PC lässt sich nicht mehr ausschalten! Virus an Bord?

#1 Hallo zusammen,

ich habe mir dummerweise eine Datei runtergeladen, die beim öffnen keine Reaktion zeigte. Beim Rechner runterfahren hat er sich allerdings so verhalten, als ob ich ihn nur neu gestartet hätte!?

Eine Systemwiederherstellung hat leider nichts genützt!

Habe mich dann durch sehr viele Seiten gegooglet und habe den Haken beim automatischen Neustart rausgenommen, um die Fehlermeldung zu sehen:

STOP:c000021a (schwerer Systemfehler)
Der Systemprozess Windows Logon Prozess wurde unerwartet beendet
Status0x00000000(0x00000000 0x00000000)
Das System wurde heruntergefahren

Im Netzt findet man leider keinen Hinweis auf Status alles NULL!

Habe dann Spybot Search&Destroy drüberlaufen lassen, und der fand folgenden Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSMGR

Spybot entfernt diesen Eintrag zwar, aber nach ein paar Minuten ist er wieder vorhanden!

Mein AntivVir hat nach mehreren Suchläufen mal 24 Viren gefunden, und AdAware 7, die zu löschen brachte auch nicht den gewünschten Erfolg!

Auf der Suche nach MSSMGR bin ich dann auf diese Seite gestossen, und schreibe jetzt in der Hoffnung, dass man mir evt. helfen kann, ohne dass ich meinen Rechner neu aufsetzten muß!
Ich weiß, die Datei öffnen war nicht besonders schlau von mir, da hat die Neugier gesiegt:-(

Ich arbeite mit Windows XP Professional, Version 2002,SP3.

Noch eine Frage, ich schreibe gerade von einem anderen Rechner, ist es ratsahm den befallenen PC nicht ans Internet anzuschliessen, oder kann man das bedenkenlos machen?

Hoffe man kann mir überhaupt weiterhelfen!
Jetzt schon mal ein großes Dankeschön an die Helfer!

Mit freundlichem Gruß
rrutsch

#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

#3 Danke erst mal für die schnelle Antwort!

Das ist ja ne menge Holz, also viel Text...
Ich hoffe ich habe das auch alles richtig gemacht!?!

Die Bearbeitung hat etwas gedauert, da ich garade mit USB-Stick zwischen zwei Rechnern hin-
und herspringe.

zu Schritt 1:

Exportierte Ereignisse:

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\4c562fca-29
5325cd'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/OpenStream.AB.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59e09aad.qua'
verschoben!

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\170b44f2-63
9fd798'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/CV-2010-0094.E' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26fea89f.qua'
verschoben!

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\17
0b44f2-56b52d6e'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/CV-2010-0094.E' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5712908b.qua'
verschoben!

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9\584
13909-34c740fa'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.AD.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f81bf2b.qua'
verschoben!

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9\58413909-193
daa6c'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.AD.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '637e85a6.qua'
verschoben!

22.01.2011 00:49 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und
Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\4c
562fca-6aaeb9df'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/OpenStream.AB.1' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0548ca3f.qua'
verschoben!

zu Schritt 2:

OTL logfile created on: 25.01.2011 20:58:24 - Run 1
OTL by OldTimer - Version 3.2.20.5 Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 576 1152 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 241,24 Gb Free Space | 80,93% Space Free | Partition Type: NTFS
Drive Z: | 19,07 Gb Total Space | 9,87 Gb Free Space | 51,74% Space Free | Partition Type: NTFS

Computer Name: PC1 | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011.01.25 20:48:14 | 000,603,136 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
PRC - [2010.12.20 22:03:26 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.04 16:56:36 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.04 16:56:33 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
PRC - [2008.04.11 14:13:52 | 001,085,440 | R--- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
PRC - [2008.01.31 17:27:04 | 000,118,784 | R--- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfimon.exe
PRC - [2007.10.11 18:03:10 | 000,029,984 | ---- | M] (Nuance Communications, Inc.) -- C:\PROGRA~1\ScanSoft\PAPERP~1\pptd40nt.exe
PRC - [2001.10.10 15:59:26 | 000,270,336 | ---- | M] (ATI Technologies, Inc.) -- C:\WINDOWS\System32\Atiptaxx.exe


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2011.01.25 20:48:14 | 000,603,136 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [On_Demand | Stopped] -- -- (WZGELS)
SRV - File not found [On_Demand | Stopped] -- -- (QRVNTKUT)
SRV - File not found [Auto | Stopped] -- -- (Nero BackItUp Scheduler 4.0)
SRV - File not found [On_Demand | Stopped] -- -- (MSDTC)
SRV - File not found [On_Demand | Stopped] -- -- (LZRRGPXFQN)
SRV - File not found [On_Demand | Stopped] -- -- (FTUNRH)
SRV - [2010.12.22 10:04:06 | 001,402,272 | ---- | M] (Lavasoft) [Auto | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2010.12.20 22:03:26 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.04 16:56:36 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.18 13:16:28 | 000,753,504 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2010.12.20 22:03:47 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\DRIVERS\avipbb.sys -- (avipbb)
DRV - [2010.11.23 18:12:55 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\System32\DRIVERS\avgntflt.sys -- (avgntflt)
DRV - [2010.11.11 20:51:31 | 000,015,264 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - [2010.08.12 13:15:20 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2009.09.26 18:57:34 | 000,025,768 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\ElbyCDIO.sys -- (ElbyCDIO)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\DRIVERS\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.07.08 12:54:02 | 000,148,496 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\System32\DRIVERS\49246208.sys -- (is-MOH2Edrv)
DRV - [2008.04.13 20:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\DRIVERS\gameenum.sys -- (gameenum)
DRV - [2008.01.06 14:02:53 | 000,022,304 | ---- | M] (Doug Fetter Software Wizardry) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\usbmn2x2.sys -- (USBMN2X2)
DRV - [2007.11.14 15:20:08 | 000,020,936 | ---- | M] (MIDIMAN) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\usb22ldr.sys -- (USB22LDR)
DRV - [2007.11.14 15:20:04 | 000,031,752 | ---- | M] (M-Audio) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ma_cmidi.sys -- (MA_CMIDI)
DRV - [2007.04.16 21:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\System32\DRIVERS\AmdPPM.sys -- (AmdPPM)
DRV - [2006.12.12 10:28:26 | 000,052,224 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\BrSerIf.sys -- (BrSerIf)
DRV - [2006.09.03 08:53:54 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\BrUsbSer.sys -- (BrUsbSer)
DRV - [2004.10.15 11:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\BrScnUsb.sys -- (BrScnUsb)
DRV - [2004.08.09 06:44:40 | 000,082,768 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\slabser.sys -- (slabser)
DRV - [2004.08.09 06:44:40 | 000,051,040 | RH-- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\slabbus.sys -- (slabbus) USB Data Cable driver (WDM)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\RTL8139.SYS -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.06.28 11:08:56 | 000,042,752 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ser2pl.sys -- (Ser2pl)
DRV - [2002.12.05 01:26:09 | 000,023,392 | R--- | M] (Doug Fetter Software Wizardry) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\usbmm2x2.sys -- (USBMM2X2)
DRV - [2002.12.05 01:26:09 | 000,005,664 | R--- | M] (Doug Fetter Software Wizardry) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\usbmidim.sys -- (USBMIDIM)
DRV - [2002.06.03 10:18:32 | 000,040,832 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\es1371mp.sys -- (es1371) Creative AudioPCI (ES1371,ES1373) (WDM)
DRV - [2001.12.21 11:10:08 | 000,303,232 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\DRIVERS\ati2mpad.sys -- (ati2mpad)
DRV - [2001.11.01 09:27:04 | 000,013,780 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\pfc.sys -- (pfc)
DRV - [2001.10.03 13:47:04 | 000,148,352 | ---- | M] (3dfx Interactive, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\3dfxvsm.sys -- (3dfxvs)
DRV - [2001.08.18 03:19:50 | 000,075,392 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\atimpae.sys -- (atirage3)
DRV - [2001.04.13 18:18:24 | 000,188,276 | ---- | M] (Roland) [Kernel | Auto | Running] -- C:\Programme\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys -- (RVIEGVST)
DRV - [2001.04.13 18:16:38 | 000,187,992 | ---- | M] (Roland) [Kernel | Auto | Running] -- C:\Programme\Roland\Virtual Sound Canvas DXi\RVIEg01.sys -- (RVIEG01)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local



O1 HOSTS File: ([2009.03.15 17:07:28 | 000,000,812 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [hp Update 3300C] c:\sj650\hpupdate.exe (Hewlett-Packard)
O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\FAXRX.lnk = C:\Programme\Brother\Brmfl08d\FAXRX.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} http://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.4.cab (DLM Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199563371264 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199569532385 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab (Creative Software AutoUpdate Support Package)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\wintfn32: DllName - wintfn32.dll - C:\WINDOWS\System32\wintfn32.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.01.05 18:54:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: Midi1 - C:\WINDOWS\System32\usbmn2x2.dll (Doug Fetter Software Wizardry)
Drivers32: midi2 - C:\WINDOWS\System32\ma_cmidn.dll (M-Audio)
Drivers32: midi3 - C:\WINDOWS\System32\usbmn2x2.dll (Doug Fetter Software Wizardry)
Drivers32: midi4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi5 - C:\WINDOWS\System32\ma_cmidn.dll (M-Audio)
Drivers32: midi6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi7 - C:\WINDOWS\System32\ma_cmidn.dll (M-Audio)
Drivers32: midi8 - C:\WINDOWS\System32\ma_cmidn.dll (M-Audio)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.ac3filter - C:\WINDOWS\System32\ac3filter.acm ()
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.ffds - C:\WINDOWS\System32\ffdshow.ax ()
Drivers32: vidc.I420 - C:\WINDOWS\System32\i420vfw.dll (www.helixcommunity.org)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\yv12vfw.dll (www.helixcommunity.org)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (68412030092050432)

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.01.25 20:50:38 | 000,603,136 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.01.25 19:59:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Rettungskarten
[2011.01.20 17:04:06 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent
[2011.01.20 16:21:17 | 000,000,000 | ---D | C] -- C:\Programme\Wise Registry Cleaner
[2011.01.20 00:25:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.01.20 00:24:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.01.18 23:49:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011.01.18 23:49:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011.01.18 23:48:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2011.01.18 22:58:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WD Discovery Software
[2011.01.18 20:53:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2011.01.18 19:30:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.01.17 23:24:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Identities
[2011.01.17 23:22:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2011.01.17 20:04:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8(2)
[2011.01.16 22:37:04 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2011.01.16 20:01:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Address Book
[2011.01.14 10:24:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.01.14 08:53:55 | 000,000,000 | ---D | C] -- C:\Programme\WD(2)
[2011.01.13 13:16:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ServiceTest
[2011.01.13 10:49:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM
[2011.01.13 10:38:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Anwendungsdaten
[2011.01.13 10:10:23 | 000,000,000 | ---D | C] -- C:\Programme\ZC AVI to DVD Creator
[2011.01.12 10:05:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FinalMediaPlayer
[2011.01.11 12:49:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dexpot
[2011.01.10 21:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2011.01.10 00:10:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\Performance
[2011.01.10 00:10:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
[2011.01.10 00:10:18 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Windows 7 Upgrade Advisor
[2011.01.09 20:47:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Meine empfangenen Dateien
[2011.01.09 20:47:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\JMS Big-Band
[2011.01.09 20:47:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Incomplete
[2011.01.09 20:20:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Hefeloch-Blätzer
[2011.01.09 20:19:42 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\ebay Transaktionen
[2011.01.09 20:18:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Adressenlisten
[2011.01.09 20:17:36 | 000,000,000 | ---D | C] -- C:\ATI
[2011.01.09 20:09:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Senderliste
[2011.01.09 20:08:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Projekte
[2011.01.09 20:08:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Outlook
[2011.01.09 20:08:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\My Backups
[2011.01.09 20:08:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\MV Titisee-Jostal
[2011.01.09 18:52:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\ZEN V
[2011.01.09 18:50:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Test Videos
[2011.01.09 09:50:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVD Video
[2011.01.09 08:39:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Steuer-Sparbuch
[2011.01.09 00:37:09 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2011
[2011.01.09 00:36:08 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2011.01.07 09:54:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Mein Steuer-Sparbuch Heute
[2011.01.06 17:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WISO Steuer-Sparbuch 2011
[2011.01.06 16:32:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Lexware
[2011.01.06 15:16:50 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft.NET
[2010.04.21 16:13:56 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pcouffin.sys
[2004.11.24 19:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[2002.11.11 02:00:10 | 000,073,728 | ---- | C] ( ) -- C:\WINDOWS\System32\SlpV24.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.01.25 21:03:00 | 000,000,448 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{792A9F69-F046-4133-B1C7-F018153F4F70}.job
[2011.01.25 21:01:00 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{6234E985-CB66-4B99-828F-9BF8B06F6FB1}.job
[2011.01.25 20:48:14 | 000,603,136 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.01.25 19:53:21 | 000,001,046 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\PP11Thumbs.ptn
[2011.01.25 19:53:21 | 000,000,074 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\PP11Thumbs.ptn2
[2011.01.25 19:53:20 | 000,000,470 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\maxdesk.ini2
[2011.01.25 19:52:57 | 000,000,179 | ---- | M] () -- C:\WINDOWS\Brfaxrx.ini
[2011.01.25 18:23:36 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.01.25 18:21:18 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{380E09EB-58BB-4D2A-927D-C3D8897FD876}.job
[2011.01.25 18:20:02 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.25 18:18:24 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\OGALogon.job
[2011.01.25 18:18:12 | 000,000,542 | ---- | M] () -- C:\WINDOWS\tasks\OESicherung Josenmuehle.job
[2011.01.25 18:18:12 | 000,000,452 | ---- | M] () -- C:\WINDOWS\tasks\MOSicherung Birgit.job
[2011.01.25 18:17:44 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.25 18:17:36 | 1610,141,696 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.23 16:50:23 | 031,877,312 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2011.01.23 16:50:22 | 2735,865,824 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2011.01.21 13:12:43 | 000,000,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\auch aus reg.reg
[2011.01.21 12:55:20 | 000,000,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\aus REG.reg
[2011.01.20 17:14:38 | 009,641,984 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.rhk
[2011.01.20 17:07:26 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\cc_20110120_170717.reg
[2011.01.20 16:54:00 | 000,000,206 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\cc_20110120_165351.reg
[2011.01.20 16:21:35 | 000,001,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Clear with 1 click.lnk
[2011.01.20 16:21:35 | 000,000,806 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wise Registry Cleaner.lnk
[2011.01.19 23:32:35 | 000,000,010 | ---- | M] () -- C:\WINDOWS\WININIT.INI
[2011.01.19 23:12:29 | 000,002,836 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.01.18 23:59:55 | 000,029,808 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\cc_20101219_113101.reg
[2011.01.18 22:33:09 | 000,003,046 | ---- | M] () -- C:\WINDOWS\winzip32.ini
[2011.01.18 20:23:26 | 000,105,984 | ---- | M] () -- C:\WINDOWS\System32\wintfn32.dll
[2011.01.16 21:45:09 | 000,495,404 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.01.16 21:45:09 | 000,475,298 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.01.16 21:45:09 | 000,091,312 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.01.16 21:45:09 | 000,076,332 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.01.13 21:27:05 | 000,000,555 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Hefeloch-Blätzer.lnk
[2011.01.13 17:03:53 | 000,149,194 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\2011_01_Rechnung_4903515042.pdf
[2011.01.13 17:03:33 | 000,149,060 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\2010_12_Rechnung_4903515042.pdf
[2011.01.13 09:48:33 | 000,000,202 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.01.13 08:40:58 | 000,014,028 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Angebot mallbeton.pdf
[2011.01.12 19:03:54 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Backuptest.doc
[2011.01.12 19:03:26 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Microsoft Office Word 2003.lnk
[2011.01.12 09:09:00 | 000,000,875 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2011.01.11 12:29:19 | 000,010,842 | -H-- | M] () -- C:\WINDOWS\System32\ATMdeuxx.GID
[2011.01.10 00:10:22 | 000,001,840 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Windows 7 Upgrade Advisor.lnk
[2011.01.09 23:05:58 | 000,000,022 | ---- | M] () -- C:\WINDOWS\System32\ati64hlp.stb
[2011.01.07 16:51:37 | 000,000,007 | ---- | M] () -- C:\WINDOWS\INI2=No
[2011.01.07 16:51:37 | 000,000,007 | ---- | M] () -- C:\WINDOWS\INI1=No
[2011.01.07 10:42:55 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2011.01.06 17:06:46 | 000,001,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.01.25 19:53:15 | 000,000,074 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\PP11Thumbs.ptn2
[2011.01.21 13:12:41 | 000,000,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\auch aus reg.reg
[2011.01.21 12:55:19 | 000,000,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\aus REG.reg
[2011.01.20 17:14:04 | 009,641,984 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\ntuser.rhk
[2011.01.20 17:07:23 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\cc_20110120_170717.reg
[2011.01.20 16:53:58 | 000,000,206 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\cc_20110120_165351.reg
[2011.01.20 16:21:35 | 000,001,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Clear with 1 click.lnk
[2011.01.20 16:21:35 | 000,000,806 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Wise Registry Cleaner.lnk
[2011.01.19 23:37:37 | 1610,141,696 | -HS- | C] () -- C:\hiberfil.sys
[2011.01.18 20:23:26 | 000,105,984 | ---- | C] () -- C:\WINDOWS\System32\wintfn32.dll
[2011.01.13 17:03:51 | 000,149,194 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\2011_01_Rechnung_4903515042.pdf
[2011.01.13 17:03:30 | 000,149,060 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\2010_12_Rechnung_4903515042.pdf
[2011.01.13 11:54:26 | 000,000,555 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Hefeloch-Blätzer.lnk
[2011.01.13 08:40:49 | 000,014,028 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Angebot mallbeton.pdf
[2011.01.12 19:03:54 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Backuptest.doc
[2011.01.11 12:33:06 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2011.01.10 00:10:22 | 000,001,840 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Windows 7 Upgrade Advisor.lnk
[2011.01.10 00:10:21 | 000,001,846 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows 7 Upgrade Advisor.lnk
[2011.01.09 23:05:58 | 000,000,022 | ---- | C] () -- C:\WINDOWS\System32\ati64hlp.stb
[2011.01.09 22:42:05 | 000,010,842 | -H-- | C] () -- C:\WINDOWS\System32\ATMdeuxx.GID
[2011.01.09 20:18:55 | 000,144,896 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Strafzettel.ppt
[2011.01.09 20:18:55 | 000,042,496 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Küche.ppt
[2011.01.09 20:18:54 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Default.rdp
[2011.01.09 18:52:19 | 000,002,537 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Microsoft Office Excel 2003.lnk
[2011.01.09 18:52:19 | 000,002,509 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Microsoft Office Word 2003.lnk
[2011.01.09 18:52:19 | 000,001,084 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Nero Burning ROM.lnk
[2011.01.09 18:52:19 | 000,000,626 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\s25atonce.lnk
[2011.01.09 18:52:19 | 000,000,573 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit Incoming.lnk
[2011.01.09 18:52:18 | 000,000,616 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ClipGrab.lnk
[2011.01.09 18:52:18 | 000,000,546 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Eigene Dateien.lnk
[2011.01.09 18:52:18 | 000,000,453 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Austausch.lnk
[2011.01.07 16:51:37 | 000,000,007 | ---- | C] () -- C:\WINDOWS\INI2=No
[2011.01.07 16:51:37 | 000,000,007 | ---- | C] () -- C:\WINDOWS\INI1=No
[2011.01.07 10:42:55 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2011.01.06 17:06:54 | 000,001,164 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\crc32list11.txt
[2011.01.06 17:06:46 | 000,001,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk
[2010.10.21 14:19:42 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2010.10.21 14:18:46 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2010.10.21 14:16:58 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2010.10.21 14:16:34 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2010.09.18 19:13:54 | 000,016,183 | ---- | C] () -- C:\WINDOWS\System32\SELF32.INI
[2010.06.05 23:11:18 | 000,020,992 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2010.04.21 16:14:39 | 000,001,057 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\vso_ts_preview.xml
[2010.04.21 16:14:04 | 000,000,033 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pcouffin.log
[2010.04.21 16:13:56 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\inst.exe
[2010.04.21 16:13:56 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pcouffin.cat
[2010.04.21 16:13:56 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pcouffin.inf
[2010.03.28 03:20:27 | 000,000,066 | ---- | C] () -- C:\WINDOWS\BBW_INFO.INI
[2009.12.20 14:02:38 | 000,000,179 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2009.11.10 12:51:42 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2009.11.09 16:18:41 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.10.18 16:04:35 | 000,000,084 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2009.09.14 16:36:16 | 000,000,019 | ---- | C] () -- C:\WINDOWS\BH_DATA120VC8.INI
[2009.09.10 08:34:29 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.09.10 08:33:53 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2009.08.03 14:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009.05.22 11:10:19 | 000,000,236 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2009.05.22 11:10:19 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2009.05.22 11:10:00 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.05.22 11:10:00 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.05.22 11:03:16 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2009.05.22 10:58:15 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009.04.28 15:57:33 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\vusetup.dll
[2009.03.23 19:14:39 | 000,000,067 | ---- | C] () -- C:\WINDOWS\iltwain.ini
[2009.01.09 19:44:38 | 000,000,292 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\aeqkk_navps.dat
[2009.01.08 21:17:42 | 000,001,276 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FASTWiz.html
[2008.09.25 07:26:15 | 000,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.09.22 17:09:18 | 000,095,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2008.07.23 15:41:16 | 000,344,064 | ---- | C] () -- C:\WINDOWS\System32\BH_DATA110VC8.dll
[2008.07.05 11:14:48 | 000,456,192 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008.07.05 11:14:44 | 003,591,168 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.07.05 11:13:16 | 000,708,096 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.06.22 17:34:00 | 000,177,664 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.06.13 11:39:38 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.06.12 18:36:38 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.04.20 20:14:10 | 000,544,256 | ---- | C] () -- C:\WINDOWS\System32\janGraphics.dll
[2008.04.20 20:14:10 | 000,182,784 | ---- | C] () -- C:\WINDOWS\System32\DGVorbis.dll
[2008.04.20 20:14:09 | 001,060,864 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2008.04.20 20:14:09 | 000,909,312 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2008.04.20 20:14:09 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2008.04.20 20:14:09 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\MP3DEC.DLL
[2008.04.20 20:14:09 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2008.04.20 20:14:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\kwab.dll
[2008.03.11 20:52:29 | 000,000,872 | ---- | C] () -- C:\WINDOWS\uninst.ini
[2008.03.04 22:38:52 | 000,000,041 | ---- | C] () -- C:\WINDOWS\pos.ini
[2008.02.10 13:10:27 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.01.24 20:00:44 | 000,000,056 | ---- | C] () -- C:\WINDOWS\SSB.ini
[2008.01.14 23:28:10 | 000,089,088 | ---- | C] () -- C:\WINDOWS\System32\hpgt33.dll
[2008.01.06 17:01:46 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OPPRIN~1.INI
[2008.01.06 16:55:51 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS49.DLL
[2008.01.06 12:21:29 | 000,003,046 | ---- | C] () -- C:\WINDOWS\winzip32.ini
[2008.01.06 01:59:11 | 000,373,248 | ---- | C] () -- C:\WINDOWS\System32\BpShellEx.dll
[2008.01.06 00:51:09 | 000,000,875 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2008.01.06 00:43:18 | 000,000,250 | ---- | C] () -- C:\WINDOWS\BUHL.INI
[2008.01.05 21:52:33 | 000,003,284 | ---- | C] () -- C:\WINDOWS\tm.ini
[2008.01.05 19:48:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.01.05 19:08:56 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.11.09 11:13:48 | 000,282,624 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC7.dll
[2005.11.09 11:11:46 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC7.dll
[2005.11.09 11:11:30 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC7.dll
[2004.10.03 17:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.06.06 01:01:58 | 000,029,696 | ---- | C] () -- C:\WINDOWS\System32\asutl8.dll
[2002.03.29 01:13:43 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[color=#E56717]========== LOP Check ==========[/color]

[2011.01.17 23:09:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ACAMPREF
[2011.01.17 23:09:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Anvil Studio
[2011.01.17 23:09:54 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Anwendungsdaten
[2009.11.02 11:47:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Any Video Converter
[2008.06.29 14:14:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Buhl Data Service
[2009.10.19 10:35:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Cuttermaran
[2008.09.22 17:05:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DataDesign
[2011.01.11 15:25:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dexpot
[2010.10.15 17:22:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.01.31 19:34:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\elsterformular
[2011.01.12 10:10:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FinalMediaPlayer
[2009.07.14 11:24:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Genie-Soft
[2011.01.18 21:18:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2009.03.15 15:50:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Kazaa Lite
[2008.05.13 22:16:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lexware
[2009.03.27 11:09:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\LimeWire
[2011.01.14 07:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\MOBackup
[2011.01.17 23:09:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\NCH Swift Sound
[2009.07.02 16:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ScanSoft
[2009.12.04 11:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Static Outlook Backup
[2009.01.04 12:16:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Steinberg
[2011.01.09 00:37:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software
[2010.05.01 19:55:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue
[2010.05.14 08:51:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vso
[2011.01.18 22:48:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\WD
[2008.04.08 17:26:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2008.01.06 01:37:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2010.04.21 15:55:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2010.01.31 19:33:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2010.05.02 09:24:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2010.12.30 15:02:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2008.01.06 02:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
[2011.01.08 13:44:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2010.06.06 17:08:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MemeoCommon
[2010.05.30 12:15:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2009.10.27 20:55:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2009.10.27 22:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Publish Data
[2009.08.09 12:01:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2011.01.18 22:34:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.01.09 00:47:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.10.27 20:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB
[2009.10.06 14:11:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
[2011.01.09 00:36:08 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2009.07.02 20:09:48 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
[2009.08.27 22:20:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2010.10.15 16:29:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}
[2011.01.25 18:23:36 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
[2011.01.25 18:18:12 | 000,000,452 | ---- | M] () -- C:\WINDOWS\Tasks\MOSicherung Birgit.job
[2011.01.25 18:18:12 | 000,000,542 | ---- | M] () -- C:\WINDOWS\Tasks\OESicherung Josenmuehle.job
[2011.01.25 18:18:24 | 000,000,236 | ---- | M] () -- C:\WINDOWS\Tasks\OGALogon.job
[2011.01.25 18:21:18 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{380E09EB-58BB-4D2A-927D-C3D8897FD876}.job
[2011.01.25 21:01:00 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{6234E985-CB66-4B99-828F-9BF8B06F6FB1}.job
[2011.01.25 21:03:00 | 000,000,448 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{792A9F69-F046-4133-B1C7-F018153F4F70}.job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*.* >[/color]
[2011.01.25 18:17:34 | 000,009,233 | ---- | M] () -- C:\aaw7boot.log
[2008.01.05 18:54:50 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2008.01.05 18:47:03 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2008.01.05 18:54:50 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2011.01.25 18:17:36 | 1610,141,696 | -HS- | M] () -- C:\hiberfil.sys
[2008.01.05 18:54:50 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2008.01.05 18:54:50 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.08.31 20:30:48 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.01.25 18:17:34 | 603,979,776 | -HS- | M] () -- C:\pagefile.sys
[2011.01.18 22:32:43 | 000,003,580 | ---- | M] () -- C:\winzip.log

[color=#A23BEC]< %systemroot%\system32\*.wt >[/color]

[color=#A23BEC]< %systemroot%\system32\*.ruy >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.com >[/color]
[2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont

[color=#A23BEC]< %systemroot%\Fonts\*.dll >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.ini >[/color]
[2008.01.05 18:54:06 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

[color=#A23BEC]< %systemroot%\Fonts\*.ini2 >[/color]

[color=#A23BEC]< %systemroot%\system32\spool\prtprocs\w32x86\*.* >[/color]
[2002.06.27 06:00:00 | 000,013,824 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPD49.DLL
[2002.06.27 06:00:00 | 000,046,080 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\CNMPP49.DLL
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2007.04.09 13:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe

[color=#A23BEC]< %systemroot%\REPAIR\*.bak1 >[/color]

[color=#A23BEC]< %systemroot%\REPAIR\*.ini >[/color]

[color=#A23BEC]< %systemroot%\system32\*.jpg >[/color]

[color=#A23BEC]< %systemroot%\*.scr >[/color]

[color=#A23BEC]< %systemroot%\*._sy >[/color]

[color=#A23BEC]< %APPDATA%\Adobe\Update\*.* >[/color]

[color=#A23BEC]< %ALLUSERSPROFILE%\Favorites\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Microsoft\*.* >[/color]

[color=#A23BEC]< %PROGRAMFILES%\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Update\*.* >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
[2002.03.29 02:11:24 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2002.03.29 02:11:24 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2002.03.29 02:11:24 | 000,409,600 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

[color=#A23BEC]< %systemroot%\system32\user32.dll /md5 >[/color]
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\system32\ws2_32.dll /md5 >[/color]
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\system32\ws2help.dll /md5 >[/color]
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]


[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\System32\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-01-11 21:13:48

[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 139 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:63238B95
@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E8BE05FA
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0CE7F3C9

< End of report >


OTL Extras logfile created on: 25.01.2011 20:58:24 - Run 1
OTL by OldTimer - Version 3.2.20.5 Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 64,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 576 1152 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 241,24 Gb Free Space | 80,93% Space Free | Partition Type: NTFS
Drive Z: | 19,07 Gb Total Space | 9,87 Gb Free Space | 51,74% Space Free | Partition Type: NTFS

Computer Name: PC1 | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
jsfile [edit] -- "C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"54925:UDP" = 54925:UDP:*:Enabled:BrotherNetwork Scanner

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe" = C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe:*:Enabledreamweaver 8 -- (Macromedia, Inc.)
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\Programme\Creative\Shared Files\Software Update\AutoUpdate.exe" = C:\Programme\Creative\Shared Files\Software Update\AutoUpdate.exe:*isabled:Creative Software AutoUpdate -- (Creative Technology Ltd)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Brother\Brmfl08d\FAXRX.exe" = C:\Programme\Brother\Brmfl08d\FAXRX.exe:*:Enabled:FAXRX.EXE -- ()
"D:\WD Discovery Software\WD Discovery.exe" = D:\WD Discovery Software\WD Discovery.exe:*:Enabled:WD Discovery Application


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{02F0B8AE-7501-4333-AFBE-6BAABFEC7637}" = WISO Steuer-Sparbuch 2011
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{121634B0-2F4B-11D3-ADA3-00C04F52DD52}" = Windows Installer Clean Up
"{13CE6A18-2936-49E5-B10C-148A12C035DD}" = Lohn & Gehalt 2010
"{15B2BC56-D179-4450-84B9-7A8D7F4CE1B9}" = Lexware Info Service
"{1632C6D2-EDA8-4BA3-8CA3-74742C6EE3F5}" = Lexware Elster
"{17DFE37C-064E-4834-AD8F-A4B2B4DF68F8}" = Adobe Photoshop Elements 8.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java(TM) 6 Update 23
"{2B443CC6-7EBE-43FF-91A8-6AC3B5A085FD}" = Lexware buchhalter 2011
"{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{379BD39E-F13E-458F-96D8-56BD7F2CC516}" = Series II MIDI
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{46B70DEB-97B3-4E38-B746-EC16905E6A8F}" = WISO Sparbuch 2010
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}" = Macromedia Fireworks 8
"{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}" = Fotostory 3 für Windows
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6E9B276F-77BE-49F7-8676-C10017F9E20B}" = Lexware buchhalter Servicepack 2008, Version 13.50
"{745877DC-8FFE-4E4C-ABBC-589B887A47D1}" = Virtual Sound Canvas DXi
"{7A8FF745-BBC5-482B-88E4-18D3178249A9}" = ScanSoft PaperPort 11
"{7F8103B3-6404-4AC2-8271-0CD720F664B1}" = Dolet Light für Finale 2004
"{8A1033B0-EF33-4FB5-97A1-C47A7DCDD7E6}_is1" = ClipGrab 3.0.7.2
"{8E00A1E0-921D-11D4-9F9F-A5A5A5A5A5A5}" = T-Concept X321 XI321
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A4D182C-35C7-4791-8484-4304EBC9101A}" = Windows 7 Upgrade Advisor
"{A1973A71-BC23-4A8C-A0A0-2B0497B7EAF4}" = WISO Sparbuch 2008
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{BC63A4AC-435D-4AAD-9881-D0ED60804D1A}" = Lexware buchhalter Aktualisierung Februar 2008, Version 13.10
"{BEEFC4F8-2909-48B3-AFAA-55D3533FDEDD}" = Creative MediaSource 5
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C5DECB40-7801-11D4-AFAE-0050DA073284}" = T-Concept X320 Xi320 Xi520
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5F9E6AA-7075-49EC-992F-A6213C73607F}" = Adobe Photoshop Album
"{DA22A6BB-10B5-4595-BD59-1AD4023C8536}" = Virtual Sound Canvas VST
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E7F56612-69F7-4F85-AD0B-B04B1C5BC3BD}" = Creative ZEN V Series (R2)
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{EC7E7133-B375-46A4-83A3-72C89FEBA22B}" = Microsoft Office Outlook 2003 SMS Add-in
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F4933D9F-89CC-4CA9-B5B0-CF32968890C7}" = BookScan&Whiteboard Suite
"{F5294001-AACD-4DD4-B228-CE44AD4C0F87}" = Brother MFL-Pro Suite MFC-5490CN
"{F59205C8-E5FB-43F5-AAB2-16C1760D4F59}" = FaceFilter Studio Brother Edition
"{FE688026-1C8C-4E50-889D-4B6607CADC24}" = Lexware buchhalter 2008
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Photoshop Elements 8.0" = Adobe Photoshop Elements 8.0
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon Camera WIA Driver PowerShot A40" = Canon PowerShot A40 WIA Driver
"Canon PhotoStitch 3.1" = Canon Utilities PhotoStitch 3.1
"Canon Utilities RAW Image Converter" = Canon Utilities RAW Image Converter
"CCleaner" = CCleaner
"Clickster16342" = Clickster
"CloneDVD2" = CloneDVD2
"Creative Removable Disk Manager" = Creative-Manager für Wechseldatenträger
"Creative Software AutoUpdate" = Creative Software AutoUpdate
"ElsterFormular 11.1.2.3848" = ElsterFormular
"eMule" = eMule
"Finale 2004a" = Finale 2004a
"Finale 2008" = Finale 2008
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"Guitar Pro 5_is1" = Guitar Pro 5.2
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"JDownloader" = JDownloader
"LetsTrade" = LetsTrade Komponenten
"Melody Assistant" = Melody Assistant
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"MIDIsport2x2" = Midisport 2x2 1.0.1.0
"MOBackup-DatensicherungfürOutlook" = MOBackup - Datensicherung für Outlook (Vollversion)
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Ahead NeroVision Express
"OutlookExpressDatensicherung" = OEBackup - Outlook Express Datensicherung (Vollversion)
"PG Music DirectX Plugins_is1" = PG Music DirectX Plugins 2.0.0.0
"PhotoRecord" = Canon PhotoRecord
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"RemoteCapture" = Canon Utilities RemoteCapture 2.2
"ReOrganize_is1" = ReOrganize!
"Roni Music Amazing Slow Downer v2.56" = Roni Music Amazing Slow Downer v2.56
"s25atonce_is1" = s25atonce 2.3.9
"Steinberg Cubase LE" = Steinberg Cubase LE
"sv.net" = sv.net
"SysInfo" = Creative-Systeminformationen
"USBCOMM&10AB&10C5" = USB Data Cable
"ViewpointMediaPlayer" = Viewpoint Media Player (Remove Only)
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 5.9.1
"ZC AVI to DVD Creator_is1" = ZC AVI to DVD Creator 6.5.9
"ZENcast Organizer" = ZENcast Organizer
"ZoomBrowserEXDeInstall" = Canon Utilities ZoomBrowser EX

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 18.01.2011 12:57:06 | Computer Name = PC1 | Source = MemeoBackgroundService | ID = 0
Description =

Error - 18.01.2011 13:20:51 | Computer Name = PC1 | Source = Avira AntiVir | ID = 4110
Description = Während der Initialisierung der Suchengine trat ein unbekannter Fehler
auf! Fehlercode: 0x35

Error - 18.01.2011 15:23:35 | Computer Name = PC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung winver.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 18.01.2011 16:36:04 | Computer Name = PC1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.01.2011 17:58:37 | Computer Name = PC1 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .

Error - 18.01.2011 17:58:38 | Computer Name = PC1 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 18.01.2011 18:08:39 | Computer Name = PC1 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .

Error - 18.01.2011 18:08:40 | Computer Name = PC1 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.

Error - 18.01.2011 19:20:41 | Computer Name = PC1 | Source = Avira AntiVir | ID = 4122
Description = Die Datei <AVEvtLog> konnte nicht geladen werden. Fehlercode:

Error - 19.01.2011 18:50:22 | Computer Name = PC1 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.5512, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00023845.

[ System Events ]
Error - 22.01.2011 11:43:50 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek UDISK PDU01-2G 87H2.0 USB Device nicht laden.

Error - 22.01.2011 11:43:52 | Computer Name = PC1 | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek UDISK PDU01-2G 87H2.0 USB Device nicht laden.

Error - 22.01.2011 12:07:08 | Computer Name = PC1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2

Error - 23.01.2011 07:06:56 | Computer Name = PC1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2

Error - 23.01.2011 09:50:02 | Computer Name = PC1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2

Error - 25.01.2011 13:18:38 | Computer Name = PC1 | Source = Print | ID = 54
Description = Dokument Testseite war beschädigt und wurde gelöscht. Der zugewiesene
Treiber ist: Brother MFC-5490CN Printer.

Error - 25.01.2011 13:19:36 | Computer Name = PC1 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2

Error - 25.01.2011 13:20:58 | Computer Name = PC1 | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.

Error - 25.01.2011 15:09:14 | Computer Name = PC1 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 25.01.2011 15:09:14 | Computer Name = PC1 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

[ TuneUp Events ]
Error - 08.01.2011 19:40:07 | Computer Name = PC1 | Source = TuneUp.UtilitiesSvc | ID = 300
Description =

Error - 08.01.2011 19:46:33 | Computer Name = PC1 | Source = TuneUp.UtilitiesSvc | ID = 300
Description =


< End of report >



zu Schritt 3:

Code

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-25 21:24:25
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdePort0 ST3320620A rev.3.AAF
Running: drzwufhb.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\pgtdapow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                                                                   sector 63: rootkit-like behavior; 

---- Devices - GMER 1.0.15 ----

Device          \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0                                                                                                     8A30F39B
Device          \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1                                                                                                     8A30F39B
Device          \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP0T1L0-c                                                                                            8A30F39B
Device          \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-17                                                                                           8A30F39B

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                               Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Device\Ide\IdeDeviceP0T0L0-4 -> \??\IDE#DiskST3320620A______________________________3.AAF___#5&e4580fa&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}  device not found

---- EOF - GMER 1.0.15 ----

#4 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

#5 Habe nach der Rootkitsuche den PC neu gestartet, jetzt will er, dass ich Windows neu aktiviere!?
Ist das normal?

Hätte ich den Haken für den Automatischen Neustart eigentlich wieder setzen sollen?

Hab irgendwo gelesen, dass Combo-Fix öfters wieder startet, geht das jetzt auch?

Will nur irgendwelche weiteren Schäden vermeiden!

#6 Und noch ne frage,

seit etwa einer Stunde habe ich das blaue Fenster von Combo-Fix auf dem Schirm!
Im Fenster steht der Text:

Suche nach infizierten Dateien....
Dies dauert normalerweise nicht länger als 10 Minuten.
Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln.
_ (blinkt)

sonst passiert nichts weiter???

Ist das richtig so?

#7

Zitat

Suche nach infizierten Dateien....
Dies dauert normalerweise nicht länger als 10 Minuten.
Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln.
_ (blinkt)

sonst passiert nichts weiter???

Hörste deine Festplatte rattern?
(Solang sich was tut wird's wohl halt etwas dauern)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Guten Morgen,

heute Morgen unveränderter Zustand!?
Auch kein Rattern!

Habe den Rechner ausgemacht, Combo-Fix ließ sich allerdings nicht schliessen.

Gruß
rrutsch

#9 Lege einmal die WindowsCD ein und versuche eine Reparatur durchzuführen.

#10 Hallo Swiss,

bin leider erst heute zur Reparatur gekommen...

So, PC ist wieder da! Scheint funktioniert zu haben... Jetzt ist SP2 drauf.

Wie geht es jetzt weiter...?

#11 Versuche nun Combofix auszuführen.

#12 Mmmh, ich weiß ja nicht...
Habe wieder den blauen Schirm mit dem Text:

Suche nach infizierten Dateien....
Dies dauert normalerweise nicht länger als 10 Minuten.
Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln.

Kein blinkender Strich, und die Maus ist "eingefrohren"

Warten...?

#13 Guten Morgen Swiss,

leider war es heute morgen wieder so, wie beim letzten mal:

Suche nach infizierten Dateien....
Dies dauert normalerweise nicht länger als 10 Minuten.
Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln.
_ (blinkt)

Sonst nichts...

Habe den PC wieder ausgemacht.

Sieht nicht so toll aus, oder...???

Gruß
Rainer

#14 Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O20 - Winlogon\Notify\wintfn32: DllName - wintfn32.dll - C:\WINDOWS\System32\wintfn32.dll ()
[2011.01.18 20:23:26 | 000,105,984 | ---- | C] () -- C:\WINDOWS\System32\wintfn32.dll
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

#15 Schritt 1: erledigt

Schritt 2:

All processes killed
Error: Unable to interpret <:OTLO20 - Winlogon\Notify\wintfn32: DllName - wintfn32.dll - C:\WINDOWS\System32\wintfn32.dll ()[2011.01.18 20:23:26 | 000,105,984 | ---- | C] () -- C:\WINDOWS\System32\wintfn32.dll:Commands[purity][emptytemp]> in the current context!

OTL by OldTimer - Version 3.2.20.5 log created on 01282011_132726

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Schritt 3:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0200000d

Kernel Drivers (total 120):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0x8984C000 \WINDOWS\system32\KDCOM.DLL
0xF789B000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7987000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF7989000 viaide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7607000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF798B000 dmload.sys
0xF74B1000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7499000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF747A000 fltmgr.sys
0xF7468000 sr.sys
0xF7647000 Lbd.sys
0xF7451000 KSecDD.sys
0xF743E000 WudfPf.sys
0xF7B52000 Ntfs.sys
0xF7411000 NDIS.sys
0xF7657000 viaagp.sys
0xF787C000 Mup.sys
0xF7536000 \SystemRoot\system32\DRIVERS\AmdPPM.sys
0xB9020000 \SystemRoot\system32\DRIVERS\ati2mpad.sys
0xB900C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7526000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB9205000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB91FD000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB8FFB000 \SystemRoot\system32\DRIVERS\serial.sys
0xB9AD7000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB8FE7000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7516000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7506000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB8FC4000 \SystemRoot\system32\DRIVERS\ks.sys
0xB91F5000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB8FA1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB91ED000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB91E5000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF74F6000 \SystemRoot\system32\drivers\es1371mp.sys
0xB8F7D000 \SystemRoot\system32\drivers\portcls.sys
0xBA7C8000 \SystemRoot\system32\drivers\drmk.sys
0xF79E1000 \SystemRoot\system32\DRIVERS\serscan.sys
0xB9A63000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB9FB0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB9ACF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB8F66000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB9FA0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB9F90000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB91DD000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB8F55000 \SystemRoot\system32\DRIVERS\psched.sys
0xB9F80000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF776F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7777000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB5507000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA758000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF777F000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7997000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB54D3000 \SystemRoot\system32\DRIVERS\update.sys
0xB9077000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xAF60B000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xAE983000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAE8FB000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xAE824000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB6333000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAD8E8000 \SystemRoot\system32\DRIVERS\49246208.sys
0xB5AFB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xAE411000 \SystemRoot\System32\Drivers\Null.SYS
0xB5AF9000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77EF000 \SystemRoot\System32\drivers\vga.sys
0xB5AF7000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB5AF5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF780F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB28B2000 \SystemRoot\System32\Drivers\Npfs.SYS
0xAE957000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAC9CB000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAC973000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAC94B000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAC929000 \SystemRoot\System32\drivers\afd.sys
0xAF7A6000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB28C2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAC8FD000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAC88E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB0521000 \SystemRoot\System32\Drivers\Fips.SYS
0xAC86D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB9B53000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE688000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB9AF3000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB28A2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xAE684000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAFE11000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xA9245000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7A05000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA5F99000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA568B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xA817C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA5E08000 \SystemRoot\System32\watchdog.sys
0xA6722000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7A7E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2drad.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA4E76000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB54BB000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA4DF9000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA4D94000 \SystemRoot\system32\drivers\wdmaud.sys
0xB0541000 \SystemRoot\system32\drivers\sysaudio.sys
0xAECA0000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA4973000 \SystemRoot\system32\DRIVERS\srv.sys
0xA4872000 \??\C:\Programme\Roland\Virtual Sound Canvas DXi\RVIEg01.sys
0xA484A000 \??\C:\Programme\Roland\Virtual Sound Canvas VST\RVIEg01VST.sys
0xA44AB000 \SystemRoot\system32\drivers\kmixer.sys
0xA3EA4000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 38):
0 System Idle Process
4 System
580 C:\WINDOWS\system32\smss.exe
684 csrss.exe
752 C:\WINDOWS\system32\winlogon.exe
808 C:\WINDOWS\system32\services.exe
820 C:\WINDOWS\system32\lsass.exe
1000 C:\WINDOWS\system32\svchost.exe
1056 svchost.exe
1144 C:\WINDOWS\system32\svchost.exe
1304 C:\WINDOWS\system32\svchost.exe
1444 svchost.exe
1480 svchost.exe
1560 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
1660 C:\WINDOWS\system32\spoolsv.exe
1736 C:\Programme\Avira\AntiVir Desktop\sched.exe
1752 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1892 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1792 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1220 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
1944 C:\WINDOWS\system32\atiptaxx.exe
1964 C:\WINDOWS\system32\ctfmon.exe
1996 C:\Programme\Brother\Brmfl08d\FAXRX.exe
196 C:\Programme\Bonjour\mDNSResponder.exe
672 C:\WINDOWS\explorer.exe
1208 C:\Programme\Brother\Brmfcmon\BrMfimon.exe
320 C:\WINDOWS\system32\CTSVCCDA.EXE
480 C:\Programme\Java\jre6\bin\jqs.exe
1228 backupService-ox.exe
264 C:\WINDOWS\system32\svchost.exe
2248 wmiprvse.exe
2780 unsecapp.exe
2968 alg.exe
2964 C:\WINDOWS\system32\wscntfy.exe
3892 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
156 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe
652 C:\Programme\Lavasoft\Ad-Aware\AAWWSC.exe
760 C:\Programme\Lavasoft\Ad-Aware\AAWWSC.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\Z: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3320620A, Rev: 3.AAF
PhysicalDrive1 Model Number: ST320423A, Rev: 3.02

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
19 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!