Thread für Terence 007 (Bifrose)

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.01.2010, 15:19
Moderator

Beiträge: 5694
#1 Terence 007 postete:

Zitat

Wenn dina nicht antwortet, mach ich das mal...
Habe genau dasselbe Problem.
Hab gerade MBAM laufen lassen.
Mit einigen Funden, siehe logfile:


Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3477
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02.01.2010 13:33:15
mbam-log-2010-01-02 (13-33-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 122867
Laufzeit: 8 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\svchost (Backdoor.Bot) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\logs.dat (Bifrose.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.


Die Meldung von Antivir kommt jetzt nicht mehr.
Habe allerdings jetzt 6 mal die svchost.exe in Quarantäne...

Mache jetzt mit GMER weiter. Logfile kommt gleich...

Quelle: http://board.protecus.de/t38655.htm#ixzz0bSrpz6HO
Seitenanfang Seitenende
02.01.2010, 15:21
Moderator
Themenstarter

Beiträge: 5694
#2 Terence007 postete:

hier meine OTL logs:

Code

OTL logfile created on: 02.01.2010 14:01:09 - Run 1
OTL by OldTimer - Version 3.1.20.1     Folder = C:\Dokumente und Einstellungen\Katja\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 69,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,65 Gb Total Space | 13,84 Gb Free Space | 24,86% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: KATJA_LAPTOP
Current User Name: Katja
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Katja\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Dokumente und Einstellungen\Katja\Desktop\c7ol1yeu.exe ()
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe (Seagate Technology LLC)
PRC - C:\Programme\Seagate\SeagateManager\FreeAgent Status\stxmenumgr.exe (Seagate LLC)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe (National Instruments Corporation)
PRC - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe (National Instruments Corporation)
PRC - C:\WINDOWS\system32\lktsrv.exe (National Instruments Corporation)
PRC - C:\WINDOWS\system32\lkads.exe (National Instruments Corporation)
PRC - C:\WINDOWS\system32\lkcitdl.exe (National Instruments, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\National Instruments\MAX\nimxs.exe (National Instruments Corporation)
PRC - C:\WINDOWS\system32\nisvcloc.exe (National Instruments Corporation)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\IJPLM\ijplmsvc.exe ()
PRC - C:\Programme\Raxco\PerfectDisk\PDSched.exe (Raxco Software, Inc.)
PRC - C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA)
PRC - C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
PRC - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe (TOSHIBA Corp.)
PRC - C:\Programme\Synaptics\SynTP\SynTPEnh.exe (Synaptics, Inc.)
PRC - C:\Programme\Synaptics\SynTP\Toshiba.exe (Synaptics, Inc.)
PRC - C:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\Programme\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe (TOSHIBA Corporation)
PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - C:\WINDOWS\system32\TPSBattM.exe (TOSHIBA Corporation)
PRC - C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
PRC - C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
PRC - C:\Programme\Toshiba\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION)
PRC - c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Katja\Desktop\OTL.exe (OldTimer Tools)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (FreeAgentGoNext Service) -- C:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe (Seagate Technology LLC)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (OpenVPNService) -- C:\Programme\OpenVPN\bin\openvpnserv.exe ()
SRV - (NITaggerService) -- C:\Programme\National Instruments\Shared\Tagger\tagsrv.exe (National Instruments Corporation)
SRV - (NIDomainService) -- C:\Programme\National Instruments\Shared\Security\nidmsrv.exe (National Instruments Corporation)
SRV - (lkTimeSync) -- C:\WINDOWS\system32\lktsrv.exe (National Instruments Corporation)
SRV - (lkClassAds) -- C:\WINDOWS\system32\lkads.exe (National Instruments Corporation)
SRV - (LkCitadelServer) -- C:\WINDOWS\system32\lkcitdl.exe (National Instruments, Inc.)
SRV - (NILM License Manager) -- C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe (Macrovision Corporation)
SRV - (mxssvr) -- C:\Programme\National Instruments\MAX\nimxs.exe (National Instruments Corporation)
SRV - (niSvcLoc) -- C:\WINDOWS\System32\nisvcloc.exe (National Instruments Corporation)
SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (OpcEnum) -- C:\WINDOWS\system32\Opcenum.exe (OPC Foundation)
SRV - (IJPLMSVC) -- C:\Programme\Canon\IJPLM\ijplmsvc.exe ()
SRV - (usnjsvc) -- C:\Programme\MSN Messenger\usnsvc.exe (Microsoft Corporation)
SRV - (gusvc) -- C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (Google)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (PDEngine) -- C:\Programme\Raxco\PerfectDisk\PDEngine.exe (Raxco Software, Inc.)
SRV - (PDSched) -- C:\Programme\Raxco\PerfectDisk\PDSched.exe (Raxco Software, Inc.)
SRV - (Ati HotKey Poller) -- C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
SRV - (TAPPSRV) -- C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe (TOSHIBA Corp.)
SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (TUWinStylerThemeSvc) -- C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)
SRV - (CFSvcs) -- C:\Programme\Toshiba\ConfigFree\CFSvcs.exe (TOSHIBA CORPORATION)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project)
DRV - (nhcDriverDevice) -- C:\WINDOWS\system32\drivers\nhcDriver.sys (pBUS-167 Software - http://www.pbus-167.com)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (cvintdrv) -- C:\WINDOWS\system32\drivers\cvintdrv.sys ()
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (AFS2K) -- C:\WINDOWS\system32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (AegisP) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\AegisP.sys (Meetinghouse Data Communications)
DRV - (Defrag32b) -- C:\WINDOWS\system32\drivers\defrag32b.sys (Raxco Software, Inc.)
DRV - (Defrag32) -- C:\WINDOWS\system32\drivers\defrag32.sys (Raxco Software, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (w39n51) Intel(R) -- C:\WINDOWS\system32\drivers\w39n51.sys (Intel® Corporation)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (Tvs) -- C:\WINDOWS\system32\drivers\Tvs.sys (TOSHIBA Corporation)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\ialmnt5.sys (Intel Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (TVALD) -- C:\WINDOWS\system32\drivers\NBSMI.sys (Toshiba Corporation)
DRV - (E100B) Intel(R) -- C:\WINDOWS\system32\drivers\e100b325.sys (Intel Corporation)
DRV - (DLAUDFAM) -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS (Sonic Solutions)
DRV - (DLAUDF_M) -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS (Sonic Solutions)
DRV - (DLAIFS_M) -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS (Sonic Solutions)
DRV - (DLABOIOM) -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS (Sonic Solutions)
DRV - (DLAOPIOM) -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS (Sonic Solutions)
DRV - (DLAPoolM) -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS (Sonic Solutions)
DRV - (DLADResN) -- C:\WINDOWS\system32\DLA\DLADResN.SYS (Sonic Solutions)
DRV - (DRVMCDB) -- C:\WINDOWS\System32\Drivers\DRVMCDB.SYS (Sonic Solutions)
DRV - (tosrfec) -- C:\WINDOWS\system32\drivers\tosrfec.sys (TOSHIBA Corporation)
DRV - (DLACDBHM) -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS (Sonic Solutions)
DRV - (DLARTL_N) -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS (Sonic Solutions)
DRV - (DRVNDDM) -- C:\WINDOWS\system32\drivers\DRVNDDM.SYS (Sonic Solutions)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (Pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (Iviaspi) -- C:\WINDOWS\system32\drivers\iviaspi.sys (InterVideo, Inc.)
DRV - (Netdevio) -- C:\WINDOWS\system32\drivers\Netdevio.sys (TOSHIBA Corporation.)
DRV - (SONYPVU1) Sony USB-Filtertreiber (SONYPVU1) -- C:\WINDOWS\system32\drivers\SONYPVU1.SYS (Sony Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.19 17:09:44 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.12.27 11:51:40 | 00,000,000 | ---D | M]

[2009.02.06 19:55:18 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Mozilla\Extensions
[2010.01.02 13:37:40 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\extensions
[2009.02.12 19:45:03 | 00,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.01.02 13:37:40 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.02.08 09:48:16 | 00,028,448 | ---- | M] (National Instruments) -- C:\Programme\Mozilla Firefox\plugins\NPLV82Win32.dll
[2008.06.25 21:51:02 | 00,023,040 | ---- | M] (National Instruments) -- C:\Programme\Mozilla Firefox\plugins\nplv86win32.dll
[2009.11.27 13:23:32 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2007.07.26 12:05:16 | 00,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.xml
[2009.11.27 13:23:32 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.27 13:23:32 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.27 13:23:32 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.27 13:23:32 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: (820 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - No CLSID value found.
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [MaxMenuMgr] C:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe (Seagate LLC)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SmoothView] C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TDispVol] C:\WINDOWS\System32\TDispVol.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [TFncKy]  File not found
O4 - HKLM..\Run: [THotkey] C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA)
O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [Tvs] C:\Programme\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation)
O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O4 - Startup: C:\Dokumente und Einstellungen\Katja\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe ()
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe ()
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: 93 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.1.0178.00.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.1.0178.00.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.01.16 12:53:38 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{13606cec-f286-11db-90f5-00a0d141afc9}\Shell\AutoRun\command - "" = rundll32.exe url,FileProtocolHandler library_1.htm
O33 - MountPoints2\{21dc442e-e016-11dd-92f3-00a0d141afc9}\Shell\AutoRun\command - "" = E:\RavMon.exe -- File not found
O33 - MountPoints2\{21dc442e-e016-11dd-92f3-00a0d141afc9}\Shell\explore\Command - "" = E:\RavMon.exe -- File not found
O33 - MountPoints2\{21dc442e-e016-11dd-92f3-00a0d141afc9}\Shell\open\Command - "" = E:\RavMon.exe -- File not found
O33 - MountPoints2\{3672a626-62af-11db-909f-00a0d141afc9}\Shell\AutoRun\command - "" = RavMon.exe
O33 - MountPoints2\{3672a626-62af-11db-909f-00a0d141afc9}\Shell\explore\Command - "" = RavMon.exe -e
O33 - MountPoints2\{3672a626-62af-11db-909f-00a0d141afc9}\Shell\open\Command - "" = RavMon.exe
O33 - MountPoints2\{d38d0e3c-ad03-11de-945f-00a0d141afc9}\Shell - "" = AutoRun
O33 - MountPoints2\{d38d0e3c-ad03-11de-945f-00a0d141afc9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d38d0e3c-ad03-11de-945f-00a0d141afc9}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{f580d1eb-2ccf-11de-9396-00a0d141afc9}\Shell - "" = AutoRun
O33 - MountPoints2\{f580d1eb-2ccf-11de-9396-00a0d141afc9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f580d1eb-2ccf-11de-9396-00a0d141afc9}\Shell\Open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe -- File not found
O34 - HKLM BootExecute: (PDBoot.exe) - C:\WINDOWS\System32\PDBoot.exe (Raxco Software, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.01.02 14:00:26 | 00,513,536 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Katja\Desktop\OTL.exe
[2010.01.02 13:23:18 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Malwarebytes
[2010.01.02 13:23:14 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.02 13:23:12 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.01.02 13:23:11 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.02 13:23:11 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.02 13:22:26 | 00,149,280 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.01.02 13:22:26 | 00,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.01.02 13:22:26 | 00,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.01.02 13:22:26 | 00,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.01.02 13:22:00 | 00,000,000 | ---D | C] -- C:\Programme\Java
[2010.01.02 13:12:53 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\GetRight
[2010.01.02 13:11:08 | 16,672,544 | ---- | C] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\Katja\Desktop\jre-6u17-windows-i586.exe
[2010.01.02 13:07:52 | 05,061,520 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Katja\Desktop\mbam-setup.exe
[2010.01.02 13:02:58 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2009.12.29 11:34:37 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2009.12.27 12:45:21 | 00,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2009.12.27 12:45:21 | 00,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2009.12.27 11:54:11 | 00,032,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msonpmon.dll
[2009.12.27 11:51:39 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Works
[2009.12.27 11:50:59 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio
[2009.12.27 11:50:59 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DESIGNER
[2009.12.27 11:50:00 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft.NET
[2009.12.27 11:43:59 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Visual Studio 8
[2009.12.27 11:42:56 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
[2009.12.27 11:42:41 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
[2009.12.10 17:35:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Katja\Eigene Dateien\books-Dateien
[2009.12.08 19:17:42 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Katja\Eigene Dateien\DUE
[2009.01.24 17:46:41 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2006.05.17 07:48:03 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2006.05.17 07:48:03 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2006.05.17 07:48:02 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2006.01.16 14:31:11 | 00,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\DLLVGA.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.01.02 14:00:27 | 00,513,536 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Katja\Desktop\OTL.exe
[2010.01.02 13:39:39 | 01,078,504 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.01.02 13:39:39 | 00,462,906 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.01.02 13:39:39 | 00,444,362 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.01.02 13:39:39 | 00,085,732 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.01.02 13:39:39 | 00,072,238 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.01.02 13:36:17 | 00,000,268 | -H-- | M] () -- C:\sqmdata04.sqm
[2010.01.02 13:36:17 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt04.sqm
[2010.01.02 13:35:40 | 00,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.01.02 13:35:23 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.02 13:35:20 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.02 13:35:17 | 10,716,97920 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.02 13:34:04 | 06,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\NTUSER.DAT
[2010.01.02 13:34:04 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Katja\ntuser.ini
[2010.01.02 13:23:17 | 00,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.02 13:22:06 | 00,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.01.02 13:22:06 | 00,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.01.02 13:22:06 | 00,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.01.02 13:22:06 | 00,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.01.02 13:22:05 | 00,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll
[2010.01.02 13:19:02 | 00,000,268 | -H-- | M] () -- C:\sqmdata03.sqm
[2010.01.02 13:19:01 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt03.sqm
[2010.01.02 13:11:33 | 00,000,268 | -H-- | M] () -- C:\sqmdata02.sqm
[2010.01.02 13:11:33 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt02.sqm
[2010.01.02 13:11:14 | 16,672,544 | ---- | M] (Sun Microsystems, Inc.) -- C:\Dokumente und Einstellungen\Katja\Desktop\jre-6u17-windows-i586.exe
[2010.01.02 13:08:53 | 00,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Desktop\c7ol1yeu.exe
[2010.01.02 13:08:07 | 05,061,520 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Katja\Desktop\mbam-setup.exe
[2010.01.01 17:21:21 | 00,000,268 | -H-- | M] () -- C:\sqmdata01.sqm
[2010.01.01 17:21:21 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt01.sqm
[2010.01.01 17:21:00 | 00,000,392 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2009.12.31 13:32:42 | 00,000,268 | -H-- | M] () -- C:\sqmdata00.sqm
[2009.12.31 13:32:41 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt00.sqm
[2009.12.30 20:46:42 | 00,000,268 | -H-- | M] () -- C:\sqmdata19.sqm
[2009.12.30 20:46:42 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt19.sqm
[2009.12.30 14:55:24 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009.12.30 14:54:58 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009.12.29 18:12:26 | 00,000,268 | -H-- | M] () -- C:\sqmdata18.sqm
[2009.12.29 18:12:26 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt18.sqm
[2009.12.29 14:33:04 | 00,000,268 | -H-- | M] () -- C:\sqmdata17.sqm
[2009.12.29 14:33:03 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt17.sqm
[2009.12.29 11:30:37 | 00,000,593 | ---- | M] () -- C:\WINDOWS\win.ini
[2009.12.28 14:49:19 | 00,000,268 | -H-- | M] () -- C:\sqmdata16.sqm
[2009.12.28 14:49:18 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt16.sqm
[2009.12.28 10:09:29 | 00,073,808 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2009.12.28 10:07:29 | 00,286,112 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.12.27 20:06:39 | 00,000,268 | -H-- | M] () -- C:\sqmdata15.sqm
[2009.12.27 20:06:39 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt15.sqm
[2009.12.27 12:44:20 | 00,002,503 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Microsoft Office Word 2007.lnk
[2009.12.27 12:43:15 | 00,023,015 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Desktop\katjadue_vorlage.dotx
[2009.12.23 19:23:03 | 00,000,268 | -H-- | M] () -- C:\sqmdata14.sqm
[2009.12.23 19:23:03 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt14.sqm
[2009.12.22 22:02:22 | 00,000,268 | -H-- | M] () -- C:\sqmdata13.sqm
[2009.12.22 22:02:22 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt13.sqm
[2009.12.21 21:55:53 | 00,000,268 | -H-- | M] () -- C:\sqmdata12.sqm
[2009.12.21 21:55:53 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt12.sqm
[2009.12.20 22:17:32 | 00,000,268 | -H-- | M] () -- C:\sqmdata11.sqm
[2009.12.20 22:17:32 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt11.sqm
[2009.12.20 14:35:55 | 00,000,268 | -H-- | M] () -- C:\sqmdata10.sqm
[2009.12.20 14:35:55 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt10.sqm
[2009.12.19 21:24:59 | 00,000,268 | -H-- | M] () -- C:\sqmdata09.sqm
[2009.12.19 21:24:59 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt09.sqm
[2009.12.18 17:51:43 | 00,000,268 | -H-- | M] () -- C:\sqmdata08.sqm
[2009.12.18 17:51:43 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt08.sqm
[2009.12.18 14:53:46 | 00,000,268 | -H-- | M] () -- C:\sqmdata07.sqm
[2009.12.18 14:53:46 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt07.sqm
[2009.12.17 17:31:32 | 00,000,268 | -H-- | M] () -- C:\sqmdata06.sqm
[2009.12.17 17:31:32 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt06.sqm
[2009.12.17 16:36:59 | 00,002,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Neu OpenDocument Text.odt
[2009.12.15 19:01:15 | 00,000,268 | -H-- | M] () -- C:\sqmdata05.sqm
[2009.12.15 19:01:15 | 00,000,244 | -H-- | M] () -- C:\sqmnoopt05.sqm
[2009.12.10 17:35:30 | 00,052,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Eigene Dateien\books.htm
[2009.12.09 19:13:53 | 00,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2009.12.08 17:42:42 | 00,000,417 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Verknüpfung mit Infotext_Herz.odt.lnk
[2009.12.08 17:33:32 | 00,033,523 | ---- | M] () -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\SQLite3.dll
[2009.12.07 19:38:49 | 00,056,816 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.01.02 13:23:17 | 00,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.02 13:08:53 | 00,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Desktop\c7ol1yeu.exe
[2009.12.27 12:44:15 | 00,002,503 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Microsoft Office Word 2007.lnk
[2009.12.27 12:43:14 | 00,023,015 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Desktop\katjadue_vorlage.dotx
[2009.12.17 16:36:59 | 00,002,440 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Neu OpenDocument Text.odt
[2009.12.10 17:35:29 | 00,052,059 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Eigene Dateien\books.htm
[2009.12.08 17:42:42 | 00,000,417 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Desktop\Verknüpfung mit Infotext_Herz.odt.lnk
[2009.12.08 17:33:32 | 00,033,523 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\SQLite3.dll
[2009.03.23 20:17:50 | 00,000,075 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2009.03.05 19:53:08 | 00,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.02.20 10:01:48 | 00,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.01.13 13:31:38 | 00,000,404 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2008.06.13 14:47:30 | 00,000,244 | ---- | C] () -- C:\WINDOWS\System32\nirpc.ini
[2008.04.07 09:00:00 | 00,004,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\cvintdrv.sys
[2008.01.02 11:03:18 | 00,114,688 | R--- | C] () -- C:\WINDOWS\System32\VSHP1600.DLL
[2008.01.02 11:03:17 | 01,789,952 | ---- | C] () -- C:\WINDOWS\System32\ZHP1600R.DLL
[2008.01.02 11:03:16 | 00,749,568 | R--- | C] () -- C:\WINDOWS\System32\AGI1600.DLL
[2007.05.05 13:12:18 | 00,197,672 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2007.05.05 13:12:14 | 00,189,480 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2007.01.20 15:06:28 | 00,000,265 | ---- | C] () -- C:\WINDOWS\hpqcopy.INI
[2006.11.05 12:56:03 | 00,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2006.11.01 16:47:00 | 00,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.09.17 15:31:11 | 00,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.09.17 14:48:32 | 00,594,450 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll
[2006.09.17 14:48:31 | 00,856,064 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2006.09.17 14:48:31 | 00,217,088 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2006.09.17 14:48:30 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2006.09.17 14:48:29 | 00,005,120 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2006.09.17 14:48:29 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2006.09.17 13:39:47 | 00,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.01.16 16:34:47 | 00,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.01.16 16:30:05 | 00,036,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\CSIIDecoder_kern_i386.sys
[2006.01.16 16:30:05 | 00,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2006.01.16 16:09:28 | 00,000,466 | ---- | C] () -- C:\WINDOWS\TBTdetect.ini
[2006.01.16 16:08:10 | 00,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.01.16 15:23:56 | 00,000,222 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006.01.16 15:20:41 | 00,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006.01.16 15:20:41 | 00,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006.01.16 15:20:41 | 00,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006.01.16 15:20:41 | 00,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006.01.16 15:20:41 | 00,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006.01.16 15:20:41 | 00,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006.01.16 15:17:54 | 00,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI
[2006.01.16 14:31:11 | 00,118,784 | ---- | C] () -- C:\WINDOWS\System32\TCtrlIO.dll
[2006.01.16 14:20:33 | 00,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini
[2006.01.16 14:20:33 | 00,010,161 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini
[2006.01.16 14:20:33 | 00,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini
[2006.01.16 14:20:32 | 00,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll
[2006.01.16 14:16:05 | 00,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.01.16 12:57:10 | 00,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2006.01.16 12:39:58 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll
[2006.01.16 12:39:58 | 00,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.11.29 04:33:56 | 00,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005.09.02 14:44:08 | 00,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 00,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004.07.20 17:04:02 | 00,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll
[2004.01.15 14:43:28 | 00,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll
[2004.01.14 02:46:00 | 00,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll
[1998.03.25 20:12:00 | 00,053,248 | ---- | C] () -- C:\WINDOWS\System32\vbzlib.dll
< End of report >

Code

OTL Extras logfile created on: 02.01.2010 14:01:09 - Run 1
OTL by OldTimer - Version 3.1.20.1     Folder = C:\Dokumente und Einstellungen\Katja\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 460,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 69,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,65 Gb Total Space | 13,84 Gb Free Space | 24,86% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: KATJA_LAPTOP
Current User Name: Katja
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE" /n /dde File not found
htmlfile [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath  -- (Skype Technologies S.A.)
"C:\Programme\MSN Messenger\livecall.exe" = C:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- (Microsoft Corporation)
"D:\D-Link.exe" = D:\D-Link.exe:*:Enabled:Setup Wizard Template -- File not found
"C:\Programme\OpenVPN\bin\openvpn.exe" = C:\Programme\OpenVPN\bin\openvpn.exe:*:Enabled:openvpn -- ()
"C:\Programme\KONAMI\Pro Evolution Soccer 6\PES6.exe" = C:\Programme\KONAMI\Pro Evolution Soccer 6\PES6.exe:*:Enabled:pes6.exe -- File not found
"C:\Programme\NX Client for Windows\nxclient.exe" = C:\Programme\NX Client for Windows\nxclient.exe:*:Enabled:nxclient -- ()
"C:\Programme\NX Client for Windows\bin\nxssh.exe" = C:\Programme\NX Client for Windows\bin\nxssh.exe:*:Enabled:nxssh -- ()
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\GROOVE.EXE" = C:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{06C71F80-0E30-4E2C-878F-8502AB5AE3BE}" = ATI Catalyst Control Center
"{07003F2E-7B9D-4788-B8CC-2420B195B98B}" = NI LabVIEW 8.6 Help
"{071ED036-038F-4F6C-8188-B5E02602C8AD}" = NI LabVIEW MAX XML
"{0A2A5039-B37F-489D-B1DC-A5258DF9E697}" = FIFA 08
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0EF65788-E1AC-4E28-854D-C13FAC3F7F62}" = NI LabVIEW 8.6 Resource
"{0FB31DF8-38DF-4C9D-B313-AFAFC3FBA02B}" = NI LVBrokerAux 8.2.1
"{0FCF7010-B3AF-4401-B372-EA72ED4A781D}" = NI MDF Support
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3500_series" = Canon iP3500 series
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP210_series" = Canon MP210 series
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{12B3A009-A080-4619-9A2A-C6DB151D8D67}" = TOSHIBA Assist
"{15FBCAB8-2C4D-44CE-ABEE-ECDCE0932644}" = NI LabVIEW 8.6 Templates
"{16AF46BD-5ED9-4E2B-84D4-DC40354BAD19}" = NI Trace Engine
"{199DA648-61E8-45F1-B535-E69DF1113060}" = NI Remote Provider for MAX
"{1C85CCAA-9616-439B-897D-8E618EA2EA61}" = NI Assistant Framework LabVIEW Code Generator 8.6
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{24B7F9A4-4FA8-437A-8289-2E473E7B4B53}" = NI Logos 5.0
"{25EF8B4C-DA65-47E8-B09E-0A3C7A9C5C5D}" = NI LabVIEW 8.6 Examples
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{279DB581-239C-4E13-97F8-0F48E40BE75C}" = Windows Live Messenger
"{280C4ADC-59E9-4F9F-B145-CD290515688A}" = NI LabVIEW 8.6 CINtools
"{297BDF30-471F-4E8C-9C05-09C3882300CD}" = NI LabWindows/CVI 8.1.1 Run-Time Engine
"{297FA251-FF30-4F16-978C-4A65EA804EFF}" = NI LabVIEW Real-Time Error Dialog
"{2A30052B-831C-41D3-8044-3C0388066350}" = Seagate Manager Installer
"{2CA542BC-E002-4064-84DB-49B3E558A26D}" = NI LabVIEW Run-Time Engine 8.6
"{2FCE4FC5-6930-40E7-A4F1-F862207424EF}" = InterVideo WinDVD Creator 2
"{2FE50CEF-94F7-4B3E-9C63-107C022ACCA2}" = NI LabVIEW 8.6 License
"{31D97B83-B350-4963-9E66-485711792BB6}" = NI Assistant Framework
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C9EEFEF-1F71-4213-AC41-4BF5FE0FED95}" = TomTom HOME
"{3CBD90A7-D07E-493C-AB65-6AF205E614A0}" = NI LabVIEW 8.6 MeasAppChm File
"{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}" = Skype Plugin Manager
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3EB6332B-AF02-457C-A31C-835458C5B48B}" = TOSHIBA Benutzerhandbücher
"{3F99A228-0BBD-40B6-8AEB-A6F689688969}" = NI LabWindows/CVI Code Generator
"{4159DD60-49C1-4323-A1A5-FB060CBA35C5}" = NI Measurement Studio Recipe Processor
"{4193E7D0-211B-434B-9A8F-4A7684277519}" = NI LabVIEW 8.6 User.lib
"{42347B75-9660-2DA4-63FD-D35E344E1031}" = Nero 7 Premium
"{4497AFF6-98C4-4F49-B073-F48F42BCBF9E}" = TIPCI
"{45FA54F6-8574-49D2-9E2D-0BDDE6237822}" = NI LabVIEW Run-Time Engine 8.2.1
"{48CF9A66-5F03-4025-ABD0-B3A3FA095A59}" = TOSHIBA SD-Speicherkarten-Formatierung
"{4A7F0806-FA7A-4D0A-82E1-93EFCD5CA164}" = NI Assistant Framework LabVIEW 8.6 Support
"{4CEBF8F6-40B4-4DC4-B508-F55256262591}" = NI LabVIEW 8.6 VI.lib
"{4D0918D4-1046-47B9-9A8E-53778E84C511}" = NI MXS
"{4F42CCF8-B3A7-41B9-9875-1083CB62BAFA}" = NI Variable Engine
"{50F88190-99D8-4BE3-9D96-B80C6A60A5D1}" = NI Portable Configuration
"{5107C9DC-43B2-4A84-9F3F-725C65108221}" = NI USI 1.5.1
"{51A6EDD9-CC43-4BF2-9210-4EBDF38C618A}" = NI MAX LabVIEW Support
"{52226E00-21A5-41A5-90BB-251064EC05E6}" = NI LabVIEW 8.6
"{5624C000-B109-11D4-9DB4-00E0290FCAC5}" = VPN Client
"{59939D1F-953D-4F78-8707-2DB5F9DCABED}" = NI-DAQmx - LabVIEW shared documentation
"{5D23734B-6D69-44DF-9014-C4F70FB82B1E}" = NI Measurement & Automation Explorer 4.5
"{61C9A5EF-19A6-439F-BD48-5340BC10E4EC}" = NI EULA Depot
"{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm
"{64DD71BC-3109-4C88-9AD3-D5422644B722}" = TOSHIBA Hotkey Utility
"{65134A38-8BA5-495D-A3DC-CE1DEDB92947}" = TomTom HOME
"{65F9B90C-F705-468C-8CD2-01C086F871E9}" = NI LabVIEW Deployable License 8.6
"{671A5B67-1A00-424A-A902-49BC020FB3D1}" = NI VC2005MSMs x86
"{6991DAF8-91DB-4EA4-8D80-04789C646B66}" = NI Logos XT Support
"{69BE47C2-36FE-4397-8199-85D8EAE69982}" = TOSHIBA TouchPad ON/Off Utility
"{6B32555C-002F-4DD2-9ADE-A9852697C0CE}" = NI LabVIEW 8.6 WWW
"{6EECB283-E65F-40EF-86D3-D51BF02A8D43}" = Microsoft Office Converter Pack
"{6F769B5E-17FE-45FC-B316-866869DD2E27}" = NI LabVIEW 8.6 Simulation
"{6F7D11DC-DE87-45C8-A37E-A35B724FC771}" = NI Help Assistant
"{6F7ECD56-E224-4263-9B7E-158E5CECC43B}" = HP Photo and Imaging 2.1 - Scanjet 2400 Series
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7472B5B4-3FB7-446F-BC78-6BBA506EC473}" = Opera 9.50
"{7557CD26-31B9-42AB-9263-B3C485AD201A}" = NI Distributed System Manager
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{78C68CB9-3DF5-44F3-AB9D-FA305C5EB85C}" = TOSHIBA Utilities
"{7E3668CB-1228-416E-B721-C2FA3247B985}" = NI LabVIEW Real-Time FIFO for Runtime
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{87F52851-470E-48D9-AE00-B8EE2D65BDC2}" = NI LabVIEW Merge Utility 8.6.0
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89952D0B-E075-45DE-BDD2-E3B4D18F6B4B}" = NI LabVIEW 8.6 Instr.lib
"{8A64016B-5822-44B4-82E0-65E052C8683F}" = NI LabVIEW Web Server
"{8B12BA86-ADAC-4BA6-B441-FFC591087252}" = TOSHIBA Virtual Sound
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{8D5BB34F-54A7-40D7-8712-F78ADC5336CB}" = NI LVBrokerAux 8.6.0
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90240409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Resource Kit
"{90991339-49DF-4CF4-9F7F-7251639D7E14}" = NI LabVIEW 8.6 iMath
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA
"{92DB805A-B12A-49C1-879A-65481E057791}" = NI Variable Engine LabVIEW 8.6 Support
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = Sonic RecordNow!
"{95A43AE5-C3E0-4BBC-B315-AA59E00E2100}" = NI LabVIEW 8.6 Menus
"{96FE1D79-A3B8-4F60-9FF9-3FC5E93C4678}" = NI LabVIEW 8.6 Project
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A3EABC0-CA06-11D4-BF77-00104B130C19}" = EPSON TWAIN 5
"{9B0CFC5C-99C3-4859-87EF-C7E56A531D78}" = NI Remote PXI Provider for MAX
"{9C7F62C5-03E8-409F-A7E4-F51E2AE15AD4}" = NI LabVIEW Web Server for Run-Time Engine
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9CED85C4-6316-45CD-8B92-3775C27D9466}" = NI MXS 4.5.0f0 for LabVIEW Real-Time
"{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A3370DAC-E7A9-4843-B84C-31EF654A5938}" = NI Example Finder 8.6
"{A4AAFE37-4DA2-4F38-9A50-6003F2494096}" = LabVIEW Web Services
"{A52BFE95-969C-4FEF-B455-BE0F6E9CF126}" = NI Service Locator
"{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls
"{A760668E-EA7B-421D-B770-4D071F87F82E}" = NI OPC Support
"{A82D8A98-7C9A-435C-9DD5-CC0901AB3F0B}" = NI License Manager
"{AC76BA86-1033-F400-7760-000000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A70500000002}" = Adobe Reader 7.0.5 - Deutsch
"{ACE8D32F-1365-4442-A956-9EC1719E79FF}" = NI Instrument IO Assistant for LabVIEW 8.6
"{B2A28DB4-3423-4BF6-A800-D9B1442A5C93}" = NI LabVIEW Web Services Runtime
"{B376402D-58EA-45EA-BD50-DD924EB67A70}" = HP Speicher-Disc
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6C16F2C-44DD-4D1E-99C0-455E74C735F5}" = NI LabVIEW 8.6 Deployment Framework
"{BC520820-FFB2-435B-9630-034569D100C8}" = NI Light Weight PSP Control Environment
"{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C190CB55-817E-4713-84F4-0BBB8961CED9}" = PerfectDisk
"{C4200803-B0DB-41AC-8573-B05498BF3842}" = NI Uninstaller
"{C45F4811-31D5-4786-801D-F79CD06EDD85}" = SD-Sicherheitsmodul
"{C96838F1-9093-447E-B8E7-42EC0D38F21D}" = NI LabVIEW 8.6 gMath
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{CFB0F311-C051-4760-A64A-12CA2609E91A}" = NI TDMS
"{CFF2AF40-7799-4BB8-AFF9-88FE6350A31C}" = NI DataSocket 4.6.0
"{D2EB6337-42E5-4D6E-B01F-2FF9E30F4A06}" = NI Web Pipeline
"{D671CF98-90F2-4079-8CE6-3B3A58EC0AB4}" = NI LabVIEW 8.6 Manuals
"{D7072064-FB4E-44B7-99C6-42E758CC1130}" = NI LabVIEW 8.6 Applibs
"{D9529709-28B0-4DA1-8749-8924C11AAFF2}" = NI Registration Wizard
"{DA735A4B-1FF3-46AC-BBEF-717927B6B3FC}" = NI LabVIEW 8.6 Help File
"{DB2C5648-700D-4AEF-83E1-70C72F0C34FA}" = NI Math Kernel Libraries
"{DE2D4A5E-DEC1-486C-9D15-4D3F24E44774}" = NI LabVIEW Real-Time NBFifo
"{DEC25D81-2317-47F6-8B26-D54A939DA1EE}" = NI LabVIEW C Interface
"{DEE88727-779B-47A9-ACEF-F87CA5F92A65}" = ScanSoft OmniPage SE 4
"{E4411034-0673-48D4-B1D7-CAACD176A492}" = NI Logos LabVIEW 8.6 Support
"{E4637ACC-37D1-47F5-911B-01C38D3E6399}" = NI-RPC 4.0.0f0 for Phar Lap ETS
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{EBB794ED-D282-4334-92FB-254481EFF514}" = Pro Evolution Soccer 6
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F30A86E1-6A82-4D9C-870F-7A81D999C405}" = NI Software Provider for MAX
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{F656DC79-013A-4683-8692-B938FC00B941}" = DkZ Studio
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"{FD3730F0-977F-47B7-8DD4-8E672CE4ED0C}" = NI LabVIEW Broker
"{FE159BC0-1D40-449B-A0AE-CB4F642CF3DC}" = NI-RPC 4.0.0f0
"Adobe Acrobat 7.0 Professional - EFG" = Adobe Acrobat 7.1.0 Professional
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP3500 series Benutzerregistrierung" = Canon iP3500 series Benutzerregistrierung
"Canon MP210 series Benutzerregistrierung" = Canon MP210 series Benutzerregistrierung
"CANONIJPLM100" = PIXMA Extended Survey Program
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CHIP Powertool_is1" = CHIP Powertool 1.3.3
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Free FLV Converter_is1" = Free FLV Converter V 6.32
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"HP-Color LaserJet 1600" = Color LaserJet 1600
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"InstallShield_{2A30052B-831C-41D3-8044-3C0388066350}" = Seagate Manager Installer
"InstallShield_{4497AFF6-98C4-4F49-B073-F48F42BCBF9E}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"InstallShield_{EBB794ED-D282-4334-92FB-254481EFF514}" = Pro Evolution Soccer 6
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 1.58
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.6)" = Mozilla Firefox (3.5.6)
"Mozilla Thunderbird (1.5)" = Mozilla Thunderbird (1.5)
"MSNINST" = MSN
"NI Uninstaller" = National Instruments-Software
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"nxclient_is1" = NX Client for Windows 3.3.0-6
"OpenVPN" = OpenVPN 2.1_rc13
"PC-Diagnose-Tool" = TOSHIBA PC-Diagnose-Tool
"Picasa2" = Picasa 2
"Power Saver" = TOSHIBA Power Saver
"ProInst" = Intel(R) PROSet/Wireless Software
"PROSet" = Intel(R) PRO Network Connections Drivers
"RollerCoaster Tycoon 3_is1" = RollerCoaster Tycoon 3
"Skype_is1" = Skype 3.1
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Titan Poker" = Titan Poker
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"TreeSize Free_is1" = TreeSize Free V2.3.1
"VLC media player" = VLC media player 0.9.9
"Winamp" = Winamp (remove only)
"Winamp 5.02 Deutsche Sprachdatei v14" = Deutsche Sprachdatei für Winamp 5.02 v14
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"xp-AntiSpy" = xp-AntiSpy 3.96-2

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 30.12.2009 06:15:04 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 30.12.2009 06:15:04 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 30.12.2009 11:03:32 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrobat.exe, Version 7.0.8.218, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0xc0000001.

Error - 31.12.2009 05:00:26 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24087c1e.

Error - 31.12.2009 05:00:26 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 31.12.2009 05:00:27 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 01.01.2010 10:21:20 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 01.01.2010 10:21:20 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

Error - 01.01.2010 10:21:20 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24087c1e.

Error - 01.01.2010 10:21:23 | Computer Name = KATJA_LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3622, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24017c1e.

[ System Events ]
Error - 02.01.2010 08:16:08 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:08 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:08 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:16:09 | Computer Name = KATJA_LAPTOP | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.01.2010 08:35:49 | Computer Name = KATJA_LAPTOP | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.


< End of report >

GMER läuft noch...
Seitenanfang Seitenende
02.01.2010, 15:22
Moderator
Themenstarter

Beiträge: 5694
#3

Zitat

Während GMER lief, habe ich einen Komplettabsturz mit Bluescreen gehabt:

PAGE_FAULT_IN_NONPAGED_AREA

verursacht von der Datei: ugtyapob.sys

shocking !
Seitenanfang Seitenende
02.01.2010, 15:28
Moderator
Themenstarter

Beiträge: 5694
#4 Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

Zitat

Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit
Seitenanfang Seitenende
02.01.2010, 15:56
Moderator
Themenstarter

Beiträge: 5694
#5 Bitte gehe zudem noch unter c:\windows\minidump und sende mir das letzte Log nach dem Absturz von GMER zu.
Seitenanfang Seitenende
02.01.2010, 16:01
Member

Beiträge: 17
#6 Vielen Dank für die Antwort.

Der Rechner gehört meiner Freundin. Die schreibt da gerade ihre Abschlussarbeit drauf. Daher würde ich gerne eine Bereinigung versuchen. Ich würde dann der Rechner neu aufsetzen, wenn sie mit der Arbeit fertig ist.
Wie siet das denn mit Datenbackups aus ? Wenn ich da jetzt ne externe Festplatte anschließe und Daten draufziehe, kann ich dann sicher sein, dass ich nicht das neu aufgesetzte System wieder infiziere, wenn ich die Daten zurückspiele ?
Der Grund ist, dass meine Freundin neulich ne Email vom Admin ihres Arbeitgebers bekommen hat:


Zitat

Liebe Kollegen,

leider musste ich gestern feststellen, dass sich
(höchstwahrscheinlich) ein überaus hartnäckiger und gemeiner Virus auf
meinem Netbook eingenistet hat. Da ich dieses fast ausschließlich an
der Schule benutze, ist es sehr wahrscheinlich, dass ich ihn auch am
LUG eingefangen habe, und zwar durch einen infizierten USB-Stick.

Daher ist die Wahrscheinlichkeit, dass auch einige von Ihnen diesen
Virus per USB-Stick eingefangen und damit auf Ihre Heim-PCs übertragen
habe, relativ groß. Woran erkennt man nun, dass der PC infiziert ist?

Zunächst einmal ? ich habe drei verschiedene Viren-Scanner
ausprobiert, keiner von ihnen hat einen Virus gemeldet. Das ist
allerdings bei dieser Art von Schadsoftware nicht ungewöhnlich, das
heißt allerdings auch, dass ich nicht zu 100 % sicher sein kann, dass
es sich um einen Virus handelt. Die Symptome sprechen aber stark dafür.

Um herauszufinden, ob Ihr PC befallen sind, starten Sie diesen bitte
und öffnen den Task-Manager (Strg ? Alt ? Entf.). Achten Sie bitte
darauf, dass Sie weder Mozilla Firefox noch Internet Explorer (die
beiden Standard-Programme fürs Surfen im Internet) geöffnet haben.
Überprüfen Sie nun im Task-Manager unter dem Karteireiter 'Prozesse',
ob Sie dort entweder den Prozess 'firefox.exe' oder iexplore.exe
finden. Falls Sie einen solchen Prozess finden, obwohl keins der
beiden Programme geöffnet ist, klicken Sie nun bitte mit der rechten
Maustaste auf diesen Prozess und wählen Sie 'Prozess beenden'.
Alternative wählen Sie den Prozess mit einem einfachen Links-Klick an
und klicken dann auf die Schaltfläche 'Prozess beenden'.

Der Prozess wird dann tatsächlich verschwinden. Wenn es sich aber um
den von mir vermuteten Virus handelt, dann wird innerhalb von 10 ? 20
Sekunden ein neuer Prozess gleichen Namens erscheinen, d.h. Die
Schadsoftware startet sich immer wieder von neuem. Wenn Sie dieses
Phänomen an Ihrem Rechner beobachten, haben Sie leider ein Problem.

Es handelt sich bei diesem Virus nämlich um einen Backdoor-Trojaner,
soll heißen, dass dieses Programm jede (!) Tastatur-Eingabe
mitschreibt und dann versucht, diese Informationen an eine bestimmte
Website zu schicken. Mit anderen Worten: der Hersteller dieses Virus
versucht, geheime Daten (Kreditkartennummern, Passwörter, Bankkonten
etc.) abzufangen und für kriminelle Machenschaften zu verwenden.

Leider ist dieser Virus-Typ sehr individuell und es existieren viele
verschiedene Versionen. Dadurch können ihn Virenscanner kaum erkennen.
Ich selbst habe drei verschiedene Virenscanner über meinen Rechner
laufen lassen, ohne dass diese Alarm geschlagen haben. Daher kann es
auch durchaus sein, dass ich die Symptome falsch deute und hier zu
Unrecht Alarm schlage. Aber in diesem Fall ist Vorsicht wohl wirklich
angebracht.

Falls Sie feststellen, dass Sie diesen (wahrscheinlichen) Virus auf
Ihrem Rechner haben, kann ich Ihnen nur raten, entweder professionelle
Hilfe zu suchen oder am besten Ihre Festplatte komplett neu zu
formatieren. Trotz mehrstündigen Versuchen war es mir nicht möglich,
den Virus zu entfernen ? ich habe ebenfalls den Weg der Formatierung
und Neu-Installation gewählt.

Für eine Beschreibung einer der Versionen dieses Virus siehe z.B.:

http://www.trojaner-board.de/43301-firefox-exe-startet-automatisch.html

Trotz allem frohe Weihnachten,
Vielen Dank für die Hilfe...
Seitenanfang Seitenende
02.01.2010, 16:10
Moderator
Themenstarter

Beiträge: 5694
#7 Schritt 1

ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in Combo-fix.exe und nicht nachher wenn CF schon auf dein Rechner steht





Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen

Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung

Schritt 2

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.
Seitenanfang Seitenende
02.01.2010, 16:45
Member

Beiträge: 17
#8 Hier das Combofix log file:

Code

ComboFix 10-01-01.05 - Katja 02.01.2010  16:36:44.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.414 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Katja\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\EventSystem.log
c:\windows\unins000.dat
c:\windows\unins000.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-02 bis 2010-01-02  ))))))))))))))))))))))))))))))
.

2010-01-02 12:23 . 2010-01-02 12:23    --------    d-----w-    c:\dokumente und einstellungen\Katja\Anwendungsdaten\Malwarebytes
2010-01-02 12:23 . 2009-12-30 13:55    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-02 12:23 . 2010-01-02 12:23    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-02 12:23 . 2010-01-02 12:23    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-01-02 12:23 . 2009-12-30 13:54    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-01-02 12:22 . 2010-01-02 12:22    --------    d-----w-    c:\programme\Java
2010-01-02 12:12 . 2010-01-02 12:13    --------    d-----w-    c:\dokumente und einstellungen\Katja\Anwendungsdaten\GetRight
2009-12-29 10:34 . 2009-12-29 10:34    --------    d-----w-    c:\programme\Microsoft CAPICOM 2.1.0.2
2009-12-27 11:45 . 2009-08-06 18:23    274288    ----a-w-    c:\windows\system32\mucltui.dll
2009-12-27 11:45 . 2009-08-06 18:23    215920    ----a-w-    c:\windows\system32\muweb.dll
2009-12-27 10:54 . 2006-10-26 18:56    33104    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2009-12-27 10:54 . 2006-10-26 18:56    32592    ----a-w-    c:\windows\system32\msonpmon.dll
2009-12-27 10:51 . 2009-12-27 10:51    --------    d-----w-    c:\programme\Microsoft Works
2009-12-27 10:50 . 2009-12-27 10:50    --------    d-----w-    c:\programme\Microsoft.NET
2009-12-27 10:43 . 2009-12-27 10:44    --------    d-----w-    c:\programme\Microsoft Visual Studio 8
2009-12-27 10:42 . 2009-12-27 10:42    --------    d-----w-    c:\dokumente und einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2009-12-27 10:42 . 2010-01-01 16:25    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-08 16:33 . 2009-12-08 16:33    33523    ----a-w-    c:\dokumente und einstellungen\Katja\Anwendungsdaten\SQLite3.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 13:44 . 2006-01-16 11:39    85732    ----a-w-    c:\windows\system32\perfc007.dat
2010-01-02 13:44 . 2006-01-16 11:39    462906    ----a-w-    c:\windows\system32\perfh007.dat
2010-01-02 13:36 . 2009-02-12 19:12    1    ----a-w-    c:\dokumente und einstellungen\Katja\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-02 12:22 . 2009-02-07 09:02    411368    ----a-w-    c:\windows\system32\deploytk.dll
2010-01-02 12:13 . 2009-03-02 14:03    --------    d-----w-    c:\programme\GetRight
2009-12-28 09:09 . 2006-09-17 12:39    73808    ----a-w-    c:\dokumente und einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 10:51 . 2009-08-15 09:36    --------    d-----w-    c:\programme\MSBuild
2009-12-23 13:36 . 2009-11-06 15:52    79488    ----a-w-    c:\dokumente und einstellungen\Katja\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-07 18:38 . 2009-03-20 08:02    56816    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2009-10-29 05:24 . 2006-01-16 11:39    672768    ----a-w-    c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2006-01-16 11:39    75776    ----a-w-    c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-01-16 11:39    25088    ----a-w-    c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00    265728    ----a-w-    c:\windows\system32\drivers\http.sys
2009-10-16 16:39 . 2009-02-14 18:08    53744    ----a-w-    c:\dokumente und einstellungen\Tim\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-13 10:32 . 2006-01-16 11:39    271360    ----a-w-    c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-01-16 11:39    79872    ----a-w-    c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2006-01-16 11:39    150528    ----a-w-    c:\windows\system32\rastls.dll
2007-02-08 08:48 . 2007-02-08 08:48    133920    ----a-w-    c:\programme\internet explorer\plugins\LV82ActiveXControl.dll
2008-06-25 20:51 . 2008-06-25 20:51    118784    ----a-w-    c:\programme\internet explorer\plugins\LV86ActiveXControl.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"msnmsgr"="c:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 15691264]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-16 73728]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"MaxMenuMgr"="c:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-09-25 185640]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-02 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

c:\dokumente und einstellungen\Tim\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Katja\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       PDBoot.exe\0autocheck autochk *

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_5 -reboot 1
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"MsnMsgr"="c:\programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"CFSServ.exe"=CFSServ.exe -NoClient
"NDSTray.exe"=NDSTray.exe
"Picasa Media Detector"=c:\programme\Picasa2\PicasaMediaDetector.exe
"AGRSMMSG"=AGRSMMSG.exe
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\HOMERunner.exe" -s
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" -quiet
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"DLA"=c:\windows\System32\DLA\DLACTRLW.EXE
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"Alcmtr"=ALCMTR.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\NX Client for Windows\\nxclient.exe"=
"c:\\Programme\\NX Client for Windows\\bin\\nxssh.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 09:02 108289]
R2 FreeAgentGoNext Service;Seagate Service;c:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [25.09.2009 22:32 189736]
R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [01.06.2006 20:06 241731]
S3 SVRPEDRV;SVRPEDRV;\??\c:\dokume~1\Katja\LOKALE~1\Temp\RarSFX0\S10VWF\PEDrv.sys --> c:\dokume~1\Katja\LOKALE~1\Temp\RarSFX0\S10VWF\PEDrv.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-01-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Katja\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPLV82Win32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\nplv86win32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 16:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1576)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-01-02  16:43:26
ComboFix-quarantined-files.txt  2010-01-02 15:43

Vor Suchlauf: 20 Verzeichnis(se), 14.792.146.944 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 15.279.505.408 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 432600495636409FB2BC907DC155FF92
Seitenanfang Seitenende
02.01.2010, 16:57
Member

Beiträge: 17
#9 Mit dem besagten USB-Stick hab ich so meine Probleme...
Seit einiger Zeit heißt er PENDRIVE obwohl wir ihn so nicht genannt haben. Ich habe ihn daraufhin schon komplett neu formatiert, seit einiger Zeit heißt er aber wieder so.
Wenn man ihn einsteckt, geht das Autorun Fenster auf und AntiVir springt sofort an (Bifrose, svchost.exe). Jetzt auf Ordner im Explorer öffnen zu klicken, ist die einzige Möglichkeit, auf den Stick zuzugreifen. Wenn man das Autorun Fenster schließt, kommt man nicht mehr auf den Stick. Im Arbeitsplatzt erscheint ein normales Ordnersysmbol statt dem Festplattensymbol.
Dieser Beitrag wurde am 02.01.2010 um 17:00 Uhr von Terence007 editiert.
Seitenanfang Seitenende
02.01.2010, 16:59
Member

Beiträge: 17
#10 Hier noch das rootrepeal log file:

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/01/02 16:48
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: catchme.sys
Image Path: C:\DOKUME~1\Katja\LOKALE~1\Temp\catchme.sys
Address: 0xF7866000    Size: 31744    File Visible: No    Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xED89D000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B24000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: PROCEXP113.SYS
Image Path: C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
Address: 0xF7B04000    Size: 7872    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF71DC000    Size: 49152    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\dokumente und einstellungen\katja\anwendungsdaten\mozilla\firefox\profiles\vm4abjf5.default\sessionstore.js
Status: Size mismatch (API: 2906, Raw: 2891)

SSDT
-------------------
#: 041    Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c95e0e

#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c95e04

#: 063    Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c95e13

#: 065    Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c95e1d

#: 098    Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c95e22

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c95df0

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c95df5

#: 193    Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c95e2c

#: 204    Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c95e27

#: 247    Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c95e18

#: 257    Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7c95dff

==EOF==
Vielen Dank nochmal !!
Seitenanfang Seitenende
02.01.2010, 17:27
Moderator
Themenstarter

Beiträge: 5694
#11 Ja der Stick ist das grosse Poblem.

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

• Trenne den Rechner physikalisch vom Netz.
• Deaktiviere den Hintergrundwächter deines AVP.
• Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
• Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
• Wenn der Scan zuende ist, kannst du das Programm schließen.
• Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.
Seitenanfang Seitenende
02.01.2010, 17:56
Member

Beiträge: 17
#12 So, hab FlashDisinfector ausgeführt.
Jetzt heisst der Stick wieder so, wie er heißen sollte und man kann ihn auch wieder öffnen.
Gibt es noch weitere Schritte für mich zu tun ?

Übrigens springt Avira schon beim Download von FlashDisinfektor an !

Danke nochmal ! Grüße
Terence007
Seitenanfang Seitenende
03.01.2010, 03:54
Moderator
Themenstarter

Beiträge: 5694
#13 Darum diese Satz in der Anleitung:

Zitat

• Deaktiviere den Hintergrundwächter deines AVP.
>>>
Download Cureit! von Dr.WEB zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick drweb-cureit.exe und erlaube um den expres scan zu starten
Dies ist ein kurzer scan.
Wenn etwas gefunden wird waehle “Verschieben

Klicke Optionen>Einstellungen aendern > entferne bei “Ueberpruefen”das haeckchen bei “Heuristische Analyse
Klicke Reiter “Aktionen”und aendere bei Malware:
Adware auf Verschieben
Dialer auf Verschieben
Scherz auf Bericht
Riskware auf Bericht
Hacktools auf Verschieben
Entferne das haeckchen bei “Bestaetigung anfordern” klick OK

Im Hauptfenster reiter Ueberpruefung>"Benutzer definiert" anklicken und waehle die zu scannende Drives
Klick danach den gruenen Pfeil um der scan zu starten
Am Ende klicke Datei>Pruefbericht speichern
Das log auf den Desktop aufheben

Starte neu in normal Modus!
Poste nachher den log(Dokumente\DrWeb\CSV) von Dr.Web Cureit
in dein folgender Bericht zusammen mit ein log von HijackThis.
Die Reporte von Cureit findet man standardmaessig in folgenden Ordner
%userprofile%\doctorweb\cureit.log
(einfach in Start/Ausführen eingeben und Enter druecken)
Seitenanfang Seitenende
03.01.2010, 11:57
Member

Beiträge: 17
#14

Zitat

Darum diese Satz in der Anleitung:
Klar, aber in deiner Anleitung steht der Satz "Deaktiviere deinen Hintergrundwächter" erst nach "Lade dir FlashDisinfector" herunter. Sollte aber davor stehen :-)
Egal. Vielen, vielen Dank für die Hilfe.
Dr. Web läuft gerade auf dem Rechner. Werde die logs gleich hier posten.

Grüße
Terence007
Seitenanfang Seitenende
03.01.2010, 20:36
Member

Beiträge: 17
#15 so endlich fertig:

hier das cureit csv log file:

Code

4a6154dd.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a6154dd.qua;Tool.ProcessKill.18;;
4a6154dd.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4a78fa83.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a78fa83.qua;Trojan.DownLoad.52276;;
4a78fa83.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4a7b251b.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a7b251b.qua;Tool.ProcessKill.18;;
4a7b251b.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4a7d14be.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a7d14be.qua;Trojan.DownLoad.52276;;
4a7d14be.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
4b6f79c7.qua/data001/data002\nircmd.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b6f79c7.qua/data001/data002;Tool.NirCmd.1;;
data002;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Archiv enthält infizierte Objekte;;
data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;;
4b6f79c7.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;
zonealarm8en.exe/Z4BARSPINSTALL.EXE/data001\data001;C:\Dokumente und Einstellungen\Katja\Eigene Dateien\Downloads\zonealarm8en.exe/Z4BARSPINSTALL.EXE/data001;Adware.MyWebSearch.22;;
data001;C:\Dokumente und Einstellungen\Katja\Eigene Dateien\Downloads;Container enthält infizierte Objekte;;
Z4BARSPINSTALL.EXE;C:\Dokumente und Einstellungen\Katja\Eigene Dateien\Downloads;Container enthält infizierte Objekte;;
zonealarm8en.exe;C:\Dokumente und Einstellungen\Katja\Eigene Dateien\Downloads;Archiv enthält infizierte Objekte;Verschoben.;
DF9A30BCd01/data002\nircmd.exe;C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\Cache\DF9A3;Tool.NirCmd.1;;
data002;C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\Cache;Archiv enthält infizierte Objekte;;
DF9A30BCd01;C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vm4abjf5.default\Cache;Container enthält infizierte Objekte;Verschoben.;
Setup632_FreeFlvConverter.exe/data002\{app}\FreeFLVConverter.exe;C:\Dokumente und Einstellungen\Tim\Eigene Dateien\Setup632_FreeFlvConverter.exe/data002;Trojan.DownLoad.52276;;
data002;C:\Dokumente und Einstellungen\Tim\Eigene Dateien;Archiv enthält infizierte Objekte;;
Setup632_FreeFlvConverter.exe;C:\Dokumente und Einstellungen\Tim\Eigene Dateien;Container enthält infizierte Objekte;Verschoben.;
A0054659.exe/data002\nircmd.exe;C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP374\A0054659.exe/data002;Tool.NirCmd.1;;
data002;C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP374;Archiv enthält infizierte Objekte;;
A0054659.exe;C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP374;Container enthält infizierte Objekte;Verschoben.;


Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: