Virus gefunden, breitet sich aus

#16 Schritt 3: Fixen mit OTL

Code

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\PowerBar deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\SchedulingAgent deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{207da08d-7256-11df-9759-000fea30de59}\ not found.
File E:\yqq8eqil.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{207da08d-7256-11df-9759-000fea30de59}\ not found.
File E:\yqq8eqil.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2eff3762-4171-11de-96a9-000fea30de59}\ not found.
E:\upx.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2eff3762-4171-11de-96a9-000fea30de59}\ not found.
File E:\upx.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{307e3c9c-de30-11db-950f-000fea30de59}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{307e3c9c-de30-11db-950f-000fea30de59}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{307e3c9c-de30-11db-950f-000fea30de59}\ not found.
File E:\preinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47af9652-f068-11dd-966b-000fea30de59}\ not found.
E:\a2h2.com moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47af9652-f068-11dd-966b-000fea30de59}\ not found.
File E:\a2h2.com not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62c57b86-c22f-11dd-963d-000fea30de59}\ not found.
File E:\09lf.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62c57b86-c22f-11dd-963d-000fea30de59}\ not found.
File E:\09lf.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fefebd34-8173-11dd-9622-000fea30de59}\ not found.
E:\rpw.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fefebd34-8173-11dd-9622-000fea30de59}\ not found.
File E:\rpw.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Beate
->Temp folder emptied: 1008427480 bytes
->Temporary Internet Files folder emptied: 55252098 bytes
->Java cache emptied: 662377 bytes
->Flash cache emptied: 2625 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 42016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28979514 bytes
RecycleBin emptied: 32689415 bytes
 
Total Files Cleaned = 1.076,00 mb
 
Error: Unable to interpret <Quelle: http://board.protecus.de/t39917.htm#ixzz0skeiNxG5> in the current context!
 
OTL by OldTimer - Version 3.2.7.0 log created on 07042010_233136

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Schritt 4 SystemLook

Code

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 23:39 on 04/07/2010 by Beate (Administrator - Elevation successful)

========== filefind ==========

Searching for "mblxx"
No files found.

========== regfind ==========

Searching for "mblxx"
No data found.

-=End Of File=-

Schritt 5 Rootrepeal

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/07/04 23:45
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB0838000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF89F2000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF7C81000    Size: 49152    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\ApplicationBackgrounds.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\ApplicationBackgrounds.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\ICSharpCode.SharpZipLib.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\ICSharpCode.SharpZipLib.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\IDAutomation.NetAssembly.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\IDAutomation.NetAssembly.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\NMSDVDNET.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\NMSDVDNET.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Uploader.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Uploader.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.exe.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.exe.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.cdf-ms
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.manifest
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Apps\2.0\H5BQ6EDA.ZKK\99L7XBAP.QEN\manifests\Ringfoto Fotobuch.cdf-ms
Status: Locked to the Windows API!

Path: c:\dokumente und einstellungen\beate\lokale einstellungen\apps\2.0\h5bq6eda.zkk\99l7xbap.qen\ring..tion_d6de0416136dde67_0001.0000_469997d770739532\my project\application.myapp
Status: Allocation size mismatch (API: 4096, Raw: 472)

==EOF==

Schritt 6: Erneuter OTL Scan

Code

OTL logfile created on: 04.07.2010 23:56:54 - Run 2
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Beate\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 215,00 Mb Available Physical Memory | 42,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 65,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 22,44 Gb Free Space | 30,12% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,61 Gb Free Space | 95,65% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC01
Current User Name: Beate
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation)
PRC - C:\Programme\Secunia\PSI\psi.exe (Secunia)
PRC - c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe (NewSoft Technology Corporation)
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe (Adobe Systems Incorporated)
PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
PRC - C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
PRC - C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (Sony Corporation)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (MpFilter) -- C:\WINDOWS\system32\drivers\MpFilter.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (AVMUNET) -- C:\WINDOWS\system32\drivers\avmunet.sys (AVM GmbH)
DRV - (hcw88rc5) -- C:\WINDOWS\system32\drivers\HCW88rc5.sys (Hauppauge Computer Works, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yukonwxp.sys (Marvell Semiconductor Inc.)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems)
DRV - (HSFHWBS2) -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys (Conexant Systems)
DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box
 
 
 
O1 HOSTS File: ([2010.07.02 19:43:02 | 000,000,874 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSSE] c:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe (NewSoft Technology Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (Sony Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe (Secunia)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 36
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF FF  [binary data]
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 (•  in Local intranet)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1278104228890 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.12.15 15:21:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.07.04 23:07:58 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.07.04 23:08:00 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.07.04 23:43:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Desktop\RootRepeal
[2010.07.04 23:31:36 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.07.04 23:07:58 | 000,000,000 | RHSD | C] -- C:\autorun.inf
[2010.07.04 23:06:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[2010.07.03 13:10:55 | 000,574,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe
[2010.07.03 12:16:52 | 033,850,672 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\QuickTimeInstaller.exe
[2010.07.03 12:15:42 | 000,000,000 | ---D | C] -- C:\e2028d57c117c1249c9b29
[2010.07.03 12:09:13 | 000,231,888 | ---- | C] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\uninstall_flash_player.exe
[2010.07.03 09:17:43 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2010.07.03 09:17:43 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2010.07.03 00:27:58 | 005,929,368 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Beate\Desktop\office2003-KB969603-FullFile-ENU.exe
[2010.07.02 23:36:28 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2010.07.02 22:32:37 | 000,000,000 | ---D | C] -- C:\Programme\Secunia
[2010.07.02 22:32:13 | 000,734,168 | ---- | C] (Secunia) -- C:\Dokumente und Einstellungen\Beate\Desktop\PSISetup.exe
[2010.07.02 21:33:40 | 009,293,120 | ---- | C] (Mozilla) -- C:\Dokumente und Einstellungen\Beate\Desktop\Thunderbird Setup 3.1.exe
[2010.07.02 21:27:40 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.02 21:27:40 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.02 21:27:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.02 21:27:40 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.02 21:27:39 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.02 21:26:49 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.07.02 20:22:20 | 000,221,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2010.07.02 20:20:03 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Essentials
[2010.07.02 20:17:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.07.02 20:17:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.07.02 19:58:21 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\PrivacIE
[2010.07.02 19:58:19 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\IECompatCache
[2010.07.02 19:56:57 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\IETldCache
[2010.07.02 19:51:12 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.07.02 19:51:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.07.02 19:47:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.07.02 19:38:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2010.07.02 19:16:56 | 000,285,696 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\dllcache\atmfd.dll
[2010.07.02 19:13:59 | 000,100,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\6to4svc.dll
[2010.07.02 19:12:07 | 000,465,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\smtpsvc.dll
[2010.07.02 19:08:17 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wintrust.dll
[2010.07.02 19:07:16 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.07.02 19:06:16 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msyuv.dll
[2010.07.02 19:04:22 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\csrsrv.dll
[2010.07.02 19:03:28 | 000,474,624 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shlwapi.dll
[2010.07.02 19:02:30 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\t2embed.dll
[2010.07.02 19:02:30 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fontsub.dll
[2010.07.02 19:01:37 | 000,150,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rastls.dll
[2010.07.02 19:01:37 | 000,079,872 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\raschap.dll
[2010.07.02 18:59:37 | 001,441,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\query.dll
[2010.07.02 18:58:47 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msasn1.dll
[2010.07.02 18:53:04 | 000,078,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\telnet.exe
[2010.07.02 18:52:15 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wkssvc.dll
[2010.07.02 18:50:39 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\atl.dll
[2010.07.02 18:46:45 | 000,104,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\win32spl.dll
[2010.07.02 18:46:45 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msw3prt.dll
[2010.07.02 18:45:30 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.07.02 18:44:46 | 000,613,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpmde.dll
[2010.07.02 18:44:46 | 000,130,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpps.dll
[2010.07.02 18:44:41 | 000,295,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpeffects.dll
[2010.07.02 18:43:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\umdf
[2010.07.02 18:42:59 | 000,017,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wpdshextautoplay.exe
[2010.07.02 18:42:58 | 000,671,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\umdf\wpdmtpdr.dll
[2010.07.02 18:42:57 | 001,574,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVENCOD.dll
[2010.07.02 18:42:57 | 001,382,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVSDECD.dll
[2010.07.02 18:42:57 | 000,767,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVSENCD.dll
[2010.07.02 18:42:57 | 000,656,896 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVXENCD.dll
[2010.07.02 18:42:56 | 001,543,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVDECOD.dll
[2010.07.02 18:42:51 | 000,535,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmdrmsdk.dll
[2010.07.02 18:42:49 | 000,284,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceApi.dll
[2010.07.02 18:42:49 | 000,199,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceWMDRM.dll
[2010.07.02 18:42:49 | 000,166,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceTypes.dll
[2010.07.02 18:42:49 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceWiaCompat.dll
[2010.07.02 18:42:49 | 000,101,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceClassExtension.dll
[2010.07.02 18:42:48 | 000,317,440 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MP4SDECD.dll
[2010.07.02 18:42:48 | 000,259,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MPG4DECD.dll
[2010.07.02 18:42:48 | 000,259,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MP43DECD.dll
[2010.07.02 18:42:48 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drmupgds.exe
[2010.07.02 18:42:48 | 000,212,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MFPLAT.dll
[2010.07.02 18:42:48 | 000,043,008 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wpdshextres.dll
[2010.07.02 18:31:41 | 000,000,000 | ---D | C] -- C:\8f773817ae6e08ed81374d7fec019e32
[2010.07.02 14:45:16 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\HJT.exe
[2010.07.02 13:13:29 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2010.07.02 13:09:28 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.07.02 13:09:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.07.02 13:04:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.07.02 13:01:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Malwarebytes
[2010.07.02 13:01:46 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.02 13:01:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.01 18:53:28 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mouhid.sys
[2010.07.01 18:53:22 | 000,010,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidusb.sys
[2010.06.07 19:00:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Eigene Dateien\English
[2004.12.15 16:09:44 | 000,135,168 | R--- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.07.04 23:43:19 | 000,465,298 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Desktop\RootRepeal.rar
[2010.07.04 23:39:28 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.07.04 23:38:18 | 000,100,908 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Desktop\SystemLook.exe
[2010.07.04 23:35:00 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.04 23:34:09 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.04 23:34:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.04 23:34:04 | 536,403,968 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.04 23:33:08 | 003,932,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\Beate\NTUSER.DAT
[2010.07.04 23:33:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Beate\ntuser.ini
[2010.07.04 23:05:49 | 000,132,597 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Desktop\Flash_Disinfector.exe
[2010.07.04 03:22:00 | 001,024,280 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.04 03:22:00 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.04 03:22:00 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.04 03:22:00 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.04 03:22:00 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.03 13:11:02 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe
[2010.07.03 13:08:37 | 000,019,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.07.03 13:06:23 | 000,118,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.07.03 12:17:02 | 033,850,672 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\QuickTimeInstaller.exe
[2010.07.03 12:09:14 | 000,231,888 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\uninstall_flash_player.exe
[2010.07.03 00:30:26 | 005,929,368 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Beate\Desktop\office2003-KB969603-FullFile-ENU.exe
[2010.07.02 23:49:17 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.02 22:32:55 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.07.02 22:32:23 | 000,734,168 | ---- | M] (Secunia) -- C:\Dokumente und Einstellungen\Beate\Desktop\PSISetup.exe
[2010.07.02 21:33:38 | 009,293,120 | ---- | M] (Mozilla) -- C:\Dokumente und Einstellungen\Beate\Desktop\Thunderbird Setup 3.1.exe
[2010.07.02 21:26:53 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.02 21:26:53 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.02 21:26:53 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.02 21:26:53 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.02 21:26:53 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.02 21:02:21 | 000,001,715 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.07.02 20:20:04 | 000,000,804 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Security Essentials.lnk
[2010.07.02 19:43:02 | 000,000,874 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.02 18:45:54 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.07.02 18:45:53 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.07.02 18:45:47 | 000,000,944 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.02 14:45:17 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\HJT.exe
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.07.04 23:43:17 | 000,465,298 | ---- | C] () -- C:\Dokumente und Einstellungen\Beate\Desktop\RootRepeal.rar
[2010.07.04 23:38:16 | 000,100,908 | ---- | C] () -- C:\Dokumente und Einstellungen\Beate\Desktop\SystemLook.exe
[2010.07.04 14:25:43 | 000,132,597 | ---- | C] () -- C:\Dokumente und Einstellungen\Beate\Desktop\Flash_Disinfector.exe
[2010.07.02 22:32:55 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.07.02 20:25:41 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.07.02 20:20:04 | 000,000,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Security Essentials.lnk
[2010.07.02 20:05:55 | 000,001,715 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2009.04.11 08:26:17 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2007.02.04 18:08:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcf.INI
[2007.01.30 07:03:40 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.01.07 19:56:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.12.12 18:24:42 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.11.19 14:57:35 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll
[2006.05.13 14:01:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcfriend.INI
[2005.07.16 20:43:57 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005.01.17 16:08:46 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\HCWxds.dll
[2004.12.26 21:46:24 | 000,000,211 | ---- | C] () -- C:\WINDOWS\uno.ini
[2004.12.26 21:46:18 | 000,287,744 | ---- | C] () -- C:\WINDOWS\uno364mi.dll
[2004.12.26 21:46:18 | 000,109,568 | ---- | C] () -- C:\WINDOWS\vos364mi.dll
[2004.12.26 21:46:18 | 000,091,648 | ---- | C] () -- C:\WINDOWS\osl364mi.dll
[2004.12.26 19:30:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2004.12.22 23:34:34 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2004.12.15 16:20:06 | 000,026,832 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2004.12.15 16:20:01 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2004.12.15 16:17:34 | 000,001,840 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2004.12.15 16:17:25 | 000,001,946 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2004.12.15 15:51:36 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.08.03 15:35:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[1998.10.11 00:07:38 | 000,088,576 | ---- | C] () -- C:\WINDOWS\System32\Iticheck.dll
< End of report >

Code

OTL Extras logfile created on: 04.07.2010 23:56:54 - Run 2
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Beate\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 215,00 Mb Available Physical Memory | 42,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 65,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 22,44 Gb Free Space | 30,12% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 3,77 Gb Total Space | 3,61 Gb Free Space | 95,65% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC01
Current User Name: Beate
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)
"C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update -- (AVM Berlin)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0B69DA57-BC7D-461D-B7D6-2AA9F08869CD}" = QuickTime
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0DC86BEC-5CE3-413A-BB61-C40A3D186B24}" = Scan
"{14BEB6DF-A499-4A38-8E06-E173BCD5C087}" = ScannerCopy
"{17293791-C82E-476C-9997-9A0FF234A19B}" = HP Product Assistant
"{181821B7-82AA-44DA-9DAF-EF254CCB670A}" = Fax
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1AD5F465-8282-4DAD-B957-E09C0B783D18}" = InstantShare
"{1B680FBA-E317-4E93-AF43-3B59798A4BE0}" = Copy
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Multimedia Launcher
"{20FBC0A0-3160-4F14-83ED-3A74BB6B8C31}" = TrayApp
"{25569723-DC5A-4467-A639-79535BF01B71}" = Adobe Help Center 2.1
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{272EC8BA-5A08-4ea1-A189-684466A06B02}" = cp_dwShrek2Albums1
"{2C9241DC-E141-4BB9-99F2-0BC54D81862F}" = Smart Start UP
"{2E8428AD-6CD2-4031-916A-3CF9BBF2DEC9}" = Unload
"{342C7C88-D335-4bc2-8CF1-281857629CE2}" = HP PSC & OfficeJet 4.7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3762DB2D-71BD-421F-9E55-C74DA7DF4D07}" = CueTour
"{391E18CE-7D3B-45E9-A8F0-34E77F14F47A}" = ProductContext
"{3947442A-1409-45fc-A885-FB1CF937675D}" = 1400
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HydraVision
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{442BE28B-782B-4DC0-B490-E70A403B1C69}" = Readme
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}" = Sony USB Driver
"{5E8D588F-307C-4250-B622-26969027319A}" = PanoStandAlone
"{644D04A2-C682-4FD5-977D-03B804C4B9C5}" = CreativeProjects
"{646A65DD-23FC-418E-B9F0-E0500FB42CB1}" = PhotoGallery
"{64FC0C98-B035-4530-B15D-3D30610B6DF1}" = HP Software Update
"{655CB07D-C944-40BE-B93F-55957CAC7625}" = AiO_Scan
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{68963635-14A4-48D9-B431-DF3A74D1AAE1}" = Destinations
"{700A6597-3CE6-49C1-AA75-846B24CDA66D}" = BufferChm
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{724517BD-1DE1-4986-BFCA-C1DFD379E3BC}" = cp_dwShrek2Cards1
"{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}" = Windows Messenger 5.1
"{7AD25C9F-9957-4D1C-95EF-9BCD09F6D31B}" = HPSystemDiagnostics
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0
"{84CDF5A8-1D57-4B69-BAB6-1F11D8923375}" = SkinsHP1
"{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack
"{85CFD253-38AE-4DB1-ACB7-F0F4C791990D}" = AiOSoftware
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8BC3B99B-A6BE-4A0B-8535-B1B94BA4B1B1}" = DocProc
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A07BAED2-DA9A-436A-83F1-80BA23FA9E4B}" = 1400_Help
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5B9D22C-755A-4AC6-9904-875E80838BB6}" = CP_AtenaShokunin1Config
"{A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}" = Adobe Photoshop Elements 5.0
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B911B811-BA3E-46D4-90F8-6F3338359651}" = Director
"{B97CF5C3-0487-11D8-A36E-0050BAE317E1}" = DVD Solution
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BD29EBAC-AD7D-4b27-B727-4CC6AC52D36B}" = MarketResearch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CAF7A270-55D5-455F-B0D1-6C51EADC1C3A}" = Presto! Mr. Photo 4
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CDFCF124-115F-4976-8BF4-08C89187A146}" = WebReg
"{CE0C8CC5-E396-442B-A50E-D1D374A9E820}" = DocumentViewer
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5068583-D569-468B-9755-5FBF5848F46F}" = Sony Picture Utility
"{DE66E6E1-BFBC-4586-A03C-686598F4CA3C}" = 1400Trb
"{E62A1F01-07B7-4541-A835-EE5B0BF064C2}" = Microsoft Antimalware
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EF98A02A-1748-4762-9B7D-5ED1600520D5}" = Microsoft Security Essentials
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FC22D020-3005-4715-8DF9-F3EDE81DEB3D}" = CreativeProjectsTemplates
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Photoshop Elements 5" = Adobe Photoshop Elements 5.0
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AVMFBox" = FRITZ!Box
"DivX Content Uploader" = DivX Content Uploader
"Enable S3 for USB Device" = Enable S3 for USB Device
"FRITZ!DSL" = AVM FRITZ!DSL
"Hauppauge German Help Files and Resources" = Hauppauge German Help Files and Resources
"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote
"Hauppauge WinTV Radio" = Hauppauge WinTV Radio
"Hauppauge WinTV Scheduler" = Hauppauge WinTV Scheduler
"Hauppauge WinTV Soft PVR" = Hauppauge WinTV Soft PVR
"Hauppauge WinTV Source Selector" = Hauppauge WinTV Source Selector
"Hauppauge WinTV2000" = Hauppauge WinTV2000
"HP Photo & Imaging" = HP Image Zone 4.7
"HPExtendedCapabilities" = HP Extended Capabilities 4.7
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{0B69DA57-BC7D-461D-B7D6-2AA9F08869CD}" = QuickTime
"InterActual Player" = InterActual Player
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Essentials" = Microsoft Security Essentials
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PCFriendly" = PCFriendly
"Secunia PSI" = Secunia PSI
"T-Online Copas" = T-Online Copas
"T-Online Direktanwahl" = T-Online Direktanwahl
"T-Online Fotoservice" = T-Online Fotoservice
"VTPlus32 für WinTV (German)" = VTPlus32 für WinTV (German)
"WIC" = Windows Imaging Component
"Windows Media Connect" = Windows Media Connect
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"adde9a7ab843099f" = ringfoto Fotobuch
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 02.07.2010 14:13:47 | Computer Name = PC01 | Source = MSSecurityEssentials | ID = 5000
Description = 
 
Error - 02.07.2010 14:14:06 | Computer Name = PC01 | Source = MSSecurityEssentials | ID = 5000
Description = 
 
Error - 02.07.2010 14:17:00 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:01 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 14:17:03 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
 weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
 bevor Sie mit dieser Installation fortfahren können.
 
Error - 02.07.2010 18:27:29 | Computer Name = PC01 | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 microsoft antimalware (bcf43643-a118-4432-aede-d861fcbcfcde),
 P2 2.1.6805.0, P3 timeout, P4 1.1.5902.0, P5 local, P6 unspecified, P7 unspecified,
 P8 NIL, P9 NIL, P10 NIL.
 
[ System Events ]
Error - 03.07.2010 21:15:42 | Computer Name = PC01 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80246007 fehlgeschlagen: Microsoft .NET Framework2.0 Service Pack2-Update
 für Windows Server2003 und WindowsXP x86 (KB976576)
 
Error - 04.07.2010 17:11:44 | Computer Name = PC01 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst AVM
 IGD CTRL Service.
 
Error - 04.07.2010 17:11:44 | Computer Name = PC01 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AVM IGD CTRL Service" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 04.07.2010 17:31:36 | Computer Name = PC01 | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 04.07.2010 17:31:36 | Computer Name = PC01 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet.
 Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000
 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 04.07.2010 17:31:37 | Computer Name = PC01 | Source = Service Control Manager | ID = 7034
Description = Dienst "AVM IGD CTRL Service" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 04.07.2010 17:31:37 | Computer Name = PC01 | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 04.07.2010 17:31:37 | Computer Name = PC01 | Source = Service Control Manager | ID = 7034
Description = Dienst "Adobe Active File Monitor V5" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
 
< End of report >

#17 Hast du mich und den PC schon aufgegeben?

#18 Ich aufgeben
Sicher nicht. Sorry für die Wartezeit.

Bitte schildere mir wie das System zur Zeit läuft. besser, schlechter?

#19

Zitat

Swisstreasure postete
Ich aufgeben
Sicher nicht. Sorry für die Wartezeit.

Bitte schildere mir wie das System zur Zeit läuft. besser, schlechter?

Ok, mach ich heute Abend, werde so um 18:00 Uhr wieder da sein! Seit den Schritten hatte ich noch nicht viel getestet.

Probleme waren, dass er etwas langsam ist (was aber wohl für das Alter wahrscheinlich normal ist) und dass er öfter 100% CPU-Last in einigen Prozessen hatte, ohne dass man erkennen könnte warum. Das fing glaub ich mit der Installation von MS Security Essentials an. Da muss ich testen, ob es noch so ist.

Muss ich mit dem USB-Stick noch was machen? Ich würde glaub ich den Ordner, wo nur Bilder drin sind, runter kopieren und ihn dann formatieren.

#20 Meinst Du nun das System oder den Stick formatieren?

#21

Zitat

Swisstreasure postete
Meinst Du nun das System oder den Stick formatieren?

Den Stick! Das System kann hoffentlich gerettet werden. Ich melde mich heute Abend wieder, wie es läuft. Würdest du sagen, dass nun eigentlich alles in Ordnung sein müsste? Hast du auch so ein Spendenkonto, wo man dir ein bisschen was für deine Hilfe geben kann? Die Sabina, die mir hier früher auch mal geholfen hat, hatte sowas.

#22 Also beim Stick kannst Du das sichern was du brauchst. Aber NUR dateien die nicht ausführbar sind. Also keine Programme oder so.

Schritt 1

Tool-Bereinigung mit OTL


• Doppelklick auf OTL.exe, um das Programm auszuführen.
• Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
• OTL fragt nach einem Neustart, lasse das bitte zu.


Nach dem Neustart werden OTL selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.


Schritt 2

C.Cleaner installieren und einstellen

• C.Cleaner ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista geeignet ist.
• C.Cleaner löscht unnötige Dateien und säubert die Registrierung.
• (Cleaner Slim ohne Toolbar) herunterladen und installieren.
• C.Cleaner starten und => unter options settings => german einstellen.
• Gehe auf den Button links oben "Cleaner" => Reiter "Windows"
setze Häkchen wie folgt:
alle außer "Eingabefeld Verlauf" und bei
Erweitert nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner".
• Wechsel zum Reiter "Anwendungen",
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".


Schritt 3

Registry mit C.Cleaner bereinigen

Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden.


Schritt 4

Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast, muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine einfache Möglichkeit, diese Software Updates zu überwachen, bietet der Secunia Inspektor.

#23 OK, die Schritte führe ich dann später durch. Zur Zeit defragmentiere ich grade, wobei ich nicht glaube, dass der Rechner dadurch wirklich schneller wird. Und ich habe nun MS Security Essentials durch Antivir ersetzt, weil er mit MS SE immer wieder so hohe CPU-Last hatte.

Secunia hatte ich schon installiert und habe das meiste an alter Software habe ich nun deinstalliert oder aktualisiert.

Ich muss nochmal zu meiner Verteidigung sagen, dass es nicht mein Rechner ist, sondern der einer Bekannten, die mich um Hilfe bat.

#24 Kein Problem Melde Dich falls es noch Probleme gibt. Im Anschluss noch einige tips:

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung.Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende

#25 Während des Scans von Spybot hat Antivir auf eine EXE direkt auf C: hingewiesen, wo wieder Malware gefunden wurde. Keine Ahnung, wie die da nun wieder hinkommt, dachte die waren zwischenzeitlich schon alle weg.

Ansonsten läuft der PC lahm, was aber wohl eher der alten Hardware und dem Alter der XP-Installation zuzuschreiben ist. Ich sag nachher nochmal, was Antivir angemahnt hat. Nach den Scans mit Spybot und Antivir.

#26 Ok Poste mir die Logs.

#27

Zitat

Swisstreasure postete
Ok Poste mir die Logs.

Spybot hat nur 2 verfolgende Cookies gefunden, Doubleclick und noch so nen ähnlichen. Ich melde mich gleich mit dem Antivir-Log nochmal!

#28 So, hier ist da Log des vollständigen Systemchecks, das sieht gut aus. Dahinter hab ich das von eben angehängt, wo er nochmal eine infizierte EXE direkt auf C: gefunden hatte, warum auch immer.

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 6. Juli 2010  23:00

Es wird nach 2300671 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Beate
Computername   : PC01

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:59:35
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 16:59:41
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 16:59:42
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 16:59:42
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 16:59:42
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 16:59:42
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 16:59:42
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 16:59:42
VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 16:59:42
VBASE014.VDF   : 7.10.8.69     138752 Bytes  14.06.2010 16:59:43
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 16:59:43
VBASE016.VDF   : 7.10.8.135    152064 Bytes  21.06.2010 16:59:44
VBASE017.VDF   : 7.10.8.163    432128 Bytes  23.06.2010 16:59:45
VBASE018.VDF   : 7.10.8.194    133632 Bytes  27.06.2010 16:59:45
VBASE019.VDF   : 7.10.8.220    134656 Bytes  29.06.2010 16:59:45
VBASE020.VDF   : 7.10.8.252    171520 Bytes  04.07.2010 16:59:46
VBASE021.VDF   : 7.10.8.253      2048 Bytes  04.07.2010 16:59:46
VBASE022.VDF   : 7.10.8.254      2048 Bytes  04.07.2010 16:59:46
VBASE023.VDF   : 7.10.8.255      2048 Bytes  04.07.2010 16:59:46
VBASE024.VDF   : 7.10.9.0        2048 Bytes  04.07.2010 16:59:46
VBASE025.VDF   : 7.10.9.1        2048 Bytes  04.07.2010 16:59:46
VBASE026.VDF   : 7.10.9.2        2048 Bytes  04.07.2010 16:59:46
VBASE027.VDF   : 7.10.9.3        2048 Bytes  04.07.2010 16:59:46
VBASE028.VDF   : 7.10.9.4        2048 Bytes  04.07.2010 16:59:46
VBASE029.VDF   : 7.10.9.5        2048 Bytes  04.07.2010 16:59:46
VBASE030.VDF   : 7.10.9.6        2048 Bytes  04.07.2010 16:59:46
VBASE031.VDF   : 7.10.9.16     131072 Bytes  06.07.2010 16:59:47
Engineversion  : 8.2.4.10  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  06.07.2010 17:00:09
AESCRIPT.DLL   : 8.1.3.39     1335674 Bytes  06.07.2010 17:00:09
AESCN.DLL      : 8.1.6.1       127347 Bytes  06.07.2010 17:00:06
AESBX.DLL      : 8.1.3.1       254324 Bytes  06.07.2010 17:00:10
AERDL.DLL      : 8.1.4.6       541043 Bytes  06.07.2010 17:00:05
AEPACK.DLL     : 8.2.2.5       430453 Bytes  06.07.2010 17:00:04
AEOFFICE.DLL   : 8.1.1.6       201081 Bytes  06.07.2010 17:00:03
AEHEUR.DLL     : 8.1.1.38     2724214 Bytes  06.07.2010 17:00:02
AEHELP.DLL     : 8.1.11.6      242038 Bytes  06.07.2010 16:59:56
AEGEN.DLL      : 8.1.3.13      381300 Bytes  06.07.2010 16:59:55
AEEMU.DLL      : 8.1.2.0       393588 Bytes  06.07.2010 16:59:53
AECORE.DLL     : 8.1.15.3      192886 Bytes  06.07.2010 16:59:51
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.07.2010 16:59:51
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PFS,

Beginn des Suchlaufs: Dienstag, 6. Juli 2010  23:00

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\WINDOWS\system32\NtmsData
    [HINWEIS]   Die Datei ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\0
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\maxvsschecks
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\version
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\top
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\left
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\right
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\bottom
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\Channels\Library\showsuites
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\0_1_0
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\0_3_0
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\alwaysontop
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\aspectratio
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\background color
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\cableantenna
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\channel
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\channelinputid
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Hauppauge\WinTV32\channelsuite
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPUVolumeWatcher.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnPDetect.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1747' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>


Ende des Suchlaufs: Dienstag, 6. Juli 2010  23:49
Benötigte Zeit: 48:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7054 Verzeichnisse wurden überprüft
 207734 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 207734 Dateien ohne Befall
    956 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 319083 Objekte wurden beim Rootkitscan durchsucht
     20 Versteckte Objekte wurden gefunden

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 6. Juli 2010  21:53

Es wird nach 2300671 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC01

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:59:35
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 16:59:41
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 16:59:42
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 16:59:42
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 16:59:42
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 16:59:42
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 16:59:42
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 16:59:42
VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 16:59:42
VBASE014.VDF   : 7.10.8.69     138752 Bytes  14.06.2010 16:59:43
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 16:59:43
VBASE016.VDF   : 7.10.8.135    152064 Bytes  21.06.2010 16:59:44
VBASE017.VDF   : 7.10.8.163    432128 Bytes  23.06.2010 16:59:45
VBASE018.VDF   : 7.10.8.194    133632 Bytes  27.06.2010 16:59:45
VBASE019.VDF   : 7.10.8.220    134656 Bytes  29.06.2010 16:59:45
VBASE020.VDF   : 7.10.8.252    171520 Bytes  04.07.2010 16:59:46
VBASE021.VDF   : 7.10.8.253      2048 Bytes  04.07.2010 16:59:46
VBASE022.VDF   : 7.10.8.254      2048 Bytes  04.07.2010 16:59:46
VBASE023.VDF   : 7.10.8.255      2048 Bytes  04.07.2010 16:59:46
VBASE024.VDF   : 7.10.9.0        2048 Bytes  04.07.2010 16:59:46
VBASE025.VDF   : 7.10.9.1        2048 Bytes  04.07.2010 16:59:46
VBASE026.VDF   : 7.10.9.2        2048 Bytes  04.07.2010 16:59:46
VBASE027.VDF   : 7.10.9.3        2048 Bytes  04.07.2010 16:59:46
VBASE028.VDF   : 7.10.9.4        2048 Bytes  04.07.2010 16:59:46
VBASE029.VDF   : 7.10.9.5        2048 Bytes  04.07.2010 16:59:46
VBASE030.VDF   : 7.10.9.6        2048 Bytes  04.07.2010 16:59:46
VBASE031.VDF   : 7.10.9.16     131072 Bytes  06.07.2010 16:59:47
Engineversion  : 8.2.4.10  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  06.07.2010 17:00:09
AESCRIPT.DLL   : 8.1.3.39     1335674 Bytes  06.07.2010 17:00:09
AESCN.DLL      : 8.1.6.1       127347 Bytes  06.07.2010 17:00:06
AESBX.DLL      : 8.1.3.1       254324 Bytes  06.07.2010 17:00:10
AERDL.DLL      : 8.1.4.6       541043 Bytes  06.07.2010 17:00:05
AEPACK.DLL     : 8.2.2.5       430453 Bytes  06.07.2010 17:00:04
AEOFFICE.DLL   : 8.1.1.6       201081 Bytes  06.07.2010 17:00:03
AEHEUR.DLL     : 8.1.1.38     2724214 Bytes  06.07.2010 17:00:02
AEHELP.DLL     : 8.1.11.6      242038 Bytes  06.07.2010 16:59:56
AEGEN.DLL      : 8.1.3.13      381300 Bytes  06.07.2010 16:59:55
AEEMU.DLL      : 8.1.2.0       393588 Bytes  06.07.2010 16:59:53
AECORE.DLL     : 8.1.15.3      192886 Bytes  06.07.2010 16:59:51
AEBB.DLL       : 8.1.1.0        53618 Bytes  06.07.2010 16:59:51
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4c6fce04\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +JOKE,+PFS,

Beginn des Suchlaufs: Dienstag, 6. Juli 2010  21:53

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgalry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPUVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnPDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\u16sqrqn.exe'
C:\u16sqrqn.exe
    [FUND]      Ist das Trojanische Pferd TR/PSW.OnLineGa.bbe
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db42b7a.qua' verschoben!


Ende des Suchlaufs: Dienstag, 6. Juli 2010  21:54
Benötigte Zeit: 01:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     44 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     43 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

#29 Kommen nun noch Meldungen? Aber das System läuft gut?

#30

Zitat

Swisstreasure postete
Kommen nun noch Meldungen? Aber das System läuft gut?

Nein, zur Zeit keine Meldungen. Das System läuft, wenn der Rechner auch nicht der schnellste ist. Heute Abend installiere ich noch ein paar Sachen, dann werde ich sehen, ob er noch muckt und am Wochenende gibt es dann eine Spende.