Windows 7: Dateien suchen Inetverb., System Error, Restart(u.a. KiwroKwhwkl.exe)

#0
30.03.2011, 17:44
...neu hier

Beiträge: 10
#1 Hallo liebe Forenmitglieder,
heute nutzte ich mein Netbook (Windows 7 Starter) für normale Internetrecherchen und Excel-Arbeiten bis:
-sich Fenster auftaten, "setup1234567.exe" (verschiedene Zahlenkombis) und "internetexplorerupdate.exe" suchten die Verbindung zum Internet (für jede geschlossene Anfrage öffnete sich mindestens eine neue)
-ein älter scheinendes Fenster mir auf englisch was von System Error erzählen wollte
-im Hintergrund sich mehrfach ein Prozessfenster öffnete mit dem Titel "Browserverlauf löschen" (links oben mit der grafik wie beim kopieren/ löschen einer unbekannten datengröße), also es mir sagen wollte, dass in dem Moment der Browserverlauf gelöscht wird
-ein weiteres Fenster/ mehrere Fenster gleichzeitig mir was von "Hardrive Failure" erzählte/n (in der Leiste unten mit einem Würfelsymbol)
-insgesamt alles langsamer wurde (klar durch die Flut an Meldungen)
-meine Fenster sich schlossen und sich ein Neustart ankündigte

Anstatt mich anzumelden startete ich das Netbook neu, in den abgesicherten Modus (hab nur ein Benutzerkonto), angemeldet und Norton Systemscan durchgeführt.

Code


Scanstatistik:
  Scanzeit: 3309 Sekunden
  Scanoptionen:
  Scanziele: C:\, D:\, E:\
  Zähler:
Gescannte Elemente insgesamt: 512.364
– Dateien und Laufwerke: 503.724
– Registrierungseinträge: 339
– Prozesse und Elemente beim Start: 2.344
– Netzwerk und Browser-Elemente: 5.952
– Sonstiges: 5
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 92
Behobene Elemente insgesamt: 5
Elemente insgesamt, die Aufmerksamkeit erfordern: 87

Behobene Bedrohungen:
Suspicious.MH690.A
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Registrierungseintrag
HKEY_USERS\S-1-5-21-1410290987-3990336960-2639907674-1000\Software\Microsoft\Windows\CurrentVersion\Run->engel - Gelöscht
1 Datei
c:\users\stephan\appdata\roaming\updates\updates.exe - Gelöscht
1 Browser-Cache



Suspicious.MH690.A
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\users\stephan\appdata\roaming\microsoft\windows\start menu\programs\startup\mousedriver.exe - Gelöscht
1 Browser-Cache



Suspicious.MH690.A
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\users\stephan\appdata\local\temp\cvbf.exe - Gelöscht
1 Browser-Cache



Suspicious.MH690.A
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\users\stephan\appdata\local\temp\ycqsw.exe - Gelöscht
1 Browser-Cache



Backdoor.Ciadoor
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)  
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Datei
c:\users\stephan\downloads\server.exe - Gelöscht
1 Browser-Cache





Nicht behobene Bedrohungen:
87 Tracking-Cookies
Typ: Anomalie
Risiko: Gering (Gering Verbergen, Gering Entfernen, Gering Leistung, Gering Datenschutz)  
Kategorien: Cookie
Status: Nicht versucht
-----------
87 Tracking-Cookies
.advertising.com - Keine Aktion unternommen
.ivwbox.de - Keine Aktion unternommen
.adfarm1.adition.com - Keine Aktion unternommen
.doubleclick.net - Keine Aktion unternommen
.atdmt.com - Keine Aktion unternommen
.apmebf.com - Keine Aktion unternommen
.mediaplex.com - Keine Aktion unternommen
.bs.serving-sys.com - Keine Aktion unternommen
.serving-sys.com - Keine Aktion unternommen
.quantserve.com - Keine Aktion unternommen
.tradedoubler.com - Keine Aktion unternommen
.adtech.de - Keine Aktion unternommen
.fastclick.net - Keine Aktion unternommen
ad.zanox.com - Keine Aktion unternommen
.revsci.net - Keine Aktion unternommen
ad.yieldmanager.com - Keine Aktion unternommen
.imrworldwide.com - Keine Aktion unternommen
.adbrite.com - Keine Aktion unternommen
.rubiconproject.com - Keine Aktion unternommen
.pixel.rubiconproject.com - Keine Aktion unternommen
.adecn.com - Keine Aktion unternommen
.statcounter.com - Keine Aktion unternommen
statse.webtrendslive.com - Keine Aktion unternommen
.intellitxt.com - Keine Aktion unternommen
.specificclick.net - Keine Aktion unternommen
.adviva.net - Keine Aktion unternommen
.guj.122.2o7.net - Keine Aktion unternommen
fl01.ct2.comclick.com - Keine Aktion unternommen
adfarm1.adition.com - Keine Aktion unternommen
ad3.adfarm1.adition.com - Keine Aktion unternommen
studivz.adfarm1.adition.com - Keine Aktion unternommen
ad2.adfarm1.adition.com - Keine Aktion unternommen
.2o7.net - Keine Aktion unternommen
.viacom.adbureau.net - Keine Aktion unternommen
ww251.smartadserver.com - Keine Aktion unternommen
ad1.adfarm1.adition.com - Keine Aktion unternommen
.xiti.com - Keine Aktion unternommen
.questionmarket.com - Keine Aktion unternommen
.smartadserver.com - Keine Aktion unternommen
ad4.adfarm1.adition.com - Keine Aktion unternommen
.zedo.com - Keine Aktion unternommen
.betarget.de - Keine Aktion unternommen
rss.feedsportal.com - Keine Aktion unternommen
.liveperson.net - Keine Aktion unternommen
.sonyeurope.112.2o7.net - Keine Aktion unternommen
.microsoftgamestudio.112.2o7.net - Keine Aktion unternommen
.deutschepostag.112.2o7.net - Keine Aktion unternommen
www.etracker.de - Keine Aktion unternommen
.burstnet.com - Keine Aktion unternommen
.sevenoneintermedia.112.2o7.net - Keine Aktion unternommen
fc.webmasterpro.de - Keine Aktion unternommen
.partypoker.com - Keine Aktion unternommen
.www.burstnet.com - Keine Aktion unternommen
.yadro.ru - Keine Aktion unternommen
.philips.112.2o7.net - Keine Aktion unternommen
.adlegend.com - Keine Aktion unternommen
.adverserve.net - Keine Aktion unternommen
.suunto.122.2o7.net - Keine Aktion unternommen
de.finance.yahoo.com - Keine Aktion unternommen
.daimlerag.122.2o7.net - Keine Aktion unternommen
.viaviralvideo.112.2o7.net - Keine Aktion unternommen
.myhammer.122.2o7.net - Keine Aktion unternommen
.ru4.com - Keine Aktion unternommen
.bwincom.122.2o7.net - Keine Aktion unternommen
.content.yieldmanager.com - Keine Aktion unternommen
.tribalfusion.com - Keine Aktion unternommen
.247realmedia.com - Keine Aktion unternommen
.metriweb.be - Keine Aktion unternommen
tap.rubiconproject.com - Keine Aktion unternommen
.myroitracking.com - Keine Aktion unternommen
.vodafonegroup.122.2o7.net - Keine Aktion unternommen
Cookie:stephan@viacom.adbureau.net/ - Keine Aktion unternommen
Cookie:stephan@revsci.net/ - Keine Aktion unternommen
Cookie:stephan@fastclick.net/ - Keine Aktion unternommen
Cookie:stephan@tribalfusion.com/ - Keine Aktion unternommen
Cookie:stephan@imrworldwide.com/cgi-bin - Keine Aktion unternommen
Cookie:stephan@atdmt.com/ - Keine Aktion unternommen
Cookie:stephan@serving-sys.com/ - Keine Aktion unternommen
Cookie:stephan@quantserve.com/ - Keine Aktion unternommen
Cookie:stephan@stat.onestat.com/ - Keine Aktion unternommen
Cookie:stephan@2o7.net/ - Keine Aktion unternommen
Cookie:stephan@questionmarket.com/ - Keine Aktion unternommen
Cookie:stephan@doubleclick.net/ - Keine Aktion unternommen
Cookie:stephan@mediaplex.com/ - Keine Aktion unternommen
Cookie:stephan@apmebf.com/ - Keine Aktion unternommen
- Keine Aktion unternommen
- Keine Aktion unternommen




Die Tracking Cookies hat Norton danach noch angeblich behoben, die Suspicious Dinger und den Backdoor.Ciadoor hat er ja angeblich während des Scans in die Quarantäne verschoben.

Nach dem Speichern des Logs Neustart in abgesichterten Modus mit Netzwerktreibern (aus dem ich euch gerade schreibe)

OTL Scan ergibt: OTL.txt

Code



OTL logfile created on: 30.03.2011 16:48:41 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Stephan\Downloads
Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

987,00 Mb Total Physical Memory | 556,00 Mb Available Physical Memory | 56,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 220,97 Gb Total Space | 4,58 Gb Free Space | 2,07% Space Free | Partition Type: NTFS
Drive D: | 11,62 Gb Total Space | 1,94 Gb Free Space | 16,69% Space Free | Partition Type: NTFS
Drive E: | 99,18 Mb Total Space | 92,59 Mb Free Space | 93,36% Space Free | Partition Type: FAT32

Computer Name: STEPHAN-PC | User Name: Stephan | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Users\Stephan\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Users\Stephan\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (NIS) -- C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe (Symantec Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (STacSV) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\stacsv.exe (IDT, Inc.)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (DvmMDES) -- C:\SPLASH.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (AESTFilters) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\AEstSrv.exe (Andrea Electronics Corporation)
SRV - (ACDaemon) -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (BHDrvx86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100324.001\BHDrvx86.sys (Symantec Corporation)
DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVEX15.SYS (Symantec Corporation)
DRV - (eeCtrl) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVENG.SYS (Symantec Corporation)
DRV - (SymIRON) -- C:\Windows\system32\drivers\NIS\1106000.020\Ironx86.SYS (Symantec Corporation)
DRV - (SRTSP) -- C:\Windows\System32\Drivers\NIS\1106000.020\SRTSP.SYS (Symantec Corporation)
DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\Windows\system32\drivers\NIS\1106000.020\SRTSPX.SYS (Symantec Corporation)
DRV - (ccHP) -- C:\Windows\system32\drivers\NIS\1106000.020\ccHPx86.sys (Symantec Corporation)
DRV - (SymEvent) -- C:\Windows\System32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (SYMTDIv) -- C:\Windows\System32\Drivers\NIS\1106000.020\SYMTDIV.SYS (Symantec Corporation)
DRV - (SymEFA) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMEFA.SYS (Symantec Corporation)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (IDSVix86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100402.001\IDSvix86.sys (Symantec Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)
DRV - (DVMIO) -- C:\SPLASH.SYS\config\dvmio.sys (DeviceVM, Inc.)
DRV - (RSUSBSTOR) -- C:\Windows\System32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV - (SymDS) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMDS.SYS (Symantec Corporation)
DRV - (EraserUtilRebootDrv) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (HpqKbFiltr) -- C:\Windows\system32\DRIVERS\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPNOT/4
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:4.1.8
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170634FE}:3.3.5
FF - prefs.js..extensions.enabledItems: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}:3.6
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36949
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7
FF - prefs.js..network.proxy.ftp: "192.168.6.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.6.1"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.6.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "192.168.6.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "192.168.6.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\ [2010.02.24 18:13:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\ [2010.03.22 19:34:36 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]

[2010.02.24 23:56:22 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Extensions
[2011.03.29 20:21:02 | 000,000,000 | -H-D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions
[2010.10.10 18:23:46 | 000,000,000 | -H-D | M] (ImTranslator) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
[2010.10.10 18:23:46 | 000,000,000 | -H-D | M] (Easy Youtube Video Downloader) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
[2010.12.07 21:02:28 | 000,000,000 | -H-D | M] (FoxTab) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.10.10 18:23:44 | 000,000,000 | -H-D | M] (Gutscheine-Live Gutscheinfinder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\addon@gutscheine-live.de
[2010.10.10 18:23:44 | 000,000,000 | -H-D | M] (Vorteilscout Gutschein-Melder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\oliver.schloebe@vorteilscout.de
[2010.10.10 18:23:45 | 000,000,000 | -H-D | M] (Cooliris) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\piclens@cooliris.com
[2010.12.07 21:02:27 | 000,000,000 | -H-D | M] (FastestFox) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\smarterwiki@wikiatic.com
[2010.10.10 18:23:44 | 000,000,000 | -H-D | M] (YouTube to MP3) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\youtube2mp3@mondayx.de
[2010.02.24 21:42:16 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.02.24 18:13:42 | 000,000,000 | ---D | M] (Norton IPS) -- C:\PROGRAMDATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPLGN
[2010.01.14 00:46:00 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
[2011.03.16 13:50:42 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 13:50:42 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.16 13:50:42 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.16 13:50:42 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.16 13:50:42 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ipsbho.dll (Symantec Corporation)
O2 - BHO: (CmjBrowserHelperObject Object) - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Communicator] C:\Program Files\Microsoft Office Communicator\communicator.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Google Pinyin 2 Autoupdater] C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe (Google Inc.)
O4 - HKLM..\Run: [HP] C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (Hewlett-Packard)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [juszppmo.exe] C:\Users\Stephan\juszppmo.exe ()
O4 - HKCU..\Run: [KiwroKwhwkl] C:\ProgramData\KiwroKwhwkl.exe (TFTC)
O4 - HKCU..\Run: [LvipfeefnBe] C:\Users\Stephan\AppData\Local\Temp\h437ohu.exe ()
O4 - HKCU..\Run: [LvipfeefneP] C:\Users\Stephan\AppData\Local\Temp\avp32.exe ()
O4 - HKCU..\Run: [Lvipfeefnfe] C:\Users\Stephan\AppData\Local\Temp\z0arn.exe ()
O4 - HKCU..\Run: [LvipfeefnjN] C:\Users\Stephan\AppData\Local\Temp\jv6vki2.exe ()
O4 - HKCU..\Run: [Lvipfeefnsf] C:\Users\Stephan\AppData\Local\Temp\lsass.exe ()
O4 - HKCU..\Run: [Lvipfeefnusc] C:\Users\Stephan\AppData\Local\Temp\winlogon.exe ()
O4 - HKCU..\Run: [Lvipfeefnvc] C:\Users\Stephan\AppData\Local\Temp\user.exe ()
O4 - HKCU..\Run: [Simplify Media] C:\Program Files\Hp\HP MediaStream\HPMediaStream.exe (Simplify Media, Inc.)
O4 - HKCU..\Run: [uPc+nlneiejljVcCxl] C:\Users\Stephan\AppData\Local\Temp\adkx66qr.dll ()
O4 - HKCU..\Run: [uPc+nlneiejlniaXms] C:\Users\Stephan\AppData\Local\Temp\jremxv.dll ()
O4 - HKCU..\Run: [uPc+nlneiejlpWaGuo] C:\Users\Stephan\AppData\Local\Temp\jrl4v9v.dll ()
O4 - Startup: C:\Users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O9 - Extra Button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.03.30 15:07:08 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Repair
[2011.03.30 14:52:16 | 002,614,272 | -H-- | C] (Microsoft Corporation) -- C:\Users\Stephan\explorer.bak
[2011.03.30 14:52:14 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\AppData\Roaming\updates
[2011.03.30 14:51:51 | 000,546,304 | -H-- | C] (TFTC) -- C:\ProgramData\KiwroKwhwkl.exe
[2011.03.28 23:19:38 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\ElevatedDiagnostics
[2011.03.20 16:00:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RapidShare Manager
[2011.03.20 16:00:03 | 000,000,000 | -H-D | C] -- C:\Program Files\RapidShareManager
[2011.03.18 18:05:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader
[2011.03.18 18:05:22 | 000,000,000 | -H-D | C] -- C:\Program Files\JDownloader
[2011.03.11 21:29:02 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\Desktop\WG
[2011.03.10 18:41:19 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\AppData\Roaming\Apple Computer
[2011.03.10 18:41:19 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\AppData\Local\Apple Computer
[2011.03.10 18:40:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2011.03.10 18:40:50 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- C:\Windows\System32\GEARAspi.dll
[2011.03.10 18:40:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\DRVSTORE
[2011.03.10 18:39:33 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.03.10 18:35:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011.03.10 18:35:00 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2011.03.10 18:34:59 | 000,000,000 | -H-D | C] -- C:\ProgramData\Apple Computer
[2011.03.10 18:34:30 | 000,000,000 | -H-D | C] -- C:\Users\Stephan\AppData\Local\Apple
[2011.03.10 18:34:13 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2011.03.10 18:32:49 | 000,000,000 | ---D | C] -- C:\Program Files\Bonjour
[2011.03.10 18:32:28 | 000,000,000 | -H-D | C] -- C:\ProgramData\Apple
[2011.03.10 18:32:28 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Apple
[2011.03.09 19:40:20 | 001,074,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll
[2011.03.09 19:40:18 | 000,739,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d2d1.dll
[2011.03.09 19:40:13 | 000,850,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\sbe.dll
[2011.03.09 19:40:13 | 000,642,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\CPFilters.dll
[2011.03.09 19:40:13 | 000,534,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\EncDec.dll
[2011.03.09 19:40:12 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mpg2splt.ax
[2011.03.09 19:40:09 | 000,442,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XpsPrint.dll
[2011.03.09 19:40:09 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\XpsGdiConverter.dll
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.03.30 16:46:54 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.03.30 16:46:54 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.03.30 16:46:54 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.03.30 16:46:54 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.03.30 16:42:36 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.03.30 16:42:27 | 776,581,120 | -HS- | M] () -- C:\hiberfil.sys
[2011.03.30 16:41:52 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2011.03.30 15:22:21 | 000,014,128 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.03.30 15:22:21 | 000,014,128 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.03.30 15:07:08 | 000,000,627 | -H-- | M] () -- C:\Users\Stephan\Desktop\Windows Repair.lnk
[2011.03.30 15:05:56 | 000,000,336 | -H-- | M] () -- C:\ProgramData\34987784
[2011.03.30 15:05:48 | 000,467,968 | -H-- | M] () -- C:\ProgramData\34987784.exe
[2011.03.30 14:53:42 | 000,000,112 | -H-- | M] () -- C:\ProgramData\N64O6m.dat
[2011.03.30 14:53:40 | 000,077,826 | -H-- | M] () -- C:\ProgramData\aq8j864s.exe
[2011.03.30 14:52:16 | 000,055,808 | -H-- | M] () -- C:\Users\Stephan\juszppmo.exe
[2011.03.30 14:51:50 | 000,546,304 | -H-- | M] (TFTC) -- C:\ProgramData\KiwroKwhwkl.exe
[2011.03.20 16:06:55 | 066,560,000 | -H-- | M] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | M] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | M] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | -H-- | M] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | -H-- | M] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.03.30 15:07:08 | 000,000,627 | -H-- | C] () -- C:\Users\Stephan\Desktop\Windows Repair.lnk
[2011.03.30 15:05:56 | 000,000,336 | -H-- | C] () -- C:\ProgramData\34987784
[2011.03.30 15:05:48 | 000,467,968 | -H-- | C] () -- C:\ProgramData\34987784.exe
[2011.03.30 14:53:52 | 000,077,826 | -H-- | C] () -- C:\ProgramData\aq8j864s.exe
[2011.03.30 14:53:41 | 000,000,112 | -H-- | C] () -- C:\ProgramData\N64O6m.dat
[2011.03.30 14:52:16 | 000,055,808 | -H-- | C] () -- C:\Users\Stephan\juszppmo.exe
[2011.03.20 16:04:58 | 066,560,000 | -H-- | C] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | C] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | C] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | -H-- | C] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | -H-- | C] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2011.03.10 18:34:14 | 000,002,519 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2010.03.11 02:42:59 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.03.11 02:30:13 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2010.03.11 02:30:13 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2010.03.01 22:19:45 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.12.24 04:21:01 | 000,006,656 | ---- | C] () -- C:\Windows\System32\bcmwlrc.dll
[2009.12.24 04:15:21 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.12.24 04:13:31 | 000,000,276 | ---- | C] () -- C:\Windows\System32\RStoneLog2.ini
[2009.12.24 04:13:31 | 000,000,217 | ---- | C] () -- C:\Windows\System32\RStoneLog.ini
[2009.11.21 06:48:09 | 000,653,928 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.11.21 06:48:09 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.11.21 06:48:09 | 000,129,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.11.21 06:48:09 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.11.17 13:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2009.09.27 14:49:50 | 000,362,029 | ---- | C] () -- C:\Windows\System32\sqlite3.dll
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,419,240 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,615,810 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,106,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:55:09 | 000,585,216 | ---- | C] () -- C:\Windows\System32\hpotscld.dll
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 001,498,564 | ---- | C] () -- C:\Windows\System32\igkrng400.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat

[color=#E56717]========== LOP Check ==========[/color]

[2011.03.11 22:20:09 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\.anki
[2010.02.25 00:13:18 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\com.nyt.timesreader.78C54164786ADE80CB31E1C5D95607D0938C987A.1
[2010.09.03 02:19:55 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\MindGenius
[2010.10.12 13:39:43 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\SmartDraw
[2011.03.30 15:31:53 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\updates
[2010.03.01 19:50:42 | 000,000,000 | -H-D | M] -- C:\Users\Stephan\AppData\Roaming\ZumoDrive
[2010.11.15 14:58:28 | 000,032,622 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]



< End of report >



und Extras.txt

Code



OTL Extras logfile created on: 30.03.2011 16:48:41 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Stephan\Downloads
Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

987,00 Mb Total Physical Memory | 556,00 Mb Available Physical Memory | 56,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 220,97 Gb Total Space | 4,58 Gb Free Space | 2,07% Space Free | Partition Type: NTFS
Drive D: | 11,62 Gb Total Space | 1,94 Gb Free Space | 16,69% Space Free | Partition Type: NTFS
Drive E: | 99,18 Mb Total Space | 92,59 Mb Free Space | 93,36% Space Free | Partition Type: FAT32

Computer Name: STEPHAN-PC | User Name: Stephan | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [RapidShareManagerEmail] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -mailto "%1" (RapidShare AG)
Directory [RapidShareManagerUpload] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -sendto "%1" (RapidShare AG)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[color=#E56717]========== Authorized Applications List ==========[/color]


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{06F22256-8A8D-4F3F-B22C-6E07313D0FD1}" = HP Support Assistant
"{07FA4960-B038-49EB-891B-9F95930AA544}" = HP Customer Experience Enhancements
"{1061DF04-CF33-40B0-8360-D07C9BBEB122}" = HP Wireless Assistant
"{17B4760F-334B-475D-829F-1A3E94A6A4E6}" = HP Setup
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}" = Cisco Systems VPN Client 5.0.06.0160
"{21FFAF37-E51A-41AB-8749-ACD1F9CF8E37}" = HP QuickWeb
"{254C37AA-6B72-4300-84F6-98A82419187E}" = ActiveCheck component for HP Active Support Library
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{287ECFA4-719A-2143-A09B-D6A12DE54E40}" = Acrobat.com
"{2A697B53-0DE3-42DA-B41D-C3F804B1C538}" = iTunes
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{2DC94AFD-A6E2-4AB4-9132-4A3F8E07B386}" = Apple Application Support
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{34985F59-8F6F-46F4-9AD5-53E2714294D2}" = ArcSoft WebCam Companion 3
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons
"{3877C901-7B90-4727-A639-B6ED2DD59D43}" = ESU for Microsoft Windows 7
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4414C431-245A-4AF7-8FE0-3ED2333FD8D2}" = HP MediaStream
"{44B2A0AB-412E-4F8C-B058-D1E8AECCDFF5}" = Recovery Manager
"{4B7057D5-6D5D-4088-8217-48EA20C44373}" = HP User Guides 0169
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{669D4A35-146B-4314-89F1-1AC3D7B88367}" = HPAsset component for HP Active Support Library
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller Driver For Windows Vista and Later
"{8927E07C-97F7-4A54-88FB-D976F50DD46E}" = Turbo Lister 2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2010
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2010
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2010
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2010
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2010
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2010
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2010
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2010
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0409-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (English) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2010
"{90140000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2010
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.2 MUI
"{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}" = Adobe Shockwave Player
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CACAEB5F-174D-4C7C-AC56-A33289A807CA}" = Apple Mobile Device Support
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D46D081B-F60E-467E-A7C4-117B70D76731}" = HP Update
"{DB44F479-789A-4D76-A31E-663C5658F576}" = Mindjet MindManager 9
"{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}" = IDT Audio
"{E43338D6-366F-4E63-B793-E4C1EEB19FFB}" = Microsoft Office Communicator 2007 R2
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EEA95E6C-6847-49BE-83C9-ED92D8E18983}" = HP QuickSync
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F1D7AC58-554A-4A58-B784-B61558B1449A}" = QLBCASL
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1" = StreamTransport version: 1.0.2.2171
"6103-4188-8184-5707" = RapidShare Manager 2
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Anki" = Anki
"Broadcom 802.11 Wireless LAN Adapter" = Broadcom 802.11 Wireless LAN Adapter
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2009-09-09
"GooglePinyin2" = 谷歌拼音输入法 2.3
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"JDownloader" = JDownloader
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"NIS" = Norton Internet Security
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"Office14.SingleImage" = Microsoft Office Professional 2010
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Winamp" = Winamp
"WinRAR archiver" = WinRAR

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 23.03.2011 18:22:31 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 23.03.2011 18:22:31 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 9282

Error - 23.03.2011 18:22:31 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 9282

Error - 23.03.2011 18:22:32 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 23.03.2011 18:22:32 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 10281

Error - 23.03.2011 18:22:32 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 10281

Error - 23.03.2011 18:22:33 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 23.03.2011 18:22:33 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 11279

Error - 23.03.2011 18:22:33 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 11279

Error - 23.03.2011 18:22:34 | Computer Name = Stephan-PC | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

[ Hewlett-Packard Events ]
Error - 03.09.2010 14:25:15 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
HPSF

   bei HPAssistant.Pages.MaintainAnalyzing.MaintainAnalyzing_Unloaded(Object sender,
RoutedEventArgs e)     bei System.Windows.RoutedEventHandlerInfo.InvokeHandler(Object
target, RoutedEventArgs routedEventArgs)     bei System.Windows.EventRoute.InvokeHandlersImpl(Object
source, RoutedEventArgs args, Boolean reRaised)     bei System.Windows.UIElement.RaiseEventImpl(DependencyObject
sender, RoutedEventArgs args)     bei System.Windows.UIElement.RaiseEvent(RoutedEventArgs
e)     bei System.Windows.BroadcastEventHelper.BroadcastEvent(DependencyObject root,
RoutedEvent routedEvent)     bei System.Windows.BroadcastEventHelper.BroadcastUnloadedEvent(Object
root)     bei MS.Internal.LoadedOrUnloadedOperation.DoWork()     bei System.Windows.Media.MediaContext.FireLoadedPendingCallbacks()

   bei System.Windows.Media.MediaContext.FireInvokeOnRenderCallbacks()     bei System.Windows.Media.MediaContext.RenderMessageHandlerCore(Object
resizedCompositionTarget)     bei System.Windows.Media.MediaContext.AnimatedRenderMessageHandler(Object
resizedCompositionTarget)     bei System.Windows.Threading.ExceptionWrapper.InternalRealCall(Delegate
callback, Object args, Boolean isSingleParameter)     bei System.Windows.Threading.ExceptionWrapper.TryCatchWhen(Object
source, Delegate callback, Object args, Boolean isSingleParameter, Delegate catchHandler)


Error - 09.09.2010 08:34:17 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 09.09.2010 08:34:17 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 07.10.2010 07:18:52 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 07.10.2010 07:18:53 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 20.01.2011 07:14:15 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 20.01.2011 07:14:16 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 20.01.2011 07:14:41 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 20.01.2011 07:14:41 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

Error - 10.03.2011 12:10:53 | Computer Name = Stephan-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath,
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
A_0, EventArgs A_1)

[ System Events ]
Error - 25.02.2011 13:43:11 | Computer Name = Stephan-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error - 25.02.2011 13:43:12 | Computer Name = Stephan-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error - 25.02.2011 13:43:12 | Computer Name = Stephan-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error - 25.02.2011 13:43:13 | Computer Name = Stephan-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Error - 25.02.2011 13:56:49 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst Netman erreicht.

Error - 26.02.2011 09:36:10 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst ShellHWDetection erreicht.

Error - 26.02.2011 15:39:46 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst Wlansvc erreicht.

Error - 26.02.2011 16:31:08 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst NIS erreicht.

Error - 27.02.2011 16:06:50 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst ShellHWDetection erreicht.

Error - 27.02.2011 16:45:43 | Computer Name = Stephan-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst ShellHWDetection erreicht.


< End of report >


Ich hoffe, dass Ihr mir da helfen könnt. Auf dem Rechner sind wichtige Uni-Sachen drauf und ich brauch ihn auch dringend. In der Zwischenzeit versuchs ich mit diesem Gmer.

EDIT: Logfile von Gmer:

Code



GMER 1.0.15.15570 - http://www.gmer.net
Rootkit scan 2011-03-30 18:16:18
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST925041 rev.0006
Running: f524z0xl.exe; Driver: C:\Users\Stephan\AppData\Local\Temp\fwdirfoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD          81A7A589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2   81A9F092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000008a        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                 fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Dieser Beitrag wurde am 30.03.2011 um 18:18 Uhr von stephan.o editiert.
Seitenanfang Seitenende
30.03.2011, 19:49
Moderator

Beiträge: 5694
#2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
31.03.2011, 04:25
...neu hier

Themenstarter

Beiträge: 10
#3 Dankeschön für die rasche Antwort. Während deines Posts hab ich schon nen Scan mit Dr. Web angefangen. Der dauerte knapp 8 Stunden, also bis vor ner halben Stunde und dabei etwa 60 Dateien gefunden, zu unterteilen in: Trojan.Downloader2.20624/25460/10554/10959, (wahrscheinlich) DLOADER.Trojan, Backdoor.Poison.685, (wahrsch.) SCRIPT.Virus und Backdoor.Tdss.4951. Die meisten Dateien mit .exe oder .tmp Endung und in den Ordnern AppData\Local\Temp oder Appdata\Local\Anwendungsdaten\Temp. Die csv Datei kann ich bei Bedarf posten.
Danach das von dir empfohlene Combofix, welches folgende Log hergab:

Code



ComboFix 11-03-30.01 - Stephan 31.03.2011   3:46.1.2 - x86 NETWORK
Microsoft Windows 7 Starter   6.1.7600.0.1252.49.1031.18.987.272 [GMT 2:00]
ausgeführt von:: c:\users\Stephan\Downloads\Combo-Fix.exe
AV: Norton Internet Security Netbook Edition *Disabled/Outdated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Norton Internet Security Netbook Edition *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Norton Internet Security Netbook Edition *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\34987784.exe
c:\programdata\aq8j864s.exe
c:\programdata\KiwroKwhwkl.exe
c:\users\Stephan\AppData\Roaming\Adobe\plugs
c:\users\Stephan\AppData\Roaming\Adobe\plugs\KB82969256.exe
c:\users\Stephan\AppData\Roaming\Adobe\plugs\KB82969350.exe
c:\users\Stephan\AppData\Roaming\Adobe\shed
c:\users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Repair
c:\users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Repair\Uninstall Windows Repair.lnk
c:\users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Repair\Windows Repair.lnk
c:\users\Stephan\Desktop\Windows Repair.lnk
c:\users\Stephan\juszppmo.exe
c:\windows\system32\sqlite3.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-28 bis 2011-03-31  ))))))))))))))))))))))))))))))
.
.
2011-03-31 01:56 . 2011-03-31 01:56    --------    d-----w-    c:\users\Stephan\AppData\Local\temp
2011-03-30 16:23 . 2011-03-30 16:55    --------    d-----w-    c:\users\Stephan\DoctorWeb
2011-03-30 12:52 . 2009-10-31 05:45    2614272    ---ha-w-    c:\users\Stephan\explorer.bak
2011-03-30 12:52 . 2011-03-30 13:31    --------    d--h--w-    c:\users\Stephan\AppData\Roaming\updates
2011-03-28 21:19 . 2011-03-28 21:19    --------    d-----w-    c:\users\Stephan\AppData\Local\ElevatedDiagnostics
2011-03-20 14:00 . 2011-03-20 14:00    --------    d--h--w-    c:\program files\RapidShareManager
2011-03-18 16:05 . 2011-03-29 15:43    --------    d--h--w-    c:\program files\JDownloader
2011-03-10 16:41 . 2011-03-10 17:15    --------    d--h--w-    c:\users\Stephan\AppData\Roaming\Apple Computer
2011-03-10 16:41 . 2011-03-10 16:41    --------    d--h--w-    c:\users\Stephan\AppData\Local\Apple Computer
2011-03-10 16:40 . 2011-03-10 16:40    --------    dc----w-    c:\windows\system32\DRVSTORE
2011-03-10 16:40 . 2009-05-18 12:17    26600    ----a-w-    c:\windows\system32\drivers\GEARAspiWDM.sys
2011-03-10 16:40 . 2008-04-17 11:12    107368    ----a-w-    c:\windows\system32\GEARAspi.dll
2011-03-10 16:39 . 2011-03-10 16:39    --------    d-----w-    c:\program files\iPod
2011-03-10 16:39 . 2011-03-10 16:40    --------    d-----w-    c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2011-03-10 16:39 . 2011-03-10 16:40    --------    d-----w-    c:\program files\iTunes
2011-03-10 16:35 . 2011-03-10 16:35    --------    d-----w-    c:\program files\QuickTime
2011-03-10 16:34 . 2011-03-10 16:39    --------    d--h--w-    c:\programdata\Apple Computer
2011-03-10 16:34 . 2011-03-10 16:34    --------    d--h--w-    c:\users\Stephan\AppData\Local\Apple
2011-03-10 16:34 . 2011-03-10 16:34    --------    d-----w-    c:\program files\Apple Software Update
2011-03-10 16:32 . 2011-03-10 16:32    --------    d-----w-    c:\program files\Bonjour
2011-03-10 16:32 . 2011-03-10 16:39    --------    d-----w-    c:\program files\Common Files\Apple
2011-03-10 16:32 . 2011-03-10 16:32    --------    d--h--w-    c:\programdata\Apple
2011-03-10 16:01 . 2010-09-14 06:07    276992    ----a-w-    c:\windows\system32\wcncsvc.dll
2011-03-09 17:40 . 2011-02-19 05:32    1074176    ----a-w-    c:\windows\system32\DWrite.dll
2011-03-09 17:40 . 2011-02-19 05:33    802304    ----a-w-    c:\windows\system32\FntCache.dll
2011-03-09 17:40 . 2011-02-19 05:32    739840    ----a-w-    c:\windows\system32\d2d1.dll
2011-03-09 17:40 . 2010-12-23 05:28    850432    ----a-w-    c:\windows\system32\sbe.dll
2011-03-09 17:40 . 2010-12-23 05:28    642048    ----a-w-    c:\windows\system32\CPFilters.dll
2011-03-09 17:40 . 2010-12-23 05:28    534528    ----a-w-    c:\windows\system32\EncDec.dll
2011-03-09 17:40 . 2010-12-23 05:24    199680    ----a-w-    c:\windows\system32\mpg2splt.ax
2011-03-09 17:40 . 2010-12-18 05:30    2690560    ----a-w-    c:\windows\system32\mstscax.dll
2011-03-09 17:40 . 2010-12-18 05:26    1034240    ----a-w-    c:\windows\system32\mstsc.exe
2011-03-09 17:40 . 2011-01-07 07:31    442880    ----a-w-    c:\windows\system32\XpsPrint.dll
2011-03-09 17:40 . 2011-01-07 07:31    288256    ----a-w-    c:\windows\system32\XpsGdiConverter.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-11 14:49 . 2011-02-11 14:49    2135096    ----a-w-    c:\windows\system32\GooglePinyin2.ime
2011-02-03 05:45 . 2011-02-22 16:00    219008    ----a-w-    c:\windows\system32\drivers\dxgmms1.sys
2011-01-07 07:27 . 2011-02-22 16:01    34304    ----a-w-    c:\windows\system32\atmlib.dll
2011-01-07 05:33 . 2011-02-22 16:01    294400    ----a-w-    c:\windows\system32\atmfd.dll
2011-01-05 05:37 . 2011-02-22 16:01    428032    ----a-w-    c:\windows\system32\vbscript.dll
2011-01-05 03:37 . 2011-02-22 16:01    2329088    ----a-w-    c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Simplify Media"="c:\program files\Hp\HP MediaStream\HPMediaStream.exe" [2009-10-23 21498376]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-16 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-16 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-16 150552]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-10-12 495708]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-08-20 322104]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-20 149280]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-09-01 499768]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"Communicator"="c:\program files\Microsoft Office Communicator\communicator.exe" [2010-11-12 5145952]
"Google Pinyin 2 Autoupdater"="c:\program files\Google\Google Pinyin 2\GooglePinyinDaemon.exe" [2011-02-11 1160760]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-03-07 421160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
.
c:\users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2010 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office14\ONENOTEM.EXE [2010-3-29 227712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-2-24 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
   Ime File    REG_SZ             GOOGLEPINYIN2.IME
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R1 BHDrvx86;BHDrvx86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100324.001\BHDrvx86.sys [2010-03-24 536112]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1106000.020\ccHPx86.sys [2010-02-25 501888]
R1 DVMIO;DVMIO;c:\splash.sys\config\dvmio.sys [2009-09-29 17624]
R1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100402.001\IDSvix86.sys [2009-10-28 343088]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1106000.020\Ironx86.SYS [2010-02-27 116784]
R1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\System32\Drivers\NIS\1106000.020\SYMTDIV.SYS [2010-02-04 340016]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\aestsrv.exe [2009-03-02 81920]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\splash.sys\config\DVMExportService.exe [2009-07-08 323584]
R2 NIS;Norton Internet Security;c:\program files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe [2010-02-25 126392]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-08-29 102448]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-02 174592]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-10-02 204288]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1106000.020\SYMDS.SYS [2009-08-30 328752]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1106000.020\SYMEFA.SYS [2010-02-04 172592]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation    REG_MULTI_SZ       SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MIF5BA~1\Office14\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\programme\Microsoft Office\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MIF5BA~1\Office12\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MIF5BA~1\Office14\ONBttnIE.dll/105
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\users\Stephan\AppData\Roaming\Mozilla\Firefox\Profiles\jwjbbt3c.default\
FF - prefs.js: network.proxy.ftp - 192.168.6.1
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - 192.168.6.1
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - 192.168.6.1
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 192.168.6.1
FF - prefs.js: network.proxy.socks_port - 1080
FF - prefs.js: network.proxy.ssl - 192.168.6.1
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Norton IPS: {BBDA0591-3099-440a-AA10-41764D9DB4DB} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn
FF - Ext: FastestFox: smarterwiki@wikiatic.com - %profile%\extensions\smarterwiki@wikiatic.com
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: Easy Youtube Video Downloader: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b} - %profile%\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-KiwroKwhwkl - c:\programdata\KiwroKwhwkl.exe
HKCU-Run-juszppmo.exe - c:\users\Stephan\juszppmo.exe
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-RunOnce-<NO NAME> - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"=""c:\program files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe" /s "NIS" /m "c:\program files\Norton Internet Security\Engine\17.6.0.32\diMaster.dll" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1410290987-3990336960-2639907674-1000\Software\SecuROM\License information*]
"datasecu"=hex:14,9a,e3,64,60,59,2e,fb,84,bd,b9,c0,99,82,e7,c0,84,6d,f6,0a,26,
   a6,5e,5a,fa,56,39,7f,39,c9,8e,83,43,ed,7b,77,bc,71,cd,fe,f5,b2,e8,5f,5f,d0,\
"rkeysecu"=hex:10,a9,f2,47,69,92,99,6d,e6,92,79,71,2c,06,87,47
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-31  04:04:58
ComboFix-quarantined-files.txt  2011-03-31 02:04
.
Vor Suchlauf: 4.601.806.848 Bytes frei
Nach Suchlauf: 4.620.509.184 Bytes frei
.
- - End Of File - - 3BA18269C192D2EAEDDC6545E371F725



Jetzt im abgesicherten Modus seh ich schon wieder viel mehr Dateien auf dem Desktop, außerdem sind meine Bibliotheken und meine "Favoriten" erreichbar.

Kannst du mir noch was über den Virus und seinen Verbleib sagen?
Seitenanfang Seitenende
31.03.2011, 13:19
Moderator

Beiträge: 5694
#4

Zitat

Dankeschön für die rasche Antwort. Während deines Posts hab ich schon nen Scan mit Dr. Web angefangen. Der dauerte knapp 8 Stunden, also bis vor ner halben Stunde und dabei etwa 60 Dateien gefunden, zu unterteilen in: Trojan.Downloader2.20624/25460/10554/10959, (wahrscheinlich) DLOADER.Trojan, Backdoor.Poison.685, (wahrsch.) SCRIPT.Virus und Backdoor.Tdss.4951. Die meisten Dateien mit .exe oder .tmp Endung und in den Ordnern AppData\Local\Temp oder Appdata\Local\Anwendungsdaten\Temp. Die csv Datei kann ich bei Bedarf posten.
Bitte mach das was ich schreibe oder dann lassen wir es bleiben. Alles andere bringt nichts. Ok?
Seitenanfang Seitenende
31.03.2011, 13:34
...neu hier

Themenstarter

Beiträge: 10
#5 Sorry, ich hatte den Scan schon vor deinem Post gestartet und halt durchlaufen lassen.

Ich hab ja jetzt die Logfile aus dem Combofix. Was kann ich denn jetzt damit anfangen?
Dieser Beitrag wurde am 31.03.2011 um 13:43 Uhr von stephan.o editiert.
Seitenanfang Seitenende
31.03.2011, 13:59
Moderator

Beiträge: 5694
#6 Schritt 1

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter:

Malwarebytes


* Anwendbar auf Windows 2000, XP, Vista und Windows 7.
* Installiere das Programm in den vorgegebenen Pfad.
* Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
* Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
* Aktiviere "Komplett Scan durchführen" => Scan.
* Wähle alle verfügbaren Laufwerke aus und starte den Scan.
* Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden.
* Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
* Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
* Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
* Berichte, wie der Rechner nun läuft.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
Seitenanfang Seitenende
31.03.2011, 18:15
...neu hier

Themenstarter

Beiträge: 10
#7 Scan mit Anti-Malware ergab 7 infizierte Dateien

Code


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6226

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

31.03.2011 17:52:00
mbam-log-2011-03-31 (17-52-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 275459
Laufzeit: 29 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\programdata\34987784.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\programdata\kiwrokwhwkl.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Stephan\AppData\Roaming\Adobe\plugs\kb82969256.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Stephan\AppData\Roaming\Adobe\plugs\kb82969350.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Stephan\doctorweb\quarantine\aecrxsowm0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Stephan\doctorweb\quarantine\wsoxrmcea0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Stephan\doctorweb\quarantine\xvidsetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.



wie der Rechner läuft? Ich bin grad im abgesicherten Modus und hab ja gestern nach dem ComboFix schon gemerkt, dass ich endlich die Bibliotheken sehe, sowie meine Dateien auf dem Desktop. Deshalb erstmal keine Veränderung ersichtlich.

OTL.txt

Code


OTL logfile created on: 31.03.2011 18:17:43 - Run 2
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Stephan\Downloads
Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

987,00 Mb Total Physical Memory | 682,00 Mb Available Physical Memory | 69,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 220,97 Gb Total Space | 4,40 Gb Free Space | 1,99% Space Free | Partition Type: NTFS
Drive D: | 11,62 Gb Total Space | 1,94 Gb Free Space | 16,69% Space Free | Partition Type: NTFS
Drive E: | 99,18 Mb Total Space | 92,59 Mb Free Space | 93,36% Space Free | Partition Type: FAT32

Computer Name: STEPHAN-PC | User Name: Stephan | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Users\Stephan\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Users\Stephan\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (NIS) -- C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe (Symantec Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (STacSV) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\stacsv.exe (IDT, Inc.)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (DvmMDES) -- C:\SPLASH.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (AESTFilters) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\AEstSrv.exe (Andrea Electronics Corporation)
SRV - (ACDaemon) -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (BHDrvx86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100324.001\BHDrvx86.sys (Symantec Corporation)
DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVEX15.SYS (Symantec Corporation)
DRV - (eeCtrl) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVENG.SYS (Symantec Corporation)
DRV - (SymIRON) -- C:\Windows\system32\drivers\NIS\1106000.020\Ironx86.SYS (Symantec Corporation)
DRV - (SRTSP) -- C:\Windows\System32\Drivers\NIS\1106000.020\SRTSP.SYS (Symantec Corporation)
DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\Windows\system32\drivers\NIS\1106000.020\SRTSPX.SYS (Symantec Corporation)
DRV - (ccHP) -- C:\Windows\system32\drivers\NIS\1106000.020\ccHPx86.sys (Symantec Corporation)
DRV - (SymEvent) -- C:\Windows\System32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (SYMTDIv) -- C:\Windows\System32\Drivers\NIS\1106000.020\SYMTDIV.SYS (Symantec Corporation)
DRV - (SymEFA) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMEFA.SYS (Symantec Corporation)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (IDSVix86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100402.001\IDSvix86.sys (Symantec Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)
DRV - (DVMIO) -- C:\SPLASH.SYS\config\dvmio.sys (DeviceVM, Inc.)
DRV - (RSUSBSTOR) -- C:\Windows\System32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV - (SymDS) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMDS.SYS (Symantec Corporation)
DRV - (EraserUtilRebootDrv) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (HpqKbFiltr) -- C:\Windows\system32\DRIVERS\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:4.1.8
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170634FE}:3.3.5
FF - prefs.js..extensions.enabledItems: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}:3.6
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36949
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7
FF - prefs.js..network.proxy.ftp: "192.168.6.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.6.1"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.6.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "192.168.6.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "192.168.6.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\ [2010.02.24 18:13:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\ [2010.03.22 19:34:36 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]

[2010.02.24 23:56:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Extensions
[2011.03.31 04:18:54 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions
[2010.10.10 18:23:46 | 000,000,000 | ---D | M] (ImTranslator) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
[2010.10.10 18:23:46 | 000,000,000 | ---D | M] (Easy Youtube Video Downloader) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
[2010.12.07 21:02:28 | 000,000,000 | ---D | M] (FoxTab) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (Gutscheine-Live Gutscheinfinder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\addon@gutscheine-live.de
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (Vorteilscout Gutschein-Melder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\oliver.schloebe@vorteilscout.de
[2010.10.10 18:23:45 | 000,000,000 | ---D | M] (Cooliris) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\piclens@cooliris.com
[2010.12.07 21:02:27 | 000,000,000 | ---D | M] (FastestFox) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\smarterwiki@wikiatic.com
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\youtube2mp3@mondayx.de
[2010.02.24 21:42:16 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.02.24 18:13:42 | 000,000,000 | ---D | M] (Norton IPS) -- C:\PROGRAMDATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPLGN
[2010.01.14 00:46:00 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
[2011.03.16 13:50:42 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 13:50:42 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.16 13:50:42 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.16 13:50:42 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.16 13:50:42 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.03.31 03:56:22 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ipsbho.dll (Symantec Corporation)
O2 - BHO: (CmjBrowserHelperObject Object) - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Communicator] C:\Program Files\Microsoft Office Communicator\communicator.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Google Pinyin 2 Autoupdater] C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe (Google Inc.)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [Simplify Media] C:\Program Files\Hp\HP MediaStream\HPMediaStream.exe (Simplify Media, Inc.)
O4 - HKLM..\RunOnce: []  File not found
O4 - HKLM..\RunOnce: [GrpConv] C:\Windows\System32\grpconv.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O9 - Extra Button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found

Drivers32: midi - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\Windows\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\Windows\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3codecp - C:\Windows\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\Windows\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\Windows\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\Windows\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.ffds - C:\Programme\Combined Community Codec Pack\Filters\FFDShow\ff_vfw.dll ()
Drivers32: vidc.i420 - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: VIDC.IYUV - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\Windows\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\Windows\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVU9 - C:\Windows\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\Windows\System32\msacm32.drv (Microsoft Corporation)


[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.03.31 17:08:16 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\Malwarebytes
[2011.03.31 17:08:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.03.31 17:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.03.31 17:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.03.31 17:08:01 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.03.31 17:08:01 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.03.31 04:07:45 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.03.31 04:07:41 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.03.31 04:07:41 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\temp
[2011.03.31 03:44:30 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.03.31 03:44:30 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.03.31 03:44:30 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.03.31 03:44:21 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.03.31 03:43:52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.03.31 03:43:34 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2011.03.30 18:23:12 | 000,000,000 | ---D | C] -- C:\Users\Stephan\DoctorWeb
[2011.03.30 17:48:48 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Stephan\Desktop\OTL.exe
[2011.03.30 14:52:16 | 002,614,272 | ---- | C] (Microsoft Corporation) -- C:\Users\Stephan\explorer.bak
[2011.03.30 14:52:14 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\updates
[2011.03.28 23:19:38 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\ElevatedDiagnostics
[2011.03.20 16:00:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RapidShare Manager
[2011.03.20 16:00:03 | 000,000,000 | ---D | C] -- C:\Program Files\RapidShareManager
[2011.03.18 18:05:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader
[2011.03.18 18:05:22 | 000,000,000 | ---D | C] -- C:\Program Files\JDownloader
[2011.03.11 21:29:02 | 000,000,000 | ---D | C] -- C:\Users\Stephan\Desktop\WG
[2011.03.10 18:41:19 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\Apple Computer
[2011.03.10 18:41:19 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\Apple Computer
[2011.03.10 18:40:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2011.03.10 18:40:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\DRVSTORE
[2011.03.10 18:39:33 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.03.10 18:35:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011.03.10 18:35:00 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2011.03.10 18:34:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer
[2011.03.10 18:34:30 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\Apple
[2011.03.10 18:34:13 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2011.03.10 18:32:49 | 000,000,000 | ---D | C] -- C:\Program Files\Bonjour
[2011.03.10 18:32:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple
[2011.03.10 18:32:28 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Apple
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.03.31 17:58:06 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.03.31 17:58:06 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.03.31 17:58:06 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.03.31 17:58:06 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.03.31 17:53:51 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.03.31 17:53:44 | 776,581,120 | -HS- | M] () -- C:\hiberfil.sys
[2011.03.31 17:08:05 | 000,001,031 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.31 16:53:32 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2011.03.31 03:56:22 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2011.03.31 02:35:05 | 000,009,128 | ---- | M] () -- C:\DrWeb.csv
[2011.03.30 18:20:55 | 058,840,304 | ---- | M] () -- C:\Users\Stephan\Desktop\mydd92d3.exe
[2011.03.30 17:09:36 | 000,301,568 | ---- | M] () -- C:\Users\Stephan\Desktop\f524z0xl.exe
[2011.03.30 16:45:27 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Stephan\Desktop\OTL.exe
[2011.03.30 15:22:21 | 000,014,128 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.03.30 15:22:21 | 000,014,128 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.03.30 15:05:56 | 000,000,336 | ---- | M] () -- C:\ProgramData\34987784
[2011.03.30 14:53:42 | 000,000,112 | ---- | M] () -- C:\ProgramData\N64O6m.dat
[2011.03.20 16:06:55 | 066,560,000 | ---- | M] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | M] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | M] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | ---- | M] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | ---- | M] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.03.31 17:08:05 | 000,001,031 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.31 03:44:30 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2011.03.31 03:44:30 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.03.31 03:44:30 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe
[2011.03.31 03:44:30 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.03.31 03:44:30 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.03.31 02:35:04 | 000,009,128 | ---- | C] () -- C:\DrWeb.csv
[2011.03.30 18:21:32 | 058,840,304 | ---- | C] () -- C:\Users\Stephan\Desktop\mydd92d3.exe
[2011.03.30 17:48:48 | 000,301,568 | ---- | C] () -- C:\Users\Stephan\Desktop\f524z0xl.exe
[2011.03.30 15:05:56 | 000,000,336 | ---- | C] () -- C:\ProgramData\34987784
[2011.03.30 14:53:41 | 000,000,112 | ---- | C] () -- C:\ProgramData\N64O6m.dat
[2011.03.20 16:04:58 | 066,560,000 | ---- | C] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | C] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | C] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | ---- | C] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | ---- | C] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2011.03.10 18:34:14 | 000,002,519 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2010.03.11 02:42:59 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.03.11 02:30:13 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2010.03.11 02:30:13 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2010.03.01 22:19:45 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.12.24 04:21:01 | 000,006,656 | ---- | C] () -- C:\Windows\System32\bcmwlrc.dll
[2009.12.24 04:15:21 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.12.24 04:13:31 | 000,000,276 | ---- | C] () -- C:\Windows\System32\RStoneLog2.ini
[2009.12.24 04:13:31 | 000,000,217 | ---- | C] () -- C:\Windows\System32\RStoneLog.ini
[2009.11.21 06:48:09 | 000,653,928 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.11.21 06:48:09 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.11.21 06:48:09 | 000,129,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.11.21 06:48:09 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.11.17 13:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,419,240 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,615,810 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,106,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:55:09 | 000,585,216 | ---- | C] () -- C:\Windows\System32\hpotscld.dll
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 001,498,564 | ---- | C] () -- C:\Windows\System32\igkrng400.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat

[color=#E56717]========== LOP Check ==========[/color]

[2011.03.11 22:20:09 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\.anki
[2010.02.25 00:13:18 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\com.nyt.timesreader.78C54164786ADE80CB31E1C5D95607D0938C987A.1
[2010.09.03 02:19:55 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\MindGenius
[2010.10.12 13:39:43 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\SmartDraw
[2011.03.30 15:31:53 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\updates
[2010.03.01 19:50:42 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\ZumoDrive
[2010.11.15 14:58:28 | 000,032,622 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*.* >[/color]
[2011.03.31 04:08:17 | 000,014,721 | ---- | M] () -- C:\87.txt
[2009.06.10 23:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.07.14 03:38:58 | 000,383,562 | RHS- | M] () -- C:\bootmgr
[2011.03.31 04:04:59 | 000,014,721 | ---- | M] () -- C:\ComboFix.txt
[2009.06.10 23:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011.03.31 02:35:05 | 000,009,128 | ---- | M] () -- C:\DrWeb.csv
[2011.03.31 16:53:32 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2011.03.30 18:16:18 | 000,001,679 | ---- | M] () -- C:\gmer.log
[2011.03.31 17:53:44 | 776,581,120 | -HS- | M] () -- C:\hiberfil.sys
[2010.03.29 17:21:40 | 000,000,384 | ---- | M] () -- C:\InstallHelper.log
[2011.03.30 17:48:10 | 000,126,284 | ---- | M] () -- C:\Komplett.txt
[2011.03.31 17:51:56 | 000,001,745 | ---- | M] () -- C:\mbam-log-2011-03-31 (17-51-36).txt
[2011.03.31 17:52:21 | 000,001,892 | ---- | M] () -- C:\mbam-log-2011-03-31 (17-52-00).txt
[2011.03.30 16:39:51 | 000,013,116 | ---- | M] () -- C:\Norton Scan 30.03.2011.txt
[2011.03.30 17:40:41 | 000,055,582 | ---- | M] () -- C:\OTL.Txt
[2011.03.31 17:53:45 | 1073,741,824 | -HS- | M] () -- C:\pagefile.sys
[2010.02.24 18:06:19 | 000,000,061 | ---- | M] () -- C:\splash.idx
[2009.11.06 20:30:12 | 000,006,832 | ---- | M] () -- C:\version

[color=#A23BEC]< %systemroot%\system32\*.wt >[/color]

[color=#A23BEC]< %systemroot%\system32\*.ruy >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.com >[/color]
[2009.07.14 06:52:25 | 000,026,040 | ---- | M] () -- C:\Windows\Fonts\GlobalMonospace.CompositeFont
[2009.07.14 06:52:25 | 000,026,489 | ---- | M] () -- C:\Windows\Fonts\GlobalSansSerif.CompositeFont
[2009.07.14 06:52:25 | 000,029,779 | ---- | M] () -- C:\Windows\Fonts\GlobalSerif.CompositeFont
[2009.07.14 06:52:25 | 000,043,318 | ---- | M] () -- C:\Windows\Fonts\GlobalUserInterface.CompositeFont

[color=#A23BEC]< %systemroot%\Fonts\*.dll >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.ini >[/color]
[2009.06.10 23:31:19 | 000,000,065 | ---- | M] () -- C:\Windows\Fonts\desktop.ini

[color=#A23BEC]< %systemroot%\Fonts\*.ini2 >[/color]

[color=#A23BEC]< %systemroot%\system32\spool\prtprocs\w32x86\*.* >[/color]
[2007.04.09 14:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\mdippr.dll
[2006.10.26 20:56:12 | 000,033,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\msonpppr.dll
[2009.07.14 03:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll

[color=#A23BEC]< %systemroot%\REPAIR\*.bak1 >[/color]

[color=#A23BEC]< %systemroot%\REPAIR\*.ini >[/color]

[color=#A23BEC]< %systemroot%\system32\*.jpg >[/color]

[color=#A23BEC]< %systemroot%\*.scr >[/color]

[color=#A23BEC]< %systemroot%\*._sy >[/color]

[color=#A23BEC]< %APPDATA%\Adobe\Update\*.* >[/color]

[color=#A23BEC]< %ALLUSERSPROFILE%\Favorites\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Microsoft\*.* >[/color]

[color=#A23BEC]< %PROGRAMFILES%\*.* >[/color]
[2009.07.14 06:41:57 | 000,000,174 | -HS- | M] () -- C:\Program Files\desktop.ini

[color=#A23BEC]< %APPDATA%\Update\*.* >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]

[color=#A23BEC]< %systemroot%\system32\user32.dll /md5 >[/color]
[2009.07.14 03:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll

[color=#A23BEC]< %systemroot%\system32\ws2_32.dll /md5 >[/color]
[2009.07.14 03:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll

[color=#A23BEC]< %systemroot%\system32\ws2help.dll /md5 >[/color]
[2009.07.14 03:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll


[color=#A23BEC]< MD5 for: EXPLORER.EXE  >[/color]
[2009.11.21 06:55:23 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_523cdab8f40fe558\explorer.exe
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
[2009.11.21 06:55:23 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_51c00e6ddae85c4b\explorer.exe

[color=#A23BEC]< MD5 for: WININIT.EXE  >[/color]
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\ERDNT\cache\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE  >[/color]
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-25 12:23:35

< End of report >


Extras.txt hats mir nich ausgespuckt.
Dieser Beitrag wurde am 31.03.2011 um 18:49 Uhr von stephan.o editiert.
Seitenanfang Seitenende
31.03.2011, 19:45
Moderator

Beiträge: 5694
#8 Im Normalmodus kannst Du den OTL Scan nicht machen?
Seitenanfang Seitenende
31.03.2011, 20:44
...neu hier

Themenstarter

Beiträge: 10
#9 Hab ich jetzt versucht und hat geklappt. Hatte mich vorher nicht getraut, da ich nicht wusste, ob noch ein weiterer Clean ansteht. Im Normalmodus scheint alles zu funktionieren und es melden sich nur die üblichen Verdächtigen. OTL bringt die OTL.txt hervor:

Code



OTL logfile created on: 31.03.2011 20:13:13 - Run 4
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Stephan\Desktop
Starter Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

987,00 Mb Total Physical Memory | 180,00 Mb Available Physical Memory | 18,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 60,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 220,97 Gb Total Space | 4,37 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
Drive D: | 11,62 Gb Total Space | 1,94 Gb Free Space | 16,69% Space Free | Partition Type: NTFS
Drive E: | 99,18 Mb Total Space | 92,59 Mb Free Space | 93,36% Space Free | Partition Type: FAT32

Computer Name: STEPHAN-PC | User Name: Stephan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Users\Stephan\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe (Google Inc.)
PRC - C:\Program Files\Google\Google Pinyin 2\GooglePinyinService.exe ()
PRC - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccsvchst.exe (Symantec Corporation)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
PRC - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\stacsv.exe (IDT, Inc.)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\SPLASH.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
PRC - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\AEstSrv.exe (Andrea Electronics Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Users\Stephan\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (NIS) -- C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ccSvcHst.exe (Symantec Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (STacSV) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\stacsv.exe (IDT, Inc.)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (DvmMDES) -- C:\SPLASH.SYS\config\DVMExportService.exe (DeviceVM, Inc.)
SRV - (IAANTMON) Intel(R) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
SRV - (AESTFilters) -- C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\AEstSrv.exe (Andrea Electronics Corporation)
SRV - (ACDaemon) -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (BHDrvx86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20100324.001\BHDrvx86.sys (Symantec Corporation)
DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVEX15.SYS (Symantec Corporation)
DRV - (eeCtrl) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20100408.002\NAVENG.SYS (Symantec Corporation)
DRV - (SymIRON) -- C:\Windows\system32\drivers\NIS\1106000.020\Ironx86.SYS (Symantec Corporation)
DRV - (SRTSP) -- C:\Windows\System32\Drivers\NIS\1106000.020\SRTSP.SYS (Symantec Corporation)
DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\Windows\system32\drivers\NIS\1106000.020\SRTSPX.SYS (Symantec Corporation)
DRV - (ccHP) -- C:\Windows\system32\drivers\NIS\1106000.020\ccHPx86.sys (Symantec Corporation)
DRV - (SymEvent) -- C:\Windows\System32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (SYMTDIv) -- C:\Windows\System32\Drivers\NIS\1106000.020\SYMTDIV.SYS (Symantec Corporation)
DRV - (SymEFA) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMEFA.SYS (Symantec Corporation)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (IDSVix86) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20100402.001\IDSvix86.sys (Symantec Corporation)
DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.)
DRV - (DVMIO) -- C:\SPLASH.SYS\config\dvmio.sys (DeviceVM, Inc.)
DRV - (RSUSBSTOR) -- C:\Windows\System32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV - (SymDS) -- C:\Windows\system32\drivers\NIS\1106000.020\SYMDS.SYS (Symantec Corporation)
DRV - (EraserUtilRebootDrv) -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (HpqKbFiltr) -- C:\Windows\system32\DRIVERS\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPNOT/4
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0
FF - prefs.js..extensions.enabledItems: smarterwiki@wikiatic.com:4.1.8
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170634FE}:3.3.5
FF - prefs.js..extensions.enabledItems: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}:3.6
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36949
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7
FF - prefs.js..network.proxy.ftp: "192.168.6.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.6.1"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.6.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "192.168.6.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "192.168.6.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\ [2010.02.24 18:13:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\ [2010.03.22 19:34:36 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.03.27 19:35:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.27 19:35:54 | 000,000,000 | ---D | M]

[2010.02.24 23:56:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Extensions
[2011.03.31 04:18:54 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions
[2010.10.10 18:23:46 | 000,000,000 | ---D | M] (ImTranslator) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
[2010.10.10 18:23:46 | 000,000,000 | ---D | M] (Easy Youtube Video Downloader) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
[2010.12.07 21:02:28 | 000,000,000 | ---D | M] (FoxTab) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (Gutscheine-Live Gutscheinfinder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\addon@gutscheine-live.de
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (Vorteilscout Gutschein-Melder) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\oliver.schloebe@vorteilscout.de
[2010.10.10 18:23:45 | 000,000,000 | ---D | M] (Cooliris) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\piclens@cooliris.com
[2010.12.07 21:02:27 | 000,000,000 | ---D | M] (FastestFox) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\smarterwiki@wikiatic.com
[2010.10.10 18:23:44 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Users\Stephan\AppData\Roaming\mozilla\Firefox\Profiles\jwjbbt3c.default\extensions\youtube2mp3@mondayx.de
[2010.02.24 21:42:16 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010.02.24 18:13:42 | 000,000,000 | ---D | M] (Norton IPS) -- C:\PROGRAMDATA\NORTON\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPLGN
[2010.01.14 00:46:00 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
[2011.03.16 13:50:42 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 13:50:42 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.16 13:50:42 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.16 13:50:42 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.16 13:50:42 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.03.31 03:56:22 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\ipsbho.dll (Symantec Corporation)
O2 - BHO: (CmjBrowserHelperObject Object) - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.6.0.32\coieplg.dll (Symantec Corporation)
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Communicator] C:\Program Files\Microsoft Office Communicator\communicator.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Google Pinyin 2 Autoupdater] C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe (Google Inc.)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [Simplify Media] C:\Program Files\Hp\HP MediaStream\HPMediaStream.exe (Simplify Media, Inc.)
O4 - Startup: C:\Users\Stephan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Se&nd to OneNote - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O9 - Extra Button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found

Drivers32: midi - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\Windows\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\Windows\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3codecp - C:\Windows\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\Windows\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\Windows\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\Windows\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.ffds - C:\Programme\Combined Community Codec Pack\Filters\FFDShow\ff_vfw.dll ()
Drivers32: vidc.i420 - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: VIDC.IYUV - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\Windows\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\Windows\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVU9 - C:\Windows\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\Windows\System32\msacm32.drv (Microsoft Corporation)


[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.03.31 17:08:16 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\Malwarebytes
[2011.03.31 17:08:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.03.31 17:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.03.31 17:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.03.31 17:08:01 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.03.31 17:08:01 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.03.31 04:07:45 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.03.31 04:07:41 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.03.31 04:07:41 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\temp
[2011.03.31 03:44:30 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.03.31 03:44:30 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.03.31 03:44:30 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.03.31 03:44:21 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.03.31 03:43:52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.03.31 03:43:34 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2011.03.30 18:23:12 | 000,000,000 | ---D | C] -- C:\Users\Stephan\DoctorWeb
[2011.03.30 17:48:48 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Stephan\Desktop\OTL.exe
[2011.03.30 14:52:16 | 002,614,272 | ---- | C] (Microsoft Corporation) -- C:\Users\Stephan\explorer.bak
[2011.03.30 14:52:14 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\updates
[2011.03.28 23:19:38 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\ElevatedDiagnostics
[2011.03.20 16:00:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RapidShare Manager
[2011.03.20 16:00:03 | 000,000,000 | ---D | C] -- C:\Program Files\RapidShareManager
[2011.03.18 18:05:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader
[2011.03.18 18:05:22 | 000,000,000 | ---D | C] -- C:\Program Files\JDownloader
[2011.03.11 21:29:02 | 000,000,000 | ---D | C] -- C:\Users\Stephan\Desktop\WG
[2011.03.10 18:41:19 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Roaming\Apple Computer
[2011.03.10 18:41:19 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\Apple Computer
[2011.03.10 18:40:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2011.03.10 18:40:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\DRVSTORE
[2011.03.10 18:39:33 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2011.03.10 18:39:31 | 000,000,000 | ---D | C] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.03.10 18:35:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011.03.10 18:35:00 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2011.03.10 18:34:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer
[2011.03.10 18:34:30 | 000,000,000 | ---D | C] -- C:\Users\Stephan\AppData\Local\Apple
[2011.03.10 18:34:13 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2011.03.10 18:32:49 | 000,000,000 | ---D | C] -- C:\Program Files\Bonjour
[2011.03.10 18:32:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple
[2011.03.10 18:32:28 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Apple
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.03.31 20:18:27 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2011.03.31 20:16:56 | 000,014,128 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.03.31 20:16:56 | 000,014,128 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.03.31 20:12:43 | 000,654,166 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.03.31 20:12:43 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.03.31 20:12:43 | 000,130,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.03.31 20:12:43 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.03.31 20:08:00 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.03.31 20:07:46 | 776,581,120 | -HS- | M] () -- C:\hiberfil.sys
[2011.03.31 17:08:05 | 000,001,031 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.31 03:56:22 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2011.03.31 02:35:05 | 000,009,128 | ---- | M] () -- C:\DrWeb.csv
[2011.03.30 18:20:55 | 058,840,304 | ---- | M] () -- C:\Users\Stephan\Desktop\mydd92d3.exe
[2011.03.30 17:09:36 | 000,301,568 | ---- | M] () -- C:\Users\Stephan\Desktop\f524z0xl.exe
[2011.03.30 16:45:27 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Stephan\Desktop\OTL.exe
[2011.03.30 15:05:56 | 000,000,336 | ---- | M] () -- C:\ProgramData\34987784
[2011.03.30 14:53:42 | 000,000,112 | ---- | M] () -- C:\ProgramData\N64O6m.dat
[2011.03.20 16:06:55 | 066,560,000 | ---- | M] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | M] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | M] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | ---- | M] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | ---- | M] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[1 C:\Users\Stephan\Desktop\*.tmp files -> C:\Users\Stephan\Desktop\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.03.31 17:08:05 | 000,001,031 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.31 03:44:30 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2011.03.31 03:44:30 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.03.31 03:44:30 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe
[2011.03.31 03:44:30 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.03.31 03:44:30 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.03.31 02:35:04 | 000,009,128 | ---- | C] () -- C:\DrWeb.csv
[2011.03.30 18:21:32 | 058,840,304 | ---- | C] () -- C:\Users\Stephan\Desktop\mydd92d3.exe
[2011.03.30 17:48:48 | 000,301,568 | ---- | C] () -- C:\Users\Stephan\Desktop\f524z0xl.exe
[2011.03.30 15:05:56 | 000,000,336 | ---- | C] () -- C:\ProgramData\34987784
[2011.03.30 14:53:41 | 000,000,112 | ---- | C] () -- C:\ProgramData\N64O6m.dat
[2011.03.20 16:04:58 | 066,560,000 | ---- | C] () -- C:\Users\Stephan\Die.Simpsons.S21E02.German.DD51.Dubbed.DL.720p.iTunesHD.AVC-TVS.part1.rar.part
[2011.03.20 16:00:11 | 000,001,951 | ---- | C] () -- C:\Users\Public\Desktop\RapidShare Manager.lnk
[2011.03.18 18:05:58 | 000,000,970 | ---- | C] () -- C:\Users\Public\Desktop\JDownloader.lnk
[2011.03.16 14:38:05 | 000,007,605 | ---- | C] () -- C:\Users\Stephan\AppData\Local\Resmon.ResmonCfg
[2011.03.10 20:06:35 | 000,001,159 | ---- | C] () -- C:\Users\Stephan\Desktop\Eigene Musik.lnk
[2011.03.10 18:40:53 | 000,001,713 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2011.03.10 18:34:14 | 000,002,519 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2010.03.11 02:42:59 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.03.11 02:30:13 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2010.03.11 02:30:13 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2010.03.01 22:19:45 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.12.24 04:21:01 | 000,006,656 | ---- | C] () -- C:\Windows\System32\bcmwlrc.dll
[2009.12.24 04:15:21 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.12.24 04:13:31 | 000,000,276 | ---- | C] () -- C:\Windows\System32\RStoneLog2.ini
[2009.12.24 04:13:31 | 000,000,217 | ---- | C] () -- C:\Windows\System32\RStoneLog.ini
[2009.11.21 06:48:09 | 000,654,166 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.11.21 06:48:09 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.11.21 06:48:09 | 000,130,006 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.11.21 06:48:09 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.11.17 13:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,419,240 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,616,008 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,106,388 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:55:09 | 000,585,216 | ---- | C] () -- C:\Windows\System32\hpotscld.dll
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 001,498,564 | ---- | C] () -- C:\Windows\System32\igkrng400.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat

[color=#E56717]========== LOP Check ==========[/color]

[2011.03.11 22:20:09 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\.anki
[2010.02.25 00:13:18 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\com.nyt.timesreader.78C54164786ADE80CB31E1C5D95607D0938C987A.1
[2010.09.03 02:19:55 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\MindGenius
[2010.10.12 13:39:43 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\SmartDraw
[2011.03.30 15:31:53 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\updates
[2010.03.01 19:50:42 | 000,000,000 | ---D | M] -- C:\Users\Stephan\AppData\Roaming\ZumoDrive
[2010.11.15 14:58:28 | 000,032,622 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*.* >[/color]
[2011.03.31 04:08:17 | 000,014,721 | ---- | M] () -- C:\87.txt
[2009.06.10 23:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.07.14 03:38:58 | 000,383,562 | RHS- | M] () -- C:\bootmgr
[2011.03.31 04:04:59 | 000,014,721 | ---- | M] () -- C:\ComboFix.txt
[2009.06.10 23:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011.03.31 02:35:05 | 000,009,128 | ---- | M] () -- C:\DrWeb.csv
[2011.03.31 20:18:27 | 000,000,177 | -H-- | M] () -- C:\dvmexp.idx
[2011.03.30 18:16:18 | 000,001,679 | ---- | M] () -- C:\gmer.log
[2011.03.31 20:07:46 | 776,581,120 | -HS- | M] () -- C:\hiberfil.sys
[2010.03.29 17:21:40 | 000,000,384 | ---- | M] () -- C:\InstallHelper.log
[2011.03.30 17:48:10 | 000,126,284 | ---- | M] () -- C:\Komplett.txt
[2011.03.31 17:51:56 | 000,001,745 | ---- | M] () -- C:\mbam-log-2011-03-31 (17-51-36).txt
[2011.03.31 17:52:21 | 000,001,892 | ---- | M] () -- C:\mbam-log-2011-03-31 (17-52-00).txt
[2011.03.30 16:39:51 | 000,013,116 | ---- | M] () -- C:\Norton Scan 30.03.2011.txt
[2011.03.30 17:40:41 | 000,055,582 | ---- | M] () -- C:\OTL.Txt
[2011.03.31 18:47:22 | 000,076,720 | ---- | M] () -- C:\OTL2.Txt
[2011.03.31 20:07:50 | 1073,741,824 | -HS- | M] () -- C:\pagefile.sys
[2010.02.24 18:06:19 | 000,000,061 | ---- | M] () -- C:\splash.idx
[2009.11.06 20:30:12 | 000,006,832 | ---- | M] () -- C:\version

[color=#A23BEC]< %systemroot%\system32\*.wt >[/color]

[color=#A23BEC]< %systemroot%\system32\*.ruy >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.com >[/color]
[2009.07.14 06:52:25 | 000,026,040 | ---- | M] () -- C:\Windows\Fonts\GlobalMonospace.CompositeFont
[2009.07.14 06:52:25 | 000,026,489 | ---- | M] () -- C:\Windows\Fonts\GlobalSansSerif.CompositeFont
[2009.07.14 06:52:25 | 000,029,779 | ---- | M] () -- C:\Windows\Fonts\GlobalSerif.CompositeFont
[2009.07.14 06:52:25 | 000,043,318 | ---- | M] () -- C:\Windows\Fonts\GlobalUserInterface.CompositeFont

[color=#A23BEC]< %systemroot%\Fonts\*.dll >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.ini >[/color]
[2009.06.10 23:31:19 | 000,000,065 | ---- | M] () -- C:\Windows\Fonts\desktop.ini

[color=#A23BEC]< %systemroot%\Fonts\*.ini2 >[/color]

[color=#A23BEC]< %systemroot%\system32\spool\prtprocs\w32x86\*.* >[/color]
[2007.04.09 14:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\mdippr.dll
[2006.10.26 20:56:12 | 000,033,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\msonpppr.dll
[2009.07.14 03:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll

[color=#A23BEC]< %systemroot%\REPAIR\*.bak1 >[/color]

[color=#A23BEC]< %systemroot%\REPAIR\*.ini >[/color]

[color=#A23BEC]< %systemroot%\system32\*.jpg >[/color]

[color=#A23BEC]< %systemroot%\*.scr >[/color]

[color=#A23BEC]< %systemroot%\*._sy >[/color]

[color=#A23BEC]< %APPDATA%\Adobe\Update\*.* >[/color]

[color=#A23BEC]< %ALLUSERSPROFILE%\Favorites\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Microsoft\*.* >[/color]

[color=#A23BEC]< %PROGRAMFILES%\*.* >[/color]
[2009.07.14 06:41:57 | 000,000,174 | -HS- | M] () -- C:\Program Files\desktop.ini

[color=#A23BEC]< %APPDATA%\Update\*.* >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]

[color=#A23BEC]< %systemroot%\system32\user32.dll /md5 >[/color]
[2009.07.14 03:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll

[color=#A23BEC]< %systemroot%\system32\ws2_32.dll /md5 >[/color]
[2009.07.14 03:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll

[color=#A23BEC]< %systemroot%\system32\ws2help.dll /md5 >[/color]
[2009.07.14 03:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll


[color=#A23BEC]< MD5 for: EXPLORER.EXE  >[/color]
[2009.11.21 06:55:23 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_523cdab8f40fe558\explorer.exe
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
[2009.11.21 06:55:23 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_51c00e6ddae85c4b\explorer.exe

[color=#A23BEC]< MD5 for: WININIT.EXE  >[/color]
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\ERDNT\cache\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE  >[/color]
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-25 12:23:35

< End of report >



Soll ich noch was probieren? Wie kann ich sicher gehen, dass nix mehr drauf ist (außer Neuaufsetzen, was ich vllt. nächstes Semester machen werde, da ich Windoof 7 kostenlos von meiner Uni bekomme)?
Seitenanfang Seitenende
31.03.2011, 21:14
Moderator

Beiträge: 5694
#10 Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
FF - prefs.js..network.proxy.ftp: "192.168.6.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.6.1"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.6.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.socks: "192.168.6.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "192.168.6.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 0
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
[2011.03.30 18:20:55 | 058,840,304 | ---- | M] () -- C:\Users\Stephan\Desktop\mydd92d3.exe
[2011.03.30 17:09:36 | 000,301,568 | ---- | M] () -- C:\Users\Stephan\Desktop\f524z0xl.exe
[2011.03.30 15:05:56 | 000,000,336 | ---- | C] () -- C:\ProgramData\34987784
:Commands
[purity]
[emptytemp]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte
während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking
und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.


Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde

• Klicke Finish.• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
Seitenanfang Seitenende
31.03.2011, 23:24
...neu hier

Themenstarter

Beiträge: 10
#11 Log von OTL:

Code



All processes killed
========== OTL ==========
Prefs.js: "192.168.6.1" removed from network.proxy.ftp
Prefs.js: 3128 removed from network.proxy.ftp_port
Prefs.js: "192.168.6.1" removed from network.proxy.gopher
Prefs.js: 3128 removed from network.proxy.gopher_port
Prefs.js: "192.168.6.1" removed from network.proxy.http
Prefs.js: 3128 removed from network.proxy.http_port
Prefs.js: "192.168.6.1" removed from network.proxy.socks
Prefs.js: 1080 removed from network.proxy.socks_port
Prefs.js: "192.168.6.1" removed from network.proxy.ssl
Prefs.js: 3128 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
C:\Users\Stephan\Desktop\mydd92d3.exe moved successfully.
C:\Users\Stephan\Desktop\f524z0xl.exe moved successfully.
C:\ProgramData\34987784 moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: ADMINI~1
->Temp folder emptied: 0 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Stephan
->Temp folder emptied: 228097 bytes
->Temporary Internet Files folder emptied: 1163800 bytes
->Java cache emptied: 9689 bytes
->FireFox cache emptied: 67222079 bytes
->Flash cache emptied: 90463 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 101039 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 66,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03312011_231244

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Das mit den Proxy-Einstellungen von Firefox war übrigens von mir.

ESET hat grad fertig gescannt

Code


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6425
# api_version=3.0.2
# EOSSerial=ed78f2d711d0634fb8abb4cc2c767b48
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-03-31 11:57:31
# local_time=2011-04-01 01:57:31 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=3588 16777214 85 88 29826989 41187180 0 0
# compatibility_mode=5893 16776574 66 85 42831588 53238341 0 0
# compatibility_mode=8192 67108863 100 0 188 188 0 0
# scanned=130100
# found=2
# cleaned=2
# scan_time=8722
C:\Qoobox\Quarantine\C\ProgramData\aq8j864s.exe.vir    a variant of Win32/Kryptik.JAL trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Qoobox\Quarantine\C\Users\Stephan\juszppmo.exe.vir    a variant of Win32/SpamTool.Agent.NER trojan (deleted - quarantined)    00000000000000000000000000000000    C

Dieser Beitrag wurde am 01.04.2011 um 02:20 Uhr von stephan.o editiert.
Seitenanfang Seitenende
01.04.2011, 10:19
Moderator

Beiträge: 5694
#12 Die Einstellungen sind schnell wieder gemacht. Ich wollte einfach alles was mit Proxay zu tun hat entfernen. Noch Probleme?
Seitenanfang Seitenende
01.04.2011, 14:52
...neu hier

Themenstarter

Beiträge: 10
#13 Im Moment läuft alles ruhig, hat es aber auch vor dem ESET Online Scanner getan, der noch was gefunden und gelöscht hatte.

Ein riesiges Dankeschön auf jeden Fall schonmal.

Aber kann ich irgendwie sicher gehen, dass kein Virus oder ähnliches auf meinem Laptop mehr ist und dass kein Programm nicht doch noch was löschen kann?
Seitenanfang Seitenende
02.04.2011, 19:14
Moderator

Beiträge: 5694
#14 Was da ESET gefunden hat war bereits in Quarantäne bei Combofix ;) Also nichts neues.

Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

F-Secure Onlinescanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.Deinstallation
Firefox:
Addon über Extras => F-Secure deinstallieren.
Internet Explorer:
mit HJT folgenden Eintrag fixen:
O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)
Seitenanfang Seitenende
04.04.2011, 13:34
...neu hier

Themenstarter

Beiträge: 10
#15 Windows gibt mir ne Fehlermeldung, dass es kein Combo-Fix.exe gäbe. Ich hab aber nochmal nachgeschaut, ich habs im Downloads Ordner (hatte ja zeitweise nicht die Möglichkeit was aufm Desktop zu hinterlassen).
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: