Virus HTML/ScrInject.B.Gen und kein Zugriff auf USB, CD

#1 Hallo Zusammen

Mein Problem began mit dem nicht vorhandenen Zugriff auf USB und CD. Alle Laufwerke wurden/werden im Eplorer angezeigt, aber bei click darauf, kommt die Meldung "Kein Zugriff".

Durch tolle online-Unterstützung habe ich mit dem Online-Scanner Eset den Virus HTML/ScrInject.B.Gen gefunden, der auch gelöscht wurde.

Leider besteht mein Zugriffproblem immer noch!

Habe das "laienhafte Gefühl", daß etwas an den Rechten verändert wurde.

Gibt es eine Möglichkeit, dies zu "scannen" oder zu überprüfen?

Habe im Forum was von Gmer und Rootkit gelesen.

Kenn mich leider aber viel zu wenig aus und möchte hier nicht ohne Fachwissen bzw. Unterstützung/Rat ran.

Vielen Dank!!!

#2 Hi,

1. Malwarebytes
http://www.malwarebytes.org/affiliates/g2g/mbam-setup.exe
Malwarebytes bitte installieren, aktualisieren, einen Quick Scan durchführen, evt. Funde entfernen lassen und das Log posten.

2. OTL
http://oldtimer.geekstogo.com/OTL.exe
Starte das Programm, setze Häckchen bei "Scanne alle Benutzer", "LOP Prüfung" und "Purity Prüfung", kopiere unten in das Script-Feld rein:

Zitat

netsvcs
msconfig

und klicke auf Scan. Poste bitte die OTL.txt und Extras.txt

#3 Hier die beiden txt:

OTL logfile created on: 07.10.2010 17:19:00 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = D:\Software - Programme
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502,00 Mb Total Physical Memory | 202,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 68,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 35,66 Gb Total Space | 12,62 Gb Free Space | 35,40% Space Free | Partition Type: NTFS
Drive D: | 36,14 Gb Total Space | 32,28 Gb Free Space | 89,32% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: KISTE
Current User Name: Renne
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2010.10.07 17:17:36 | 000,576,512 | ---- | M] (OldTimer Tools) -- D:\Software - Programme\OTL.exe
PRC - [2010.09.16 17:25:03 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.02.25 14:34:49 | 002,271,232 | ---- | M] (mquadr.at software engineering und consulting GmbH) -- C:\Programme\WEB.DE\LiveUpdate\m2LUTray.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.01.31 14:55:42 | 000,096,370 | ---- | M] (Canon Inc.) -- C:\Programme\Canon\CAL\CALMAIN.exe
PRC - [2006.09.14 12:06:48 | 000,028,672 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
PRC - [2006.09.12 18:02:30 | 000,045,056 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
PRC - [2006.06.28 17:01:32 | 000,520,192 | ---- | M] () -- C:\Acer\Empowering Technology\eLock\LockServ.exe
PRC - [2006.06.01 14:40:54 | 000,413,696 | ---- | M] (Acer Inc.) -- C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
PRC - [2006.05.04 06:58:56 | 000,998,912 | ---- | M] () -- C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
PRC - [2006.04.21 14:48:24 | 000,067,072 | ---- | M] (OSA Technologies Inc., An Avocent Company) -- C:\Acer\LANScope Agent\awServ.exe
PRC - [2006.04.18 19:54:50 | 000,049,152 | ---- | M] ( ) -- C:\WINDOWS\system32\SysMonitor.exe
PRC - [2006.02.17 15:26:32 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2002.09.24 16:39:48 | 000,151,552 | ---- | M] (Iomega Corporation) -- C:\Programme\Iomega\AutoDisk\ADService.exe
PRC - [2002.09.04 14:11:04 | 000,073,728 | ---- | M] (Iomega Corporation) -- C:\Programme\Iomega\System32\AppServices.exe


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2010.10.07 17:17:36 | 000,576,512 | ---- | M] (OldTimer Tools) -- D:\Software - Programme\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [Disabled | Stopped] -- -- (Iomega Activity Disk2)
SRV - [2007.01.31 14:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Auto | Running] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2006.09.14 12:06:48 | 000,028,672 | ---- | M] (Acer Inc.) [Auto | Running] -- C:\Acer\Empowering Technology\ePerformance\MemCheck.exe -- (AcerMemUsageCheckService)
SRV - [2006.06.28 17:01:32 | 000,520,192 | ---- | M] () [Auto | Running] -- C:\Acer\Empowering Technology\eLock\LockServ.exe -- (LockServ)
SRV - [2006.04.21 14:48:24 | 000,067,072 | ---- | M] (OSA Technologies Inc., An Avocent Company) [Auto | Running] -- C:\Acer\LANScope Agent\awServ.exe -- (AWService)
SRV - [2006.02.17 15:26:32 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2002.09.24 16:39:48 | 000,151,552 | ---- | M] (Iomega Corporation) [Auto | Running] -- C:\Programme\Iomega\AutoDisk\ADService.exe -- (_IOMEGA_ACTIVE_DISK_SERVICE_)
SRV - [2002.09.04 14:11:04 | 000,073,728 | ---- | M] (Iomega Corporation) [Auto | Running] -- C:\Programme\Iomega\System32\AppServices.exe -- (Iomega App Services)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\jl2005c.sys -- (JL2005C)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:41:00 | 000,017,664 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ppa3.sys -- (ppa3)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.12.05 18:33:40 | 000,012,800 | ---- | M] (HiTRUST) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psdfilter.sys -- (psdfilter)
DRV - [2006.12.05 18:32:52 | 000,060,416 | ---- | M] (HiTRUST) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psdvdisk.sys -- (psdvdisk)
DRV - [2006.09.19 14:54:40 | 000,069,632 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\int15.sys -- (int15)
DRV - [2006.09.19 14:54:40 | 000,014,544 | ---- | M] (EnTech Taiwan) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\TVicPort.sys -- (tvicport)
DRV - [2006.09.19 14:54:40 | 000,006,080 | ---- | M] (Zeal SoftStudio) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\zntport.sys -- (zntport)
DRV - [2006.07.21 15:12:16 | 001,095,968 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\igxpmp32.sys -- (ialm)
DRV - [2006.07.19 20:11:52 | 000,006,144 | ---- | M] (NewTech Infosystems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NTIDrvr.sys -- (NTIDrvr)
DRV - [2006.06.28 18:53:00 | 000,244,864 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2006.06.08 17:54:24 | 000,017,664 | ---- | M] (Windows (R) 2000 DDK provider) [File_System | Auto | Running] -- C:\WINDOWS\system32\eLock2BurnerLockDriver.sys -- (eLock2BurnerLockDriver)
DRV - [2006.06.06 18:36:30 | 000,090,112 | ---- | M] (Windows (R) 2000 DDK provider) [File_System | Auto | Running] -- C:\WINDOWS\system32\eLock2FSCTLDriver.sys -- (eLock2FSCTLDriver)
DRV - [2006.05.16 02:32:58 | 004,275,712 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.04.14 11:46:54 | 000,018,407 | ---- | M] (OSA Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OsaFsLoc.sys -- (OsaFsLoc)
DRV - [2005.10.28 11:38:18 | 000,402,432 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)
DRV - [2005.10.04 15:38:24 | 000,280,064 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZD1211U.sys -- (ZD1211U(ZyDAS)) ZyDAS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyDAS)
DRV - [2005.07.07 16:26:04 | 000,055,216 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)
DRV - [2005.07.07 16:26:00 | 000,006,576 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005.07.07 16:25:58 | 000,089,872 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005.07.07 16:25:52 | 000,081,728 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005.07.07 16:25:50 | 000,079,488 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex)
DRV - [2005.06.30 16:58:36 | 000,007,296 | ---- | M] (OSA Technologies, An Avocent Company) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osaio.sys -- (osaio)
DRV - [2005.06.27 15:12:58 | 000,009,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETMNT.sys -- (NETMNT)
DRV - [2005.03.31 12:32:58 | 000,004,010 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osanbm.sys -- (osanbm)
DRV - [2004.12.17 03:14:44 | 000,013,952 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\UBHelper.sys -- (UBHelper)
DRV - [2004.10.25 13:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - [2004.06.28 12:08:56 | 000,042,752 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2002.09.04 14:11:08 | 000,030,258 | ---- | M] (Iomega Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\iomdisk.sys -- (iomdisk)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>



IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.web.de
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "http://www.web.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.04 17:30:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 17:25:09 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.10.04 19:45:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

[2010.02.19 12:05:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Mozilla\Extensions
[2010.10.07 14:37:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\extensions
[2010.08.02 08:48:48 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.12 12:00:41 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2010.10.07 14:37:07 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.18 09:05:21 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.08 10:45:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.09 12:40:30 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.09 12:40:30 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.09 12:40:30 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.09 12:40:30 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.09 12:40:30 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 06:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (WEB.DE Browser Configuration) - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll ()
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST)
O3 - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe ( )
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe (Acer Inc.)
O4 - HKLM..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\imekrmig.exe (Microsoft Corporation)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [LaunchApp] C:\WINDOWS\Alaunch.exe (Acer Inc.)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe ()
O4 - HKLM..\Run: [WEB.DE Update] C:\Programme\WEB.DE\LiveUpdate\m2LUTray.exe (mquadr.at software engineering und consulting GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe (Acer Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 177
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..Trusted Domains: internet ([]about in Trusted sites)
O15 - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..Trusted Domains: mcafee.com ([]http in Trusted sites)
O15 - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..Trusted Domains: mcafee.com ([]https in Trusted sites)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab (Reg Error: Key error.)
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} https://stream.web.de/mail/activex/mail_upload_11213.cab (Attachment Upload Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.06.19 15:24:36 | 000,000,117 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{01a06030-7038-11dd-b10a-0019215cd935}\Shell\AutoRun\command - "" = I:\PowerSeller\BestandsKunden.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer WLAN 11g USB Dongle.lnk - C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe - (X-Micro Technology Corp.)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe - (Corel Corporation)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RICOH Gate La.lnk - C:\Programme\Caplio Software\RGateLXP.exe - (Ricoh Company, Ltd.)
MsConfig - StartUpReg: AdminWorks Tray - hkey= - key= - C:\Acer\LANScope Agent\awtray.exe (OSA Technologies Inc., An Avocent Company)
MsConfig - StartUpReg: ADUserMon - hkey= - key= - C:\Programme\Iomega\AutoDisk\ADUserMon.exe (Iomega Corporation)
MsConfig - StartUpReg: Deskup - hkey= - key= - C:\Programme\Iomega\DriveIcons\deskup.exe (Iomega)
MsConfig - StartUpReg: eDataSecurity Loader - hkey= - key= - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST)
MsConfig - StartUpReg: eLockMonitor - hkey= - key= - C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe ( )
MsConfig - StartUpReg: Iomega Drive Icons - hkey= - key= - C:\Programme\Iomega\DriveIcons\Imgicon.exe (Iomega)
MsConfig - StartUpReg: ntiMUI - hkey= - key= - c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe ()
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
MsConfig - StartUpReg: RemoteControl - hkey= - key= - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
MsConfig - StartUpReg: Sony Ericsson PC Suite - hkey= - key= - C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.10.07 12:30:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CA
[2010.10.05 11:16:32 | 000,000,000 | ---D | C] -- C:\Programme\Citrix
[2010.10.04 19:51:27 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010.10.04 19:12:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Citrix
[2010.10.04 18:29:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\Citrix
[2010.10.04 18:18:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\McAfee
[2010.10.04 14:40:07 | 000,000,000 | ---D | C] -- C:\Programme\McAfee
[2010.10.04 14:31:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
[2010.10.04 14:27:38 | 000,000,000 | ---D | C] -- C:\mfe
[2010.10.04 14:04:28 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Renne\PrivacIE
[2010.10.04 11:34:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{9B7A2D35-FBC5-45CA-96D7-5BD50D7075A4}
[2010.10.04 11:31:25 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.10.04 11:26:58 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.10.04 11:08:57 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{1CAD5672-4524-4B57-9E7F-6A36F9CA770A}
[2010.10.04 11:08:23 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C8C85F7C-4429-4C76-9B3A-5624D2EF7FE4}
[2010.10.04 11:08:21 | 000,000,000 | ---D | C] -- C:\Programme\WEB.DE
[2010.10.03 19:03:35 | 000,416,528 | ---- | C] (Microsoft Corporation ) -- C:\WINDOWS\System32\COMCT332.OCX
[2010.10.03 19:03:35 | 000,260,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSFLXGRD.OCX
[2010.10.03 19:03:35 | 000,224,016 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\TabCtl32.ocx
[2010.10.03 19:03:35 | 000,164,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\COMCT232.OCX
[2010.10.03 19:03:34 | 000,212,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\RICHTX32.OCX
[2010.10.03 19:03:34 | 000,000,000 | ---D | C] -- C:\Programme\Registry System Wizard
[2010.10.03 18:52:20 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2010.10.03 18:05:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Gutscheinmieze
[2007.06.14 02:44:01 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\Interop.Shell32.dll
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.10.07 16:32:53 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.07 16:32:28 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.07 16:32:25 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.07 16:32:24 | 526,897,152 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.07 16:31:21 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\Renne\NTUSER.DAT
[2010.10.07 16:31:21 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Renne\ntuser.ini
[2010.10.07 14:31:55 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2010.10.06 11:49:48 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.05 11:53:54 | 001,124,040 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.10.05 11:53:54 | 000,496,168 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.05 11:53:54 | 000,472,542 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.05 11:53:54 | 000,100,570 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.05 11:53:54 | 000,083,936 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.04 18:29:11 | 000,103,784 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\GoToAssistDownloadHelper.exe
[2010.10.04 17:23:01 | 001,596,074 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\LEGO Sonderflyer zum 27. Dezembe.PDF
[2010.10.04 17:17:55 | 000,815,524 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\LEGO Ninjago Fachhandelsaktion 2.PDF
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\System32\wuaucpl.cpl.manifest
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\WindowsShell.Manifest
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\System32\sapi.cpl.manifest
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\System32\nwc.cpl.manifest
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\System32\ncpa.cpl.manifest
[2010.10.04 14:27:40 | 000,000,749 | RH-- | M] () -- C:\WINDOWS\System32\cdplayer.exe.manifest
[2010.10.04 14:27:21 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.10.04 14:27:21 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.10.04 11:34:27 | 001,430,400 | ---- | M] () -- C:\WINDOWS\System32\ieconfig_1und1.dll
[2010.10.04 11:08:22 | 000,001,396 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Amazon.de.lnk
[2010.10.04 11:08:22 | 000,001,384 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\eBay.lnk
[2010.09.27 16:48:53 | 007,753,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\Silvester 2010 Ganzjahresfeuerwe.PDF
[2010.09.13 17:09:42 | 000,024,576 | ---- | M] () -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.10.07 14:31:55 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2010.10.04 20:03:57 | 526,897,152 | -HS- | C] () -- C:\hiberfil.sys
[2010.10.04 18:29:08 | 000,103,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\GoToAssistDownloadHelper.exe
[2010.10.04 17:22:49 | 001,596,074 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\LEGO Sonderflyer zum 27. Dezembe.PDF
[2010.10.04 17:17:50 | 000,815,524 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\LEGO Ninjago Fachhandelsaktion 2.PDF
[2010.10.04 11:34:27 | 001,430,400 | ---- | C] () -- C:\WINDOWS\System32\ieconfig_1und1.dll
[2010.10.04 11:08:22 | 000,001,396 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Amazon.de.lnk
[2010.10.04 11:08:22 | 000,001,384 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\eBay.lnk
[2010.10.03 19:03:36 | 000,000,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\Desktop\QuickStores.url
[2010.10.03 19:03:35 | 000,001,767 | ---- | C] () -- C:\WINDOWS\System32\RSWIcon.icl
[2010.10.03 19:03:35 | 000,001,406 | ---- | C] () -- C:\WINDOWS\System32\RSWIcon.ico
[2010.09.27 16:47:53 | 007,753,240 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\Silvester 2010 Ganzjahresfeuerwe.PDF
[2010.04.16 16:43:19 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\vsmon1.dll
[2009.12.02 13:29:49 | 000,000,133 | ---- | C] () -- C:\WINDOWS\PTDirect.ini
[2008.06.12 12:47:31 | 000,000,080 | RHS- | C] () -- C:\WINDOWS\System32\14641C111B.dll
[2008.04.23 10:42:18 | 000,000,015 | ---- | C] () -- C:\WINDOWS\Einkommensteuer.INI
[2008.04.22 17:05:56 | 000,000,072 | ---- | C] () -- C:\WINDOWS\EurekaLog.ini
[2008.02.20 15:54:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2007.06.30 12:51:28 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\SUPPORT.INI
[2007.06.19 15:24:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2007.06.19 15:24:11 | 000,000,557 | ---- | C] () -- C:\WINDOWS\IQW.INI
[2007.06.14 18:50:43 | 000,000,736 | ---- | C] () -- C:\WINDOWS\PTp98_G.INI
[2007.06.14 18:50:43 | 000,000,164 | ---- | C] () -- C:\WINDOWS\PTP98_GE.INI
[2007.06.14 18:50:43 | 000,000,164 | ---- | C] () -- C:\WINDOWS\PTP98_EG.INI
[2007.06.14 18:50:17 | 000,335,360 | ---- | C] () -- C:\WINDOWS\System32\Tx32.dll
[2007.06.14 04:19:35 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2007.06.14 04:19:34 | 000,000,149 | ---- | C] () -- C:\WINDOWS\KPCMS.INI
[2007.06.14 04:10:09 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll
[2007.06.14 03:59:17 | 000,000,598 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.06.14 03:26:11 | 000,024,576 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.06.14 02:51:43 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\MWLPS.dll
[2007.06.14 02:47:52 | 000,000,046 | ---- | C] () -- C:\WINDOWS\commercial.ini
[2007.06.14 02:47:29 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\int15.sys
[2007.06.14 02:47:29 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\drivers\int15_64.sys
[2007.06.14 02:44:01 | 000,331,776 | ---- | C] () -- C:\WINDOWS\System32\ScrollBarLib.dll
[2007.06.14 02:43:53 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Renne\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.04.13 01:47:58 | 000,348,880 | ---- | C] () -- C:\WINDOWS\System32\igmedkrn.dll
[2007.04.13 01:47:58 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4642.dll
[2006.12.05 18:34:40 | 001,403,392 | ---- | C] () -- C:\WINDOWS\System32\UIVCL.dll
[2006.12.05 18:33:28 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\APISlice.dll
[2006.12.05 18:32:48 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\InstallCheck.dll
[2006.07.19 20:15:40 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.07.19 20:12:48 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll
[2006.07.19 20:11:54 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll
[2006.07.19 20:11:54 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll
[2006.07.19 20:11:54 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll
[2006.07.19 20:11:54 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll
[2006.06.21 23:11:38 | 000,000,083 | ---- | C] () -- C:\WINDOWS\ALaunch.ini
[2005.11.10 11:27:42 | 000,003,218 | ---- | C] () -- C:\WINDOWS\System32\drivers\WINIO.sys
[2005.10.31 03:17:38 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2005.10.26 00:25:28 | 000,008,073 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.07.12 14:44:42 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL
[2005.06.27 15:12:58 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETMNT.sys
[2004.12.17 03:14:44 | 000,013,952 | ---- | C] () -- C:\WINDOWS\System32\drivers\UBHelper.sys
[2004.08.04 06:00:00 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.03.23 16:38:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2004.01.31 07:22:44 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\PDFreDirectMonNT.dll
[2001.12.26 15:12:30 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll
[2001.09.03 22:46:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\Hmpg12.dll
[2001.07.30 15:33:56 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll
[2001.07.23 21:04:36 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll

[color=#E56717]========== LOP Check ==========[/color]

[2007.06.14 02:51:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avocent AdminWorks
[2010.10.07 12:30:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CA
[2010.10.04 19:12:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Citrix
[2008.05.27 15:58:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eBay
[2010.04.16 16:42:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF
[2008.04.22 12:00:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF 4
[2010.04.16 16:42:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
[2010.10.04 11:34:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2008.02.20 13:53:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2010.10.04 11:08:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{1CAD5672-4524-4B57-9E7F-6A36F9CA770A}
[2010.10.04 11:34:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{9B7A2D35-FBC5-45CA-96D7-5BD50D7075A4}
[2010.10.04 11:08:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C8C85F7C-4429-4C76-9B3A-5624D2EF7FE4}
[2007.07.13 12:38:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Active Disk
[2007.06.14 02:51:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Avocent AdminWorks
[2008.04.22 17:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\eXPert PDF Editor
[2010.10.03 18:05:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Gutscheinmieze
[2008.03.07 18:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Leadertech
[2009.10.23 09:59:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\TeamViewer
[2008.02.20 14:02:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Teleca
[2009.07.08 10:38:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\Thunderbird
[2007.07.31 09:49:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\WEBDE
[2010.04.15 15:17:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Renne\Anwendungsdaten\widestream

[color=#E56717]========== Purity Check ==========[/color]


< End of report >

--------------------------

OTL Extras logfile created on: 07.10.2010 17:19:00 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = D:\Software - Programme
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

502,00 Mb Total Physical Memory | 202,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 68,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 35,66 Gb Total Space | 12,62 Gb Free Space | 35,40% Space Free | Partition Type: NTFS
Drive D: | 36,14 Gb Total Space | 32,28 Gb Free Space | 89,32% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: KISTE
Current User Name: Renne
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_USERS\S-1-5-21-3654319135-623772447-1083399870-1005\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"9999:UDP" = 9999:UDP:*:Enabled:AdminWorks UDP Port
"2804:TCP" = 2804:TCP:*:Enabled:AdminWorks TCP Port
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\EASYLOG V5.0\SqlAny9\dbeng9.exe" = C:\EASYLOG V5.0\SqlAny9\dbeng9.exe:*:Enabled:Adaptive Server Anywhere Database Engine -- (iAnywhere Solutions, Inc.)
"C:\Programme\Caplio Software\RGateLXP.exe" = C:\Programme\Caplio Software\RGateLXP.exe:*:Enabled:RICOH Gate La for DSC -- (Ricoh Company, Ltd.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime
"{0CB98AC0-D691-4B21-AD3D-95982517021D}" = Acer WLAN 11g USB Dongle
"{0DC7F1CB-B3EB-48CF-8136-3BF8635F8566}" = Internet Explorer 8 WEB.DE Edition
"{116FF17B-1A30-4FC2-9B01-5BC5BD46B0B3}" = Acer eLock Management
"{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F2C8256-2773-46C7-9ABA-3E39C24ABB51}" = Acer eSettings Management
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 21
"{280ED870-1DF3-4574-A679-E2C4A8163249}_is1" = Registry System Wizard
"{2D119255-5A94-4666-A0DF-AC879382F646}" = eBay Fees Calculator
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{344856C1-4621-49DB-B5E4-728FDB08F82D}" = PowerLister
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{385979FE-DC4F-4140-8EAD-A59625000D72}" = NTI Backup NOW! 4
"{38C65D12-79E3-49C0-B211-DE3BE0A7AB39}" = commercial
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4771B74C-003B-4E7B-A4A0-ABB7CA342C70}" = Acer LANScope Agent
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AD13F68-CADA-4C6B-9759-C33753F89908}" = Acer eDataSecurity Management
"{5BC1F10D-6A7A-41AE-AC7C-6BD454204729}" = Caplio Software
"{6041D07D-CBC6-4119-8C35-D95B77AD5FBA}" = Internet Explorer WEB.DE Addon
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{7057702F-6D71-4F30-8000-9E72BC771887}" = Acer ePerformance Management
"{71287C83-2992-44C3-A5D2-AEE176AA8641}" = CIB pdf brewer 1.0.44
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8F1A20DC-251D-47B0-91B7-DCA2523EE6C9}" = McAfee Virtual Technician
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}" = eXPert PDF 4
"{AB6097D9-D722-4987-BD9E-A076E2848EE2}" = Acer Empowering Technology
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"{AC76BA86-7AD7-5464-3428-7E8A450000A7}" = Spelling Dictionaries For Adobe Reader Package
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C5ADA65A-7828-4D85-B071-ECC52B51F794}" = Sony Ericsson PC Suite 1.20.173
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}" = Safari
"{D755C7A3-C03E-4460-8C00-AC6E55505FB5}" = LightScribe 1.4.74.1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1FCC8AD-0F88-4D77-8530-0FBB088485F1}" = WEB.DE Update
"Active Disk" = Active Disk
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 5.0" = Adobe Photoshop 5.0
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC5" = Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"Canon G.726 WMP-Decoder" = Canon G.726 WMP-Decoder
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"CCleaner" = CCleaner (remove only)
"Corel Uninstaller" = Corel Uninstaller
"CSCLIB" = Canon Camera Support Core Library
"EASYLOG V5.0" = EASYLOG V5.0
"EOS Utility" = Canon Utilities EOS Utility
"Foxit PDF Editor" = Foxit PDF Editor
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"FTP Commander" = FTP Commander
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HTML Studio_is1" = HTML Studio
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{0CB98AC0-D691-4B21-AD3D-95982517021D}" = Acer WLAN 11g USB Dongle
"InstallShield_{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}" = NTI CD & DVD-Maker
"InstallShield_{385979FE-DC4F-4140-8EAD-A59625000D72}" = NTI Backup NOW! 4
"InstallShield_{4771B74C-003B-4E7B-A4A0-ABB7CA342C70}" = Acer LANScope Agent
"InstallShield_{4AD13F68-CADA-4C6B-9759-C33753F89908}" = Acer eDataSecurity Management 2.0.3084
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"Internet Explorer 8 WEB.DE Edition" = Internet Explorer 8 WEB.DE Edition
"Internet Explorer WEB.DE Addon" = Internet Explorer WEB.DE Addon
"IomegaWare" = IomegaWare 4.0.2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"OcaHistoryUpd" = OCA Client history tool install
"PDF Editor 2" = PDF Editor 2
"PDF reDirect" = PDF reDirect (remove only)
"PhotoStitch" = Canon Utilities PhotoStitch
"RarZilla Free Unrar 2.53" = RarZilla Free Unrar 2.53
"RAW Image Task" = Canon RAW Image Task for ZoomBrowser EX
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"ShopControl Server" = ShopControl Server
"WEB.DE Update" = WEB.DE Update
"Windows XP Service Pack" = Windows XP Service Pack 3
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 04.10.2010 02:48:14 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 02:48:14 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 04:25:14 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 04:25:14 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 04:30:51 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 04:30:51 | Computer Name = KISTE | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 04.10.2010 13:47:11 | Computer Name = KISTE | Source = McLogEvent | ID = 5004
Description =

Error - 04.10.2010 13:47:57 | Computer Name = KISTE | Source = McLogEvent | ID = 5022
Description =

Error - 04.10.2010 13:47:57 | Computer Name = KISTE | Source = McLogEvent | ID = 5004
Description =

Error - 04.10.2010 13:47:57 | Computer Name = KISTE | Source = McLogEvent | ID = 5022
Description =

[ System Events ]
Error - 04.10.2010 13:56:37 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 04.10.2010 14:00:48 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 04.10.2010 14:01:46 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

Error - 04.10.2010 14:01:55 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

Error - 04.10.2010 14:01:59 | Computer Name = KISTE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips intelppm ssmdrv

Error - 04.10.2010 14:03:03 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 04.10.2010 14:03:04 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 04.10.2010 14:03:07 | Computer Name = KISTE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 05.10.2010 08:00:05 | Computer Name = KISTE | Source = System Error | ID = 1003
Description = Fehlercode 10000050, 1. Parameter e412d000, 2. Parameter 00000000,
3. Parameter 80539fb3, 4. Parameter 00000001.

Error - 05.10.2010 11:19:30 | Computer Name = KISTE | Source = Print | ID = 6161
Description = Das Dokument Kontoauszug - PayPal, im Besitz von Renne, konnte nicht
auf dem Drucker Samsung ML-1250/ML-250 gedruckt werden. Datentyp: NT EMF 1.008.
Größe der Warteschlangendatei in Bytes: 0. Anzahl der gedruckten Bytes: 0. Gesamtanzahl
der Seiten des Dokuments: 0. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\KISTE.
Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 259 (0x103).


< End of report >

Vielen Dank im voraus!!!!

#4 Das Log von Malwarebytes? Zu finden unter dem Reiter "Logdateien".

#5 ...war ohne Befund. Kann ich aber gerne morgen posten.

#6 Nun, falls die Datenbanken aktuell waren, muss es nicht sein. Hätte ich halt auch aus dem Log gesehen.

Ein paar Treiber sind kaputt, wahrscheinlich deswegen die Probleme mit USB usw. Checken wir aber erst auf Malware zu Ende.

1. Ist es ein Firmenrechner oder ähnliches?

2. Starte bitte OTL, kopiere unten in das Script-Feld rein:

Zitat

:OTL
IE - HKU\S-1-5-21-3654319135-623772447-1083399870-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O33 - MountPoints2\{01a06030-7038-11dd-b10a-0019215cd935}\Shell\AutoRun\command - "" = I:\PowerSeller\BestandsKunden.exe -- File not found

:Commands
[purity]
[emptytemp]
[emptyflash]

und klicke auf Fix. Unter Umständen ist ein Neustart notwendig. Poste bitte das Fix Log.

3. RootRepeal
http://sites.google.com/site/rootrepeal/
Starte RootRepeal.
Beende alle anderen Programme.
Gehe unten auf den Reiter Report.
Klicke auf Scan.
Setze alle Häkchen.
Bestätige mit OK.
Falls gefragt, wähle Laufwerk C:
Bestätige mit OK.
Am Ende des Scans wird ein Log eingeblendet, poste es bitte.

4. Lade bitte diese Datei

Zitat

C:\WINDOWS\System32\14641C111B.dll

bei VirusTotal hoch
http://www.virustotal.com/
und poste den Link zum Ergebnis der Auswertung. Falls Du die Datei nicht finden kannst, stell sicher, dass alle Dateien angezeigt werden:
http://virus-protect.org/invisible.html

#7 Bevor ich die logs poste folgendes

Ich hahe heute morgen nochmal den malwarebytes im vollständigne scan laufen lassen und dabei ist wie auch schon vorher die Kiste runtergefahren und neu gestartet worde. Denke da sitzt noch irgend eine maleware.

Komisch ist auch, daß z.B. eben, als ich die logs von OTL erstellt habe, der Rechner neu gestartet ist, sofort aber wieder im geöffneten firefox war mit geöffnetem email Postfach und dieser Seite ebenfalls geöffnet.
Normalerweise müßte ich mich doch erst wieder im email Postfach neu anmelden...???

Hier die gewünschten files:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3654319135-623772447-1083399870-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Starting removal of ActiveX control {41564D57-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\wmvadvd.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{41564D57-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41564D57-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{41564D57-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41564D57-9980-0010-8000-00AA00389B71}\ not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{01a06030-7038-11dd-b10a-0019215cd935}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01a06030-7038-11dd-b10a-0019215cd935}\ not found.
File I:\PowerSeller\BestandsKunden.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 186784 bytes

User: All Users

User: Renne
->Temp folder emptied: 141750965 bytes
->Temporary Internet Files folder emptied: 37514 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40066409 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 1083 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 168362 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 174,00 mb


[EMPTYFLASH]

User: Administrator

User: All Users

User: Renne
->Flash cache emptied: 0 bytes

User: Default User

User: Gast

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10082010_121711

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

____________________

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/10/08 12:37
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xAA0ED000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF89DC000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA9254000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

==EOF==

_________________________

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
14641C111B.dll
Submission date:
2010-10-08 10:51:40 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%) VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.08.01 2010.10.08 -
AntiVir 7.10.12.164 2010.10.08 -
Antiy-AVL 2.0.3.7 2010.10.08 -
Authentium 5.2.0.5 2010.10.08 -
Avast 4.8.1351.0 2010.10.08 -
Avast5 5.0.594.0 2010.10.08 -
AVG 9.0.0.851 2010.10.07 -
BitDefender 7.2 2010.10.08 -
CAT-QuickHeal 11.00 2010.10.08 -
ClamAV 0.96.2.0-git 2010.10.08 -
Comodo 6317 2010.10.07 -
DrWeb 5.0.2.03300 2010.10.08 -
Emsisoft 5.0.0.50 2010.10.08 -
eSafe 7.0.17.0 2010.10.07 -
eTrust-Vet 36.1.7900 2010.10.08 -
F-Prot 4.6.2.117 2010.10.08 -
F-Secure 9.0.15370.0 2010.10.08 -
Fortinet 4.2.249.0 2010.10.08 -
GData 21 2010.10.08 -
Ikarus T3.1.1.90.0 2010.10.08 -
Jiangmin 13.0.900 2010.10.08 -
K7AntiVirus 9.63.2698 2010.10.07 -
Kaspersky 7.0.0.125 2010.10.08 -
McAfee 5.400.0.1158 2010.10.08 -
McAfee-GW-Edition 2010.1C 2010.10.08 -
Microsoft 1.6201 2010.10.08 -
NOD32 5514 2010.10.08 -
Norman 6.06.07 2010.10.07 -
nProtect 2010-10-08.01 2010.10.08 -
Panda 10.0.2.7 2010.10.08 -
PCTools 7.0.3.5 2010.10.08 -
Prevx 3.0 2010.10.08 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.08 -
Sunbelt 7012 2010.10.08 -
SUPERAntiSpyware 4.40.0.1006 2010.10.08 -
Symantec 20101.2.0.161 2010.10.08 -
TheHacker 6.7.0.1.052 2010.10.08 -
TrendMicro 9.120.0.1004 2010.10.08 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.08 -
VBA32 3.12.14.1 2010.10.07 -
ViRobot 2010.10.4.4074 2010.10.08 -
VirusBuster 12.67.8.0 2010.10.07 -
Additional information
Show all
MD5 : 44339d5cf8939b1608cd01fe4f4864d3
SHA1 : 6f54ec512dee1c6452db4ffe290211ad12d95a55
SHA256: a468f2a4652ce0293c1ebf4a00c04ceb601ce6d62de4bd59f8a38dbda7300d83
ssdeep: 3:slQd/M/ltltl/QgXdrJ3ATGI:EQ9s/XdrJ3ATGI
File size : 80 bytes
First seen: 2010-10-08 10:51:40
Last seen : 2010-10-08 10:51:40
TrID:
MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team

_______________

#8 Hab jetzt nach OTL, Rootrepeal und Virustotal nochmal mit upgedatetem Malwarebytes einen kompletten Scan gemacht und es wurde nichts mehr gefunden.

Hier die log datei:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4776

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.10.2010 14:58:57
mbam-log-2010-10-08 (14-58-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 256943
Laufzeit: 41 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Den Zugriff hab ich noch nicht getestet, da Du ja meintest, daß ein paar Treiber kaputt sind.

Schon mal vielen Dank bis hierhin !!!

#9

Zitat

Ich hahe heute morgen nochmal den malwarebytes im vollständigne scan laufen lassen und dabei ist wie auch schon vorher die Kiste runtergefahren und neu gestartet worde. Denke da sitzt noch irgend eine maleware.

Komisch ist auch, daß z.B. eben, als ich die logs von OTL erstellt habe, der Rechner neu gestartet ist, sofort aber wieder im geöffneten firefox war mit geöffnetem email Postfach und dieser Seite ebenfalls geöffnet.
Normalerweise müßte ich mich doch erst wieder im email Postfach neu anmelden...???

Könnte sein, dass das Systemabstürze waren. Malwarebytes startet normalerweise neu, wenn es irgendetwas nicht auf Anhieb löschen kann. Das müsste aber im Log auftauchen. Und Firefox versucht nach einem Absturz die zuletzt geöffneten Seiten wiederherzustellen, unter Umständen landet man da auch direkt im Postfach.

Ich habe mittlerweile nach den Treibern ein bisschen gegoogelt, die sind eigentlich nicht für USB usw. zuständig. Könnte auch ein Problem mit der Registry geben, in letzter Zeit einen einen Registry-Optimierer (Tune Up oder ähn.) benutzt? Das geht manchmal schief.

Jedenfalls ist irgendetwas kaputt, und wir machen erstmal Folgendes:

Arbeite bitte diese Anleitung ab und poste das Log:
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

#10 Ok!

Registry-Optimierer wurden nicht benutzt.

Zu diesem combofix wird in allen foren ausdrücklich darauf hingewiesen, daß man eine gewisse Erfahrung haben sollte, die cih für mich nicht einschätzen mag.

Daher die Frage wie riskant ist dieses Programm, daß am Ende die Kiste gar nicht mehr will?

Die Wiederherstellungskonsole ist installiert (denke ich), zumindest könnte ich einen anderen Wiederherstellungspunkt auswählen.

#11 ComboFix 10-10-07.02 - Rene 08.10.2010 17:39:34.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.502.238 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Rene\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Rene\LOKALE~1\Temp\tmp2.tmp
c:\dokumente und einstellungen\Rene\GoToAssistDownloadHelper.exe
c:\windows\system32\drivers\snetcfg.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-09-08 bis 2010-10-08 ))))))))))))))))))))))))))))))
.

2010-10-07 10:30 . 2010-10-07 10:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CA
2010-10-05 09:16 . 2010-10-05 09:16 -------- d-----w- c:\programme\Citrix
2010-10-04 17:52 . 2010-10-04 17:52 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-10-04 17:12 . 2010-10-04 17:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Citrix
2010-10-04 16:29 . 2010-10-04 16:29 -------- d-----w- c:\dokumente und einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Citrix
2010-10-04 16:19 . 2010-10-04 16:18 300384 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\McAfee\Supportability\MVTLogs\Results\detect.dll
2010-10-04 16:18 . 2010-10-04 16:18 300384 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee\Supportability\Content\MVT\XMLFiles\detect.dll
2010-10-04 16:18 . 2010-10-04 16:18 -------- d-----w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\McAfee
2010-10-04 12:48 . 2010-10-04 12:48 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-10-04 12:40 . 2010-10-04 17:58 -------- d-----w- c:\programme\McAfee
2010-10-04 12:31 . 2010-10-04 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-10-04 12:27 . 2010-10-04 12:27 -------- d-----w- C:\mfe
2010-10-04 12:04 . 2010-10-04 12:04 -------- d-sh--w- c:\dokumente und einstellungen\Rene\PrivacIE
2010-10-04 09:34 . 2010-10-04 09:34 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{9B7A2D35-FBC5-45CA-96D7-5BD50D7075A4}
2010-10-04 09:34 . 2010-07-19 13:10 2807032 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{9B7A2D35-FBC5-45CA-96D7-5BD50D7075A4}\InternetExplorer-WEB.DE-addon.exe
2010-10-04 09:34 . 2010-10-04 09:34 1430400 ----a-w- c:\windows\system32\ieconfig_1und1.dll
2010-10-04 09:31 . 2010-10-04 09:34 -------- dc-h--w- c:\windows\ie8
2010-10-04 09:26 . 2010-06-24 12:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-10-04 09:08 . 2010-10-04 09:08 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{1CAD5672-4524-4B57-9E7F-6A36F9CA770A}
2010-10-04 09:08 . 2010-07-19 07:26 2816447 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{1CAD5672-4524-4B57-9E7F-6A36F9CA770A}\WEB.DE-Update.exe
2010-10-04 09:08 . 2010-07-19 08:57 2841130 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C8C85F7C-4429-4C76-9B3A-5624D2EF7FE4}\IE8 WEB.DE Edition.exe
2010-10-04 09:08 . 2010-10-04 09:08 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C8C85F7C-4429-4C76-9B3A-5624D2EF7FE4}
2010-10-04 09:08 . 2010-10-04 09:08 -------- d-----w- c:\programme\WEB.DE
2010-10-03 17:03 . 2010-10-04 13:43 -------- d-----w- c:\programme\Registry System Wizard
2010-10-03 16:52 . 2010-10-03 16:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-10-03 16:05 . 2010-10-03 16:05 -------- d-----w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Gutscheinmieze

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-08 11:21 . 2009-07-08 08:38 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-10-07 14:59 . 2007-06-15 10:13 -------- d-----w- c:\programme\PSFtp Free
2010-10-06 09:49 . 2010-02-20 09:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-05 09:53 . 2006-07-19 18:10 496168 ----a-w- c:\windows\system32\perfh007.dat
2010-10-05 09:53 . 2006-07-19 18:10 100570 ----a-w- c:\windows\system32\perfc007.dat
2010-10-04 09:34 . 2010-02-15 11:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
2010-08-17 13:17 . 2005-06-10 23:53 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-06 13:44 . 2010-08-06 13:44 503808 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-161329d1-n\msvcp71.dll
2010-08-06 13:44 . 2010-08-06 13:44 499712 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-161329d1-n\jmc.dll
2010-08-06 13:44 . 2010-08-06 13:44 12800 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-126e23b9-n\decora-d3d.dll
2010-08-06 13:44 . 2010-08-06 13:44 61440 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-126e23b9-n\decora-sse.dll
2010-08-06 13:44 . 2010-08-06 13:44 348160 ----a-w- c:\dokumente und einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-161329d1-n\msvcr71.dll
2010-07-22 15:48 . 2004-08-04 04:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-05-18 07:05 423656 ----a-w- c:\windows\system32\deployJava1.dll
2008-06-12 10:48 . 2008-06-12 10:47 80 --sh--r- c:\windows\system32\14641C111B.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-17 16207872]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"vspdfprsrv.exe"="c:\programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"WEB.DE Update"="c:\programme\WEB.DE\LiveUpdate\m2LUTray.exe" [2010-02-25 2271232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2007-6-14 45056]
Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-14 108544]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acer WLAN 11g USB Dongle.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acer WLAN 11g USB Dongle.lnk
backup=c:\windows\pss\Acer WLAN 11g USB Dongle.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK
backup=c:\windows\pss\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RICOH Gate La.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RICOH Gate La.lnk
backup=c:\windows\pss\RICOH Gate La.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdminWorks Tray]
2006-04-17 15:38 1301504 ----a-w- c:\acer\LANScope Agent\awtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADUserMon]
2002-09-24 14:39 147456 ----a-w- c:\programme\Iomega\AutoDisk\ADUserMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Deskup]
2002-07-16 08:55 32768 ----a-w- c:\programme\Iomega\DriveIcons\deskup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2006-12-05 16:34 342016 ----a-w- c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eLockMonitor]
2006-03-31 08:14 16384 ----a-w- c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons]
2002-08-13 12:30 86016 ----a-w- c:\programme\Iomega\DriveIcons\Imgicon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
2005-05-11 15:15 45056 ----a-w- c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24 32768 ----a-w- c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 01:04 2879488 ----a-w- c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2005-10-26 15:17 159744 ----a-r- c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\EASYLOG V5.0\\SqlAny9\\dbeng9.exe"=
"c:\\Programme\\Caplio Software\\RGateLXP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9999:UDP"= 9999:UDP:AdminWorks UDP Port
"2804:TCP"= 2804:TCP:AdminWorks TCP Port

R2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;c:\windows\system32\eLock2BurnerLockDriver.sys [14.06.2007 02:45 17664]
R2 eLock2FSCTLDriver;eLock2FSCTLDriver;c:\windows\system32\eLock2FSCTLDriver.sys [14.06.2007 02:45 90112]
S2 LockServ;LockServ;c:\acer\Empowering Technology\eLock\LockServ.exe -p --> c:\acer\Empowering Technology\eLock\LockServ.exe -p [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - MBAMSwissArmy
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Connection Wizard,ShellNext = hxxp://de.intl.acer.yahoo.com/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: internet
Trusted Zone: mcafee.com
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - component: c:\dokumente und einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\5sjtxz11.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\McAfee\Supportability\MVT\NPMVTPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)



[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
Zeit der Fertigstellung: 2010-10-08 17:46:55
ComboFix-quarantined-files.txt 2010-10-08 15:46

Vor Suchlauf: 20 Verzeichnis(se), 13.586.792.448 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 13.603.373.056 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - B86C79C0CBB15E859AC0542A0560C9A8

#12 So, Malware ist es wohl nicht, zumindest taucht sie in keinem Log auf.
Probieren wir die Systemwiederherstellung, das sollte Treiber- und Registryprobleme beheben können:
http://www.paules-pc-forum.de/pc-kurs/kurs60_05.htm
Wähle bitte einen Wiederherstellungspunkt, an dem noch alles funktioniert hat.

#13 Kurze Frage vorab.

Was ist mit den Daten, die zwischen heute und dem zurückliegenden Wiederherstellungspunkt liegen. Gehen die auch verloren? Quasi Zeitreise zurück und alles dazwischen ist weg?

#14 System wurde auf einen Punkt zurückgesetzt, an dem der Zugriff möglich war, doch leider immer noch kein Zugriff auf die Laufwerke.

Sollte die Zurücksetzung nun wieder rückgängig gemacht werden?

#15 Daten gehen keine verloren, die Zurücksetzung kann bleiben.
Muss wohl was fieses sein, das wird jetzt ein Krampf.

1. MBRCheck
http://ad13.geekstogo.com/MBRCheck.exe
Speichere es bitte auf dem Desktop und führe es aus.
Wenn am Ende des Scans Optionen zur Auswahl erscheinen, drücke bitte N.
Auf dem Desktop sollte nun ein Log zu finden sein, poste es bitte.

2. AVP
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Speichere das AVP Tool vom Kaspersky bitte auf dem Desktop.
Starte den PC im abgesicherten Modus (mehrmals F8 drücken, während der PC hochfährt).
Starte AVP, es wird sich installieren (Licence bestätigen).
Hacke unter "Automatic Scan" alles ab (außer CD-Laufwerke) und klicke auf Scan.
Wenn der Scan beendet ist, klicke auf "Neutralize all".
Dann klicke auf "Reports" und speichere das Log auf dem Desktop.
Starte dann den PC neu im normalen Modus und poste die Funde aus dem Log (unter "Detected").

Achtung: AVP deinstalliert sich selbst, wenn man es schließt, vorher unbedingt das Log abspeichern.