechner teilte mir mit, dass 9 Security Updates installieren wuerde. Ist es eine gute Idee das gedownloadedte Update fuer XP durchfuehren zu lassen?

Opel-Vectra 12.02.2011 06:09
Hallo Arne,

wie vorhin nachgefragt, habe ich einfach mal die Sicherheitsupdates installieren lassen (mit angeschlossenem US-Cable-Modem). Leider kam es da aber so ziemlich genau 1 Stunde (waehrend der Installation von Cumulative Security Update IE8 for Win XP ) (update 4 von 9) nachdem ich den Rechner gestartet hatte zu einem Absturz (der Bildshirm ging einfach aus und der Rechner fing unverzueglich an, automatisch zu booten.

Nach etwas ueber 8 Minuten erschien endlich der Log-In-Screen und ich gab das Passwort fuer den Rechner ein. Der “welcome” screen erschien mit “Loading your personal setting...” und der Bildschirm ging wieder aus und der PC begann erneut zu booten. Das habe ich durch F8 in den Safe Mode umgeleitet.

Im Safe Mode habe ich den CCleaner (Version 3.03.1366) laufen lassen. Alles OK – mit marginaler Ausbeute. Beim RegistryCleaner wurde ich gefragt, ob ich die Aenderungen mit einem Backup absichern wollte – hab' ich getan. Ich liess ihn 4 mal durchlaufen, bis nichts mehr gefunden wurde.

Anschliessend fuhr ich den Rechner runter, startete ihn wieder und nach 8 Minuten und 1 Sekunde (Stopuhr!) wieder Passwort eingegeben und sofort wieder das Gleiche wie vorhin: schwarzer Bildschirm und automatisches booten. Nach weiteren 8 Minuten hab' ich den Off-Button betaetigt, den Rechner heruntergefahren, Internetverbindung gekappt, neu gestartet und nach erneut 8 Minuten und 2 Sekunden mich einloggen koennen und der Rechner lief nun wieder – extrem laaaangsam aber ich konnte so zumindest die Automatic Windows Updates installieren. Das hat ueber eine Stunde gedauert. Anschliessend PC reboot – weiterhin ohne Internetanbindung.

CCleaner standartmaessig durchlaufen lassen – mit meinen eigenen Einstellungen (ALLES im Windows-Reiter angeklickt) und es wurden – im Vergleich zu den vorgeschlagenen und nur im Safe-Mode verfuegbaren Einstellungen – weiterer Crap (49MB) entfernt. Da das sichere Loeschen des freien Speichers ueber 13 Stunden benoetigen wuerde habe ich das abgebrochen.

Anschliessend habe ich RegistryCleaner laufen lassen bis nach 3 Durchlaeufen auch hier keine Fehler mehr gefunden wurden.

Habe den Rechner anschliessend runtergefahren, Kabel-Modem wieder angeschlossen, Rechner hochgefahren und der Rechner stuerzte wieder nach dem Log-In ab. Modem gekappt, hochgefahren. Kein Problem. Modem in den USB-port gesteckt und nachdem es erkannt wurde, stuerzte der Rechner nach ca. 1 Minute wieder ab. WTF?!

Stellt sich mir die Frage: wie kann das sein – oder besser: hast Du eine Idee was ich nun machen koennte?

Liegt es am Modem?

Wenn es daran liegen sollte, koennte ich Combofix ja auf einen Memorystick ueber diesen Laptop laden und den dann in meinem Rechner benutzen. Hmm, hoert sich nicht so gut an, da ich diesen Labtop nicht kenne und nicht weiss, was da sonst so drauf ist – hab' auch keine Admin-Kennung dafuer – und ich moechte die Infektionen ja weder von mir auf den Labtop meiner Bekannten ueberspielen und auch mir nicht noch mehr von denen einholen...

Hab auch noch mal den Rechner wieder ohne Modem hochgefahren und mir den Windows Task manager angeschaut. Dort sind ueber 90% von dem Prozess System Idle Process von dem User „System“ genutzt. Ist das normal?

Und nochmal gefragt: haben die Bootzeit von ueber 8 Minuten zum Log-In und 14 Minuten zum Desktop sowie die langsame Performance (oder einiges davon) vielleicht damit zu tun, dass ich den Haken bei IAT/EAT in Gmer nicht entfernt habe? Oder was bewirkt der Haken dort, wenn man ihn nicht wegnimmt?

Bitte, bitte, Arne, ich weiss dass Du richtig viel zu tun hast und mit ueber 50 Postings am Tag 'ner Menge Leute richtig viel hilfst. Sag mir bitte bescheid, falls Dir meine langen Ausfuehrungen aber zu viel sind und ich zu viel frage (ich bin sicher, dass die meisten Fragen fuer Dich alt und unwichtig sind, da Du sie bestimmt staendig hoerst – aber ich bin besorgt...)!

Danke

PS. Hier noch die Microsoft Windows Error signature, die ich nach dem Crash wieder angezeigt bekommen habe:

BCCode : 1000007f BCP1 : 00000008 BCP2 : F797AD70 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

Nach dem naechsten Crash sah der Error Code so aus:
BCCode : 100000d1 BCP1 : F7AD528A BCP2 : 00000002 BCP3 : 00000001
BCP4 : 847EE900 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

cosinus 12.02.2011 10:20
Über welche Hardware du Updates installierst, spielt keine Rolle. Ob Kabelmodem, DSL oder WLAN ist völlig egal. Oder trat das erst auf, nachdem du das Kabelmodem installiert hast?
Kannst du die letzten Updates im abgesicherten Modus deinstallieren?

Opel-Vectra 12.02.2011 14:51
Wuerde ich gerne tun aber wie macht man das?

Opel-Vectra 12.02.2011 14:53
...und: nein, das tart nicht erst auf, nachdem ich das Modem installiert habe aber wie gesagt, der Rechner laeuft ohne angeschlossenes Modem stabil - ist auch letzte Nacht nicht abgestuerzt, sobald ich es wieder anschliesse stuerzt der Rechner ab...

cosinus 12.02.2011 15:30
Updates sollte man über Systemsteuerung deinstallieren deinstallieren können, genauso wie die Programme auch.

Opel-Vectra 12.02.2011 15:48
Danke! Habe ich gefunden und bin dabei die Updates zu entfernen. Dass da 'ne Warnmeldung kommt, dass folgende Programme (so ziemlich alles, was ich auf dem Rechner habe) anschliessend nicht mehr funktionieren wuerde, kann ich ignorieren, oder?!?

Was soll ich als naechsten Schritt machen?

Opel-Vectra 12.02.2011 15:58
ok, das einzige zu entfernende Updte war das fuer IE 8, die anderen Updates sind in der Systemsteuerung nicht zu finden!

cosinus 12.02.2011 18:59
Und der Rechner stürzt jetzt noch wenn das Kabelmodem angeschlossen wird?

Was ist mit Combofix?

Opel-Vectra 13.02.2011 02:21
Hey Arne,

Danke!!! der PC laeuft derzeit wieder mit Internetanschluss ohne abzustuerzen

Habe Combofix laufen lassen, aber es ging wieder was daneben *frequent hard head banging against the desk* - was sollte man auch anderes von jemandem erwarten, der 10-Stunden-Schichten im Baumarkt schiebt. Gottseidank, sind morgen nur 8 Stunden angesagt...

Habe erst den Avira ausgeschaltet, nachdem ich die cofi.exe angeklickt hatte und der Combofix noch beim Vorbereiten war. War mir nicht sicher, ob ich haette abbrechen und neu starten sollen. Oder vielleicht noch mal neu durchlaufen lassen. Falls ich das besser machen sollte, wirst Du es mir bestimmt mitteilen, oder? :-(

Werde die MBAMs gleich noch nachladen.

Hier aber zuerst der Combofix-log:

Combofix Logfile:
Code:
ComboFix 11-02-12.01 - Owner 12.02.2011  18:39:46.6.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.893.536 [GMT -6:00]
Running from: c:\documents and settings\Owner\Desktop\cofi.exe
AV: AntiVir Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {83877DDC-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {83AA4814-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {8460B6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {846C4DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {849226DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Disabled/Updated* {84B16B64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000246-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {838DCA1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {838E57AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8415C464-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84180594-FFA4-00EF-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841BE6D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841C6DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841D9A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841DC9B4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841DD5EC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {841E9C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8420B23C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8424CC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8424DA24-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8428E5E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842A989C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842B29DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842B3A9C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842BEDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842C1A54-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842DBAB4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {842EE35C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8434AB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8436B50C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8436E44C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {843D4A84-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {843DC88C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {843E1DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {843E48EC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {843F1C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8441FDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {844566DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8446072C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84463A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84463C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8447689C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8448465C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8448BC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {844B5DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {844B6C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84515C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8452BC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84534DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845618CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8457BDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8459ACCC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845B2584-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845B5A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845BAA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845BE3DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845BEDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845C935C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845DA914-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845DFC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845E289C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845E3284-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845E589C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845E94D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845E9A14-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845EB734-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845EFB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845EFDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845F27BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {845FFC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84600054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8460089C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8460534C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846076DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8460841C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8460AC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84613DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84614A34-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8461A8EC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8461D3A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846229A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84626894-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8462D89C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8463FA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8464936C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8464F6DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8465299C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8465480C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8465789C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8465ADDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8465D6FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846677E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8466BDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8466CA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84678C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84680C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846836C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84687C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846898AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8468B3AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846907D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84692A14-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846934AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8469353C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8469462C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8469A504-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8469F28C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8469FC1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A2604-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A451C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A5514-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A78D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A7B64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846A8524-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846AB55C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846ABB5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846B2DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846B451C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846B561C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846B8B64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846B9594-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846C143C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846C535C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846CD5C4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846D19A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846D5A6C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846D67E4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846DC974-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846DE324-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846E25B4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846E4DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846E5464-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846EE854-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846F59A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846F8394-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846FB89C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {846FE5D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8470ADDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847118AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84715484-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84717494-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84719A54-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8471C6AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8471E4A4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84720394-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847206DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8472335C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847247F4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8472772C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84727814-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84727A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84729C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8472C7FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84734504-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84736374-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84736444-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84737A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84739AA4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84742DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84749464-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8474A664-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8474B054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847526EC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8475D624-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84760A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84760DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84762A3C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84765DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84769344-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847776DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8479689C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847AFDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847B0994-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847B0C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847C9C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847F0C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847FE8AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847FEDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {847FF83C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8480154C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84801DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8480335C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84804764-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84805794-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848066DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8480D69C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8481388C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84813B1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84816DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8481A334-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482483C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482BA5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482C534-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482CB64-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482E3AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482E74C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8482F564-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848314AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84836CA4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8484189C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8484589C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84849A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8484C634-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8485137C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84852574-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84853334-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848581CC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8485F7F4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8486380C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84864CE4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84866804-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84873A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8487563C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84876A5C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8487C644-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8488A7AC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84890C1C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848979DC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848995EC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848A02BC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848A051C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848B389C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848C228C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848DB834-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848EFDDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {848F089C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84911814-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8491B624-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {8491E654-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84928784-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84934524-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A3F054-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A49754-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A4D674-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A6E774-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A6E7D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A71494-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A73DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A7A704-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A8B6D4-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A8C2FC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A8F894-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A9065C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84A92DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84AA7DDC-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84B49B80-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84B6381C-FFA4-00DE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {84B66374-FFA4-00DE-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((  Files Created from 2011-01-13 to 2011-02-13  )))))))))))))))))))))))))))))))
.

2011-02-12 00:39 . 2011-02-12 02:10        --------        d-----w-        C:\cc-cleaner-backup
2011-02-11 23:51 . 2010-12-20 23:59        55296        ----a-w-        c:\windows\system32\SET3D.tmp
2011-02-11 23:51 . 2010-12-20 23:59        916480        ----a-w-        c:\windows\system32\SET37.tmp
2011-02-11 23:51 . 2010-12-20 23:59        602112        ----a-w-        c:\windows\system32\SET3E.tmp
2011-02-11 23:51 . 2010-12-20 23:59        1210880        ----a-w-        c:\windows\system32\SET38.tmp
2011-02-11 23:51 . 2010-12-20 23:59        5961216        ----a-w-        c:\windows\system32\SET3C.tmp
2011-02-11 13:15 . 2011-02-11 13:15        --------        d-----w-        c:\windows\Internet Logs
2011-02-08 16:03 . 2011-02-08 16:03        --------        d-----w-        c:\program files\ERUNT
2011-01-19 19:08 . 2011-01-19 22:17        --------        d-----w-        c:\documents and settings\Owner\Application Data\skypePM
2011-01-19 19:07 . 2011-01-19 19:07        --------        d-----w-        c:\program files\Common Files\Skype
2011-01-19 19:07 . 2011-01-19 19:07        --------        d-----r-        c:\program files\Skype
2011-01-19 19:07 . 2011-01-20 02:23        --------        d-----w-        c:\documents and settings\Owner\Application Data\Skype
2011-01-19 19:07 . 2011-01-19 19:07        --------        d-----w-        c:\documents and settings\All Users\Application Data\Skype
2011-01-19 14:07 . 2011-01-19 14:07        --------        d-----w-        c:\windows\system32\windows media
2011-01-19 14:07 . 2011-01-19 14:07        --------        d-----w-        c:\program files\Windows Media-Komponenten

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2006-06-17 09:23        439296        ------w-        c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2006-06-17 09:23        290048        ----a-w-        c:\windows\system32\atmfd.dll
2011-01-01 15:06 . 2010-04-09 21:18        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-12-31 13:10 . 2006-06-17 09:23        1854976        ------w-        c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2006-06-17 09:23        301568        ----a-w-        c:\windows\system32\kerberos.dll
2010-12-21 00:09 . 2010-01-23 06:05        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-21 00:08 . 2010-01-23 06:05        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-20 17:26 . 2006-06-17 09:23        730112        ------w-        c:\windows\system32\lsasrv.dll
2010-12-09 15:15 . 2006-06-17 09:23        718336        ------w-        c:\windows\system32\ntdll.dll
2010-12-09 14:30 . 2006-06-17 09:23        33280        ------w-        c:\windows\system32\csrsrv.dll
2010-12-09 13:42 . 2006-06-17 09:23        2148864        ------w-        c:\windows\system32\ntoskrnl.exe
2010-12-09 13:07 . 2004-08-04 05:59        2027008        ------w-        c:\windows\system32\ntkrnlpa.exe
2010-11-24 12:09 . 2009-05-18 14:26        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-06-17 09:38        81920        ------w-        c:\windows\system32\isign32.dll
2006-05-03 10:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 13:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-06 64512]
"readericon"="c:\program files\Digital Media Reader\readericon45G.exe" [2005-12-10 139264]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"CHotkey"="zHotkey.exe" [2004-12-09 550912]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-14 212992]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"phc700"="c:\windows\vphc700.exe" [2005-07-21 339968]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
TrayMin700.exe.lnk - c:\program files\Philips\SPC 700NC PC Camera\TrayMin700.exe [2007-4-16 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Avi Player]
2007-09-05 08:38        629760        ----a-w-        c:\program files\Avi Player\AviPlayer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=
"c:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows Remote Management

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [29.09.2008 20:41 38448]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [09.04.2010 15:18 135336]
R3 phc700;USB PC Camera (phc700);c:\windows\system32\drivers\phc700.sys [16.04.2007 23:07 541568]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [17.06.2006 03:23 14336]
S3 notecable;NoteCable Driver (WDM);c:\windows\system32\drivers\notcable.sys --> c:\windows\system32\drivers\notcable.sys [?]
S3 VVBETHERNET;Efficient Networks Virtual Bus Ethernet driver;c:\windows\system32\drivers\vvbetht.sys [17.12.2001 11:58 15309]
S3 VvBusUsb;Efficient Networks USB Virtual Bus driver;c:\windows\system32\drivers\vvbususb.sys [24.11.2006 22:35 50911]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [17.06.2006 03:23 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
WINRM        REG_MULTI_SZ          WINRM
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper
.
Contents of the 'Scheduled Tasks' folder

2006-11-25 c:\windows\Tasks\ISP signup reminder 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2006-06-17 00:12]

2006-11-25 c:\windows\Tasks\ISP signup reminder 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2006-06-17 00:12]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.gateway.com/g/startpage.html?Ch=Retail&Br=EM&Loc=ENG_US&Sys=DTP&M=T5212
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {040361A0-1658-4FA5-A6C0-410E2A06E3FB} = 66.133.150.12,170.215.255.114
FF - ProfilePath - c:\documents and settings\Owner\Application Data\Mozilla\Firefox\Profiles\z693kmx8.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://d-strueber.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Garmin Communicator: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E} - %profile%\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Move Media Player: moveplayer@movenetworks.com - c:\documents and settings\Owner\Application Data\Move Networks
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-12 18:50
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1712)
c:\windows\system32\WININET.dll
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2011-02-12  18:58:30
ComboFix-quarantined-files.txt  2011-02-13 00:58
ComboFix2.txt  2010-10-13 20:15

Pre-Run: 151.139.266.560 bytes free
Post-Run: 151.103.365.120 bytes free

- - End Of File - - 3FD7D0105A3B48A801FB649FC3EE26CF
--- --- ---

Opel-Vectra 13.02.2011 02:37
Logfiles von MBAM:



################## 19.11.2009 - Anfang #########################

Malwarebytes' Anti-Malware 1.41
Database version: 3195
Windows 5.1.2600 Service Pack 3

19.11.2009 03:42:32
mbam-log-2009-11-19 (03-42-32).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 237488
Time elapsed: 1 hour(s), 23 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{4E015214-6BB0-4181-B365-456CF1DEC069}\RP549\A0107142.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.

################## 19.11.2009 - Ende ###########################

################## 26.03.2010 - Anfang #########################

Malwarebytes' Anti-Malware 1.44
Database version: 3919
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.03.2010 23:51:12
mbam-log-2010-03-26 (23-51-12).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 249747
Time elapsed: 1 hour(s), 17 minute(s), 34 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\getdo (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Owner\Application Data\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

################## 26.03.2010 - Ende ###########################

################## 01.04.2010 - Anfang #########################

Malwarebytes' Anti-Malware 1.45
Malwarebytes

Database version: 3940

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.04.2010 04:03:41
mbam-log-2010-04-01 (04-03-41).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 220095
Time elapsed: 1 hour(s), 17 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

################## 01.04.2010 - Ende ###########################

################## 12.09.2010 - Anfang #########################

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Database version: 4597

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.09.2010 00:18:16
mbam-log-2010-09-12 (00-18-16).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 244546
Time elapsed: 1 hour(s), 9 minute(s), 45 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Program Files\eRightSoft\SUPER\spk\MKV_ax.spk (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

################## 12.09.2010 - Ende ###########################

################## 22.09.2010 - Anfang #########################

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Database version: 4672

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.09.2010 12:54:20
mbam-log-2010-09-22 (12-54-20).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 247183
Time elapsed: 1 hour(s), 11 minute(s), 8 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
D:\i386\Apps\App12649\googledesktopsetup_en_release_s_r3intl_sign_c2172891_030306_160544.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

################## 22.09.2010 - Ende ###########################

################## 05.02.2011 - Anfang #########################

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Database version: 5682

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.02.2011 04:54:14
mbam-log-2011-02-05 (04-54-14).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 272944
Time elapsed: 1 hour(s), 11 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\system volume information\_restore{4e015214-6bb0-4181-b365-456cf1dec069}\RP69\A0015219.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\zz downloads\aviplayersetup_3-0.exe (Adware.Agent) -> Quarantined and deleted successfully.

################## 05.02.2011 - Ende ###########################

cosinus 13.02.2011 20:34
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Opel-Vectra 13.02.2011 21:59
Hey Arne,

wollte kurz berichten, dass ich heute morgen versucht habe, meinen PC hochzufahren, nachdem er gestern ja wieder problemlos ohne abzustuerzen lief. Habe ihn also mit angeschlossener Internetverbindung hochgefahren, 8 Minuten bis zum Log-In_screen gewartet, eingelogt, 6 weitere Minuten gewartet bis der Desktop aufgebaut war und versucht Firefox zu oeffnen und der Rechner stuerzte sofort ab.

Hab dann wieder die Internetverbindung (Power zum Modem) unterbrochen, den Rechner hochgefahren, 8 Minuten bis Log-In, 6 weitere Minuten bis der Desktop aufgebaut war und die Nachricht "The ystem has recovered from a serious error" erhalten. Diesmal mit der Error signatur:

BCCode : 1000007f BCP1 : 0000000D BCP2 : 00000000 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

Nutzen Dir diese Signaturen irgendwas oder kann ich es mir sparen, sie von meinem PC abzuschreiben und in den Labtop einzugeben?

Beim Runterfahren erhielt ich wieder die Option, Windows updates zu installieren. Hab das natuerlich nicht gemacht. Dann Rechner wieder hochgefahren (ohne Modem), gewartet, eingelogt, gewartet, Firefox eingeschaltet, kein Problem! Modem wieder angeschlossen. Kein Problem. Komisch... Rechner wieder runtergefahren, modem abgeschaltet – auf Antwort gewartet.

Rechner wieder hochgefahren (14 Minuten), Firefox gestartet, Modem angeschlossen, neuen Gmer runtergeladen, alle Programme geschlossen, Internetverbindung gekappt. Gmer gestrtet. Da nach 4 Minuten immer noch \Device\Ide\Pcilde2 angezeigt wurde (bevor ich Scan starten konnte) und derRechner nichts mehr getan hat, habe ich versucht, das Program ueber das X oben rechts zu schliessen aber auch dort passierte nichts. Habe versucht ueber Strg+Alt+Del den Windows Task Manager zu oeffnen. 5 Minuten gewartet. Keine Reaktion. Windows-Taste gedrueckt, keine Reaktion. On/Off am Rechner fuer Shut-Down gedrueckt. 5 Minuten gewartet. Keine Reaktion. On/Off 5 Sekunden gehalten.

Rechner in SafeMode hochgefahren. Gmer gesucht, nicht gefunden, da "Owner"-Desktop fuer andere User gesperrt ist.

PC runtergefahren, erneut hochgefahren (14 Minuten). Owner Desktop freigegeben (Properties => Sharing=> Haken entfernt bei "Make this Folder private". Erneut Gmer ausgefuehrt. Diese mal konnte ich "scan" starten. Unter dem Reiter Rootkit/Malware wurde etwas angezeigt (hab' aber nicht aufgeschrieben, was es war – irgendwas mit Win und Filter oder Scan). Hab dann Scan geklickt und der Gmer stuerzte wieder ab. Gmer blieb bei Sections: c:\WINDOWS\system32\DRIVERS\SCSIPORT.SYS stecken. Im oberen Fenster wurde folgendes angezeigt:
SSDT B0DF4F9E ZwCreateKey
SSDT B0DF1F94 ZwCreateThread
SSDT B0DF4FA3 ZwDeleteKey
SSDT B0DF4FAD ZwDeleteValueKey
SSDT B0DF4FB2 ZwLoadKey
SSDT B0DF4F80 ZwOpenProcess
SSDT B0DF4F85 ZwOpenThread
SSDT B0DF4FBC ZwReplaceKey
SSDT B0DF$FB7 ZwRestoreKey
SSDT B0DF4FA8 ZwSetValueKey

Wieder versucht das Programm zu beenden (Not Responding). Wie vorher... Mit 5Sec On/Off ausgeschltet.

Rechner in Safe-Mode hochgefahren. Gmer gesucht, gefunden, gestartet, nichts unter dem Reiter Rootkit/Malware angezeigt. Scan ausgefuehrt. Ohne irgendwas im Fenster anzuzeigen bei Sections C:\WINDOWS\system32\drivers\ohci1394.sys steckengeblieben. 5 Minuten gewartet. Keine Reaktion auf gar nichts! Ueber 5sec On/Off abgeschaltet.

Fahre den Rechenr gerade erneut hoch und werde mit OSAM forfahren. Wollte aber borher dieses Update posten. Vielleicht hilft es ja???

Opel-Vectra 13.02.2011 22:18
Arne,

habe jetzt den Pc wieder normal gestartet (ohne Modem), Firefox geoeffnet, Modem angeschlossen, osam herunter geladen. Nun habe ich auf dem Desktop osam_autorun_manager_5_0_portable.rar kann damit aber ncihts anfangen. Klicke auf "open" und ich werde auf 'ne shell.windows.com Seite geleitet und komme von dort auf winzip.com/lanar.htm oofe Frage: ich hab' Winzip schon auf meinem Rechner. Soll ich es mir hier erneut runterladen? Kennst Du ein besseres Programm?

Danke!

Opel-Vectra 14.02.2011 05:43
Arne,

Sorry, war 'ne doofe Frage. Bin um 22:05 schreiend wieder aus dem Bett gesprungen weil ich mich daran erinnert habe, WO(!!!) ich bei Euch von 7-zip gelesen habe. Runtergeladen, installiert. Die rar-Datei zu starten hat dann immer noch nicht funktioniert, aber nach starten von 7zip konnte ich die Datei entpacken und ENDLICH doch weitermachen.

Nun denn, hier ist der Log:

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 22:36:50 on 13.02.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FINDFAST.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\FINDFAST.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"MLCFG32.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\MLCFG32.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Gamma" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma.cpl
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile USB Driver" (USBAAPL) - ? - C:\WINDOWS\System32\Drivers\usbaapl.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOCUME~1\Owner\LOCALS~1\Temp\catchme.sys  (File not found)
"Cdr4_xp" (Cdr4_xp) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\Cdr4_xp.sys
"Cdralw2k" (Cdralw2k) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\Cdralw2k.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Efficient Networks USB Virtual Bus driver" (VvBusUsb) - "Virata" - C:\WINDOWS\System32\drivers\vvbususb.sys
"Efficient Networks Virtual Bus Ethernet driver" (VVBETHERNET) - "Virata" - C:\WINDOWS\System32\DRIVERS\vvbEthT.sys
"hotcore3" (hotcore3) - "Paragon Software Group" - C:\WINDOWS\System32\drivers\hotcore3.sys
"Lbd" (Lbd) - ? - C:\WINDOWS\System32\DRIVERS\Lbd.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MagicTune" (MagicTune) - ? - C:\WINDOWS\System32\drivers\MTiCtwl.sys  (File found, but it contains no detailed information)
"MHN driver" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"NCPro" (NCPro) - ? - C:\WINDOWS\system32\drivers\MTictwl.sys  (File found, but it contains no detailed information)
"NoteCable Driver (WDM)" (notecable) - ? - C:\WINDOWS\System32\drivers\notcable.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"UIM Drive Backup Image Plugin" (Uim_IM) - "Paragon" - C:\WINDOWS\System32\Drivers\Uim_IM.sys
"Universal Image Mounter Controller" (UimBus) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\UimBus.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
>{60B49E34-C7CC-11D0-8953-00A0C90347FF} "Browser Customizations" - ? - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "Display Panning CPL Extension" - ? - deskpan.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Encryption Context Menu" - ? -  (File not found | COM-object registry key not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{BB7DF450-F119-11CD-8465-00AA00425D90} "Microsoft Access Custom Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office\soa800.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\Audiodev.dll
{cc86590a-b60a-48e6-996b-41d25ed39a1e} "Portable Media Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\Audiodev.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll
{7F67036B-66F1-411A-AD85-759FB9C5B0DB} "SampleView" - "XSS" - C:\WINDOWS\system32\ShellvRTF.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell extensions for file compression" - ? -  (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{E0D79300-84BE-11CE-9641-444553540000} "WinZip" - ? - C:\PROGRA~1\WinZip\wzshlext.dll
{E0D79301-84BE-11CE-9641-444553540000} "WinZip" - ? - C:\PROGRA~1\WinZip\wzshlext.dll
{E0D79302-84BE-11CE-9641-444553540000} "WinZip" - ? - C:\PROGRA~1\WinZip\wzshlext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "get_atlcom Class" - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\gp.ocx / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_23" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_23.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
{5C051655-FCD5-4969-9182-770EA5AA5565} "Solitaire Showdown Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\SolitaireShowdown.dll / hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "{7530BFB8-7293-4D34-9923-61A11451AFC5}" - ? -  (File not found | COM-object registry key not found) / hxxp://download.eset.com/special/eos/OnlineScanner.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Sign-in Helper" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini
"TrayMin700.exe.lnk" - ? - C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin700.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Documents and Settings\Owner\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Power2GoExpress" - ? - NA  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"CHotkey" - ? - zHotkey.exe
"OpwareSE4" - "ScanSoft, Inc." - "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"readericon" - "Alcor Micro, Corp." - C:\Program Files\Digital Media Reader\readericon45G.exe
"Recguard" - ? - %WINDIR%\SMINST\RECGUARD.EXE
"SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"WrtMon.exe" - ? - C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Scheduler" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper.dll
"getPlus(R) Helper 3004" (nosGetPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper_3004.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jqs.exe
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} "Internet Explorer Branding" - ? - C:\WINDOWS\system32\iedkcs32.dll
{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D} "Internet Explorer Machine Accelerators" - ? - C:\WINDOWS\system32\iedkcs32.dll
{7B849a69-220F-451E-B3FE-2CB811AF94AE} "Internet Explorer User Accelerators" - ? - C:\WINDOWS\system32\iedkcs32.dll
{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3} "Internet Explorer Zonemapping" - ? - C:\WINDOWS\system32\iedkcs32.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit Online Solutions :: Index

Opel-Vectra 14.02.2011 06:53
So, und hier noch der Log zum MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fc

Kernel Drivers (total 184):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7B82000 \WINDOWS\system32\KDCOM.DLL
0xF7A92000 \WINDOWS\system32\BOOTVID.dll
0xF7553000 ACPI.sys
0xF7B84000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7542000 pci.sys
0xF7682000 isapnp.sys
0xF7692000 ohci1394.sys
0xF76A2000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A96000 compbatt.sys
0xF7A9A000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7C4A000 pciide.sys
0xF7902000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B86000 aliide.sys
0xF7B88000 cmdide.sys
0xF7B8A000 toside.sys
0xF7B8C000 viaide.sys
0xF7B8E000 intelide.sys
0xF7524000 pcmcia.sys
0xF76B2000 MountMgr.sys
0xF7505000 ftdisk.sys
0xF7B90000 dmload.sys
0xF74DF000 dmio.sys
0xF7A9E000 ACPIEC.sys
0xF7C4B000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF790A000 PartMgr.sys
0xF7912000 hotcore3.sys
0xF76C2000 VolSnap.sys
0xF7AA2000 cpqarray.sys
0xF74C7000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF74AF000 atapi.sys
0xF7AA6000 aha154x.sys
0xF791A000 sparrow.sys
0xF7AAA000 symc810.sys
0xF76D2000 aic78xx.sys
0xF7AAE000 dac960nt.sys
0xF76E2000 ql10wnt.sys
0xF7AB2000 amsint.sys
0xF7922000 asc.sys
0xF7AB6000 asc3550.sys
0xF792A000 mraid35x.sys
0xF7932000 i2omp.sys
0xF7ABA000 ini910u.sys
0xF76F2000 ql1240.sys
0xF7702000 aic78u2.sys
0xF793A000 symc8xx.sys
0xF7942000 sym_hi.sys
0xF794A000 sym_u3.sys
0xF7952000 ABP480N5.SYS
0xF795A000 asc3350p.sys
0xF7B92000 cd20xrnt.sys
0xF7712000 ultra.sys
0xF7496000 adpu160m.sys
0xF7962000 dpti2o.sys
0xF7722000 ql1080.sys
0xF7732000 ql1280.sys
0xF7742000 ql12160.sys
0xF796A000 perc2.sys
0xF7B94000 perc2hib.sys
0xF7972000 hpn.sys
0xF7ABE000 cbidf2k.sys
0xF746A000 dac2w2k.sys
0xF7752000 disk.sys
0xF7762000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF744A000 fltmgr.sys
0xF7438000 sr.sys
0xF7772000 PxHelp20.sys
0xF7421000 KSecDD.sys
0xF740E000 WudfPf.sys
0xF7381000 Ntfs.sys
0xF7354000 NDIS.sys
0xF7782000 sisagp.sys
0xF7792000 viaagp.sys
0xF733A000 Mup.sys
0xF77A2000 alim1541.sys
0xF77B2000 amdagp.sys
0xF77C2000 agp440.sys
0xF77D2000 agpCPQ.sys
0xF72BA000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF636C000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6358000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6511000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF6334000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF6509000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF72AA000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF729A000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF77F2000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6311000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7221000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF62E9000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7802000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF6501000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF64F9000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF62D5000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7812000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7219000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF62B5000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF627C000 \SystemRoot\system32\DRIVERS\HSFHWBS2.sys
0xF617F000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xF60CF000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF64F1000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7DC2000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7822000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B4A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF60B8000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7832000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7842000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF64E9000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF60A7000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7852000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF64E1000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7A1A000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6077000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7862000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BE6000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6019000 \SystemRoot\system32\DRIVERS\update.sys
0xF65D2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7A22000 \SystemRoot\system32\DRIVERS\UimBus.sys
0xF5FFB000 \SystemRoot\System32\Drivers\Uim_IM.sys
0xF7BE8000 \SystemRoot\System32\Drivers\UimFIO.SYS
0xF7882000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF78B2000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7BEA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xED6DC000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xED6B8000 \SystemRoot\system32\drivers\portcls.sys
0xF78D2000 \SystemRoot\system32\drivers\drmk.sys
0xF79BA000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF726A000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF79C2000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF7D4D000 \SystemRoot\System32\Drivers\Cdr4_xp.SYS
0xF7D4E000 \SystemRoot\System32\Drivers\Cdralw2k.SYS
0xF7C1C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7D4F000 \SystemRoot\System32\Drivers\Null.SYS
0xF7C1E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7239000 \SystemRoot\system32\drivers\MTictwl.sys
0xEC571000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEC569000 \SystemRoot\System32\drivers\vga.sys
0xF7C20000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7C22000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEC561000 \SystemRoot\System32\Drivers\Msfs.SYS
0xEC559000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7231000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB746A000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7411000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB73E9000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB73C3000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEBEA5000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB72A9000 \SystemRoot\System32\drivers\afd.sys
0xEBE95000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB727E000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB720E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xEBE85000 \SystemRoot\System32\Drivers\Fips.SYS
0xB3750000 \SystemRoot\system32\DRIVERS\phc700.sys
0xB4EFB000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xB4EEB000 \SystemRoot\system32\drivers\usbaudio.sys
0xB2D5A000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7BC0000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xAFFCF000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF6AF5000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAFFB7000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7BA0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB0380000 \SystemRoot\System32\drivers\Dxapi.sys
0xB4720000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7CD7000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF054000 \SystemRoot\System32\ati2cqag.dll
0xBF093000 \SystemRoot\System32\atikvmag.dll
0xBF0C9000 \SystemRoot\System32\ati3duag.dll
0xBF345000 \SystemRoot\System32\ativvaxx.dll
0xBF418000 \SystemRoot\System32\ATMFD.DLL
0xADE91000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF7C02000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xADD10000 \SystemRoot\System32\Drivers\HTTP.sys
0xADD71000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xADBA7000 \SystemRoot\system32\DRIVERS\srv.sys
0xADA2A000 \SystemRoot\system32\drivers\wdmaud.sys
0xED648000 \SystemRoot\system32\drivers\sysaudio.sys
0xADE6D000 \SystemRoot\system32\DRIVERS\usb8023.sys
0xEB9E2000 \SystemRoot\system32\DRIVERS\RNDISMP.SYS
0xAD414000 \SystemRoot\system32\drivers\kmixer.sys
0x7C900000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
592 C:\WINDOWS\system32\smss.exe
656 csrss.exe
684 C:\WINDOWS\system32\winlogon.exe
728 C:\WINDOWS\system32\services.exe
740 C:\WINDOWS\system32\lsass.exe
920 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
960 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1084 C:\WINDOWS\system32\ati2evxx.exe
1100 C:\WINDOWS\system32\svchost.exe
1176 svchost.exe
1256 C:\WINDOWS\system32\svchost.exe
1320 C:\WINDOWS\system32\svchost.exe
1332 svchost.exe
1432 C:\WINDOWS\system32\spoolsv.exe
1488 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1568 C:\WINDOWS\ehome\ehrecvr.exe
1584 C:\WINDOWS\ehome\ehSched.exe
1668 C:\Program Files\Java\jre6\bin\jqs.exe
1776 svchost.exe
1832 svchost.exe
1952 mcrdsvc.exe
308 C:\WINDOWS\system32\dllhost.exe
468 C:\WINDOWS\system32\ati2evxx.exe
644 alg.exe
1128 C:\WINDOWS\explorer.exe
2184 C:\WINDOWS\ehome\ehtray.exe
2192 C:\Program Files\Digital Media Reader\readericon45G.exe
2200 C:\WINDOWS\RTHDCPL.exe
2208 C:\WINDOWS\zHotkey.exe
2232 C:\Program Files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
2240 C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
2264 C:\WINDOWS\vphc700.exe
2288 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2300 C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
2508 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2524 C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin700.exe
2884 C:\WINDOWS\system32\wuauclt.exe
1236 C:\Program Files\Mozilla Firefox\firefox.exe
1456 C:\Documents and Settings\Owner\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`52c5e600 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (FAT32)

PhysicalDrive0 Model Number: WDCWD2000BB-22RDA0, Rev: 20.00K20

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 Gateway MBR code detected
SHA1: 007DADCB3671462B53686F6996D328CFD544ABBD


Done!

cosinus 14.02.2011 09:09
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Opel-Vectra 14.02.2011 15:32
Hey Arne, habe den Rechner mit angeschlossenem Modem hochgefahren wobei er wieder direkt nach dem Log-In noch bevor der Desktop dargestellt wurde, abgestuerzt ist und wieder anfing zu booten. Habe den PC jetzt im Safemode mit Internetverbindung hochgefahren. Kann ich beide scans im Safemode durchfuehren oder waere es besser, das im normalen Modus zu tun? - Danke!

cosinus 14.02.2011 16:29
Ja Safemode geht auch. Ich dachte der stürzte jetzt nicht mehr ab? :wtf:
Stürzt der auch ab, wenn ein anderes USB-Gerät am selben USB-Port hängt?
Anderen USB-Port für das Kabelmodem schon getestet? :confused:

Opel-Vectra 15.02.2011 06:48
Hey Arne,

na sowas, nun wurde dieses Keyboard umgeschaltet und y und z sind vertauscht. Koennte das was mit dem Virenfund yu tun haben, der da von SAS gefunden wurde. Kann jetyt auch nicht das Frageyeichen finden - so ein aerger...

Sorry! Hier aber schnell die logs aus dem Safemode. War heute lange arbeiten. Es ist jetyt kury vor Mitternacht hier und ich muss morgen wieder um 04-00Uhr frueh hoch. Koennte morgen frueh vor der Arbeit noch versuchen den PC normal hoch zu fahren - ohne Modem - und dann MBAM oder SAS laufen lassen, wenn ich bei der Arbeit bin, wenn Du glaubst dass das was hilft.

Ich konnte uebrigens noch nicht mit anderen USB-anschluessen experimentieren. Immerhin dauert es ueber 14 Minuten bis der PC hoch gefahren ist - normal sind es MAXIMAL UNTER 3 Minuten gewesen. Ich hoffe, dass wir da auch wieder hinkommen, wenn alles wieder okay ist...

Bin ehrlich etwas besorgt, irgendwas knuspert hier schon wieder im Hintergrund richtig intensiv auf der Festplatrte rum. Vielleicht doch noch nicht alles sauber(Fragezeichen)

Ich musste uebrigens nachdem ich SAS laufen liess neu booten.

Okaz, genug, hier die Logs, yuerst SAS

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 02/14/2011 at 09:22 PM

Application Version : 4.48.1000

Core Rules Database Version : 6392
Trace Rules Database Version: 4204

Scan type : Complete Scan
Total Scan Time : 09:53:17

Memory items scanned : 251
Memory threats detected : 0
Registry items scanned : 6711
Registry threats detected : 1
File items scanned : 108760
File threats detected : 2

Trojan.Agent/Gen
C:\PROGRAM FILES\AVI PLAYER\AVIPLAYER.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AviPlayer.exe
C:\DOCUMENTS AND SETTINGS\OWNER\START MENU\PROGRAMS\VIDEO SOUND GRAFIK\AVI PLAYER\AVI PLAYER.LNK

und hier noch MBAM - der hat aber nichts gefunden

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Database version: 5760

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

14.02.2011 10:19:39
mbam-log-2011-02-14 (10-19-39).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 277884
Time elapsed: 3 hour(s), 22 minute(s), 32 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

cosinus 15.02.2011 10:14
Zitat:
na sowas, nun wurde dieses Keyboard umgeschaltet und y und z sind vertauscht.
Tastaturlayout, Regionaleinstellungen => SYSTEMSTEUERUNG!!

SASW hat da m.E. nach nur Fehlalarme (AVI-Player)

Zitat:
Bin ehrlich etwas besorgt, irgendwas knuspert hier schon wieder im Hintergrund richtig intensiv auf der Festplatrte rum. Vielleicht doch noch nicht alles sauber(Fragezeichen)
Das schonmal umgesetzt? => http://www.trojaner-board.de/71631-p...samer-tun.html

Opel-Vectra 15.02.2011 11:17
Arne,

Danke, wie man in der Systemsteuerung die Tastatur umstellt ist mir schon klar. Welche der Prozeduren hat denn zur Umstellung in der Systemsteuerung gesorgt? Ich hab' da ja nichts geaendert!

Da es sich bei SASW um einen Fehlalarm handelt, sollte ich die Dateien dann aus der Quarantaene entfernen und wiederherstellen lassen?

Das lange Rumknuspern auf der Festplatte (auch durch gelbe HD-LED geschieht nur wenn ich online bin.

Was bedeuten eigentlich diese "The ystem has recovered from a serious error" Error signaturen?

Ich werde mal die Liste "PC wird immer langsamer" abarbeiten. Waere ja super, wenn das hilft. Den CCleaner habe ich ja eh schon immer woechentlich laufen lassen, werde es aber wie gesagt genauestens abarbeiten. Finde es halt nur komisch, dass von heute auf morgen, nachdem Viren gefunden worden sind, der PC von zweieinhalb auf 14 Minuten boot-Zeit wechselt, nur noch verzerrt Sound abspielt und die Quicklaunchleiste verschwindet.

Waere echt super, wenn Du mir noch kurz antworten koenntest, warum die Tastatur umgestellt wurde, was mit SASW-Quarantaene-Dateien zu machen ist und ob Dir die System Error Signaturen was sagen. Danke schonmal im voraus. Ich finde es echt super, dass Du Dir so viel Muehe mit meinem Rechenr gibst!

Opel-Vectra 18.02.2011 17:38
Arne, es sind nun 3 Tage vergangen, falls Du vielleicht etwas Zeit hast, koenntest Du bitte meine Fragen beantworten (SASW Quarantaene, System Error Signaturen)? Die Tastatur hatte sich von alleine wieder umgestellt...

Ich habe allen Anweisungen befolgt aber es gibt keine Besserung. Rechner stuerzt ab, sobald ich entweder ziemlich genau 1 Stunde online bin oder wenn mein Modem beim Hochfahren angeschlossen ist - egal an welchem USB port...

cosinus 18.02.2011 18:57
Dat iss ja alles nicht normal und die Logs zeigen so keine Auffälligkeiten... :balla:

Hast du die Möglichkeiten diesen Rechner und diese Internetverbindung von einem Live-Linux wie Ubuntu oder Knoppix zu testen?

Opel-Vectra 18.02.2011 20:12
Knoppix, Unbutu oder Live-Linux? Das sagt mir leider nichts :-( Ich sehe, Du hast unter Deiner Signatur einen Link zu "Ubuntu als Notfall-Live-System", da werde ich mal nachlesen und schauen.

Derzeit brenne ich gerade im Safemode eine Sicherheitskopie von meinen Daten. Da laeuft der PC jetzt schon ununterbrochen ueber 24 Stunden ohne Probleme - halt nur extrem langsam, wie man das halt aus dem Safemode gewoehnt ist.

Das, was mich so stutzig macht, ist zum Einen die Tatsache, dass der PC so unheimlich langsam ist und zum Anderen, dass er einfach so abstuerzt! Wenn Du der Meinung bist, dass das nicht an Viren oder so was liegen kann, waere es denn moeglich, dass bei irgendeinem Reperaturprozess irgendwelche Einstellungen zerschossen worden sind und das System nicht alle zur Verfuegung stehenden Resourcen nutzen kann? Wie koennte man das herasufinden? Mit einem der 3 oben genannten Programme?

Bitte, bitte, sag mir doch, ob Dir die von mir abgeschriebenen System Error Signaturen was sagen?

cosinus 18.02.2011 20:20
Abstürze können hardware- oder treiberbedingt sein. Wenn Komponenten defekt sind, ist es meistens das Netzteil, dass schon altersschwach ist, oder der Arbeitsspeicher hat Fehler. Mit Ubuntu kannst du auch den Speicher mit Memtest86 prüfen.

Hast du auch mal die Temperaturen der wichtigsten Komponenten geprüft? Im BIOS oder unter Windows mit Speedfan.

Opel-Vectra 18.02.2011 20:39
Okay, werde mich dann mal ueber's Wochenende mit der Materie Unbuntu beschaeftigen und dann auch hoffentlich was mit Memtest86 anfangen koennen ~:)

Nein, Temperaturen habe ich mir noch nie angeschaut. Unter Windows, mit Speedfan? Hmm, komme ich da ueber Windowsbutton, dann "run..." (ausfuehren) und dann "Speedfan" eingeben ran? Sorry, hab das noch nie gemacht und will waehrend des Brennvorgangs nichts versuchen, das zum Absturz fuehren koennte...

Danke, Arne, ich freue mich echt sehr ueber Deine Hilfe!!!

cosinus 18.02.2011 21:07
Speedfan ist ein extra Programm => http://filepony.de/download-speedfan/
Memtest86 ist in der Startoption von der Ubuntu-CD. Memtest kann man nicht direkt unter Ubuntu ausführen mW man muss es quasi booten.

Opel-Vectra 20.02.2011 07:22
Hallo Arne,

also bin gerade mal wieder von der Arbeit nach Hause gekommen und habe es nun geschafft das Programm Fanspeed herunter zu laden. Da wurde aber nur 1 Geraet gefunden: HD0 welches nach 1 Stunde Laufzeit 40'C anzeigt. hmm?! Ist das gut oder hat mein PC vielleicht 'n Fieber?

ach ja, dieser Report kam dabei raus:

SuperIO Chip=DME1737
Found WDC WD2000BB-22RDA0 on AdvSMART
End of detection

Opel-Vectra 20.02.2011 07:37
Arne,

noch 'ne dumme Frage nachgeschoben: Waere Deiner Meinung nach mein PC "sauber genug", um die ubuntu-10.10-desktop-i386.iso zu brennen? Oder besser gefragt: wuerdest Du sie auf diesem Rechner erstellen wenn Deine einzig andere Option ein Laptop eines Bekannten, von dem Du nicht weisst, was da so alles drauf ist, waere?

Danke!!!

cosinus 20.02.2011 17:45
Ja das ISO kannst du ruhig von diesem Rechner aus brennen.

Opel-Vectra 21.02.2011 08:39
Hey Arne, so nun habe ich auch im BIOS die Temperaturen gefunden:

Processor Temp: von 65'C auf 67'C (steigend)
Internal Temp : 51'C
Remote Temp 50'C

nach ca. 3 Stunden Laufzeit.

Ist die Temperatur zu hoch?

Ubuntu habe ich uebrigens auf eine CD gebrannt und versucht, das Programm zu starten - mit maessigem Erfolg: weder die PS2 Maus noch die PS2 Tastatur reagieren um zwischen Installation und Test zu wechseln, daher habe ich hier abgebrochen. Das muesste ich doch bestimmt irgendwo einstellen koennen, oder? Internetverbindung wird ueber USB-Anschlus erkannt. Brauch ich vielleicht auch eine USB Tastatur und Maus?

cosinus 21.02.2011 11:40
Fast 70° C ist schon ziemlich hoch, v.a. wenn der Rechner nicht gerade überstrapaziert wird. Er ist ja quasi fast nur im Leerlauf oder hast du da Spiele oder was anderes was Leitungsbraucht am Laufen gehabt in den 3 Stunden?

Zitat:
Ubuntu habe ich uebrigens auf eine CD gebrannt und versucht, das Programm zu starten - mit maessigem Erfolg: weder die PS2 Maus noch die PS2 Tastatur reagieren um zwischen Installation und Test zu wechseln,
Hatte ich so noch nicht erlebt. Sicher, dass das PS2-Eingabegeräte sind? Ich glaub eher das ist USB.

Opel-Vectra 22.02.2011 06:35
Arne,

ich glaube nicht, dass der PC ueberstrapaziert war. Bin mir aber nicht sicher. Ich hatte in den 3 Stunden keine Spiele gespielt – so langsam wie die Kiste ist, wuerde das ja keinen Spass machen. Ich hatte unbuntu heruntergeladen und dann gebrannt (16fache CD-R).

Und, ja, das sind PS2 Eingabegeraete (Maus + Keyboard) (runde pastellfarbene Stecker). Die Tastatur funktioniert um die Sprache auszuwaehlen und dann das Programm zu starten. Sofort danach wird sie aber abgeshaltet, und reagiert kurzfristig auf Druecken der Number- oder Cap-Lock-Taste. Reagiert dann aber kurz vor Bildschirmaufbau durch unbuntu nicht mehr. Laeuft es vielleicht nicht mit PS2? Ich weiss, dass das nicht das richtige Forum ist um solche Fragen zu stellen. Haettest Du vielleicht doch einen Vorschlag?

So, war nun heute doch in der Lage, den Memtest86 laufen zu lassen, bin mir aber nicht sicher, was dort ungewoehnlich waere. Hier mal, was angezeigt wird:

Pentium D (0.09) 2667 Mhz
L1 Cache: 16K 16879 MB/s
L2 Cacche: 1024K 14494 MB/s
L3 Cache: None
Memory : 893M 1076 MB/s

Ganz unten wird angezeigt "Pass complete, no errors, press Esc to exit"

Tastatur funktioniert hier im Memtest86. Ist dort irgendwas in der Configuration zu aendern? Odersiehst Du vielleicht schon was ungewoehnliches?

Vielen Dank schonmal!

cosinus 22.02.2011 08:57
Könnte ein seltener Fall sein, dass Ubuntu dein Board nciht richtig mag. Schonmal USB-Eingabegeräte probiert?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19