Eventuell Malware - malicious Win32:MBRoot code @ sector 156295443

#0
01.11.2011, 17:31
...neu hier

Beiträge: 6
#1 Hallo,

ich habe mein Notebook gestern komplett neu installiert, da sich zuvor auf demselbigen ein
Rootkit befand. Nachdem ich fertig war mit der Installation (alle Treiber etc. installiert,
konfiguriert, usw.), ließ ich zur Sicherheit nochmal 'gmer' drüberlaufen. Obwohl ich bei der
Installation auch den MBR überschrieben habe, bringt mir jetzt 'gmer' folgenden Eintrag:

malicious Win32:MBRoot code @ sector 156295443

Ich habe ebenfalls, wie in der Anleitung, den MBR wieder hergestellt (mbr.exe -f), doch leider
kommt diese Meldung wieder beim Öffnen von 'gmer'.

Wie bekomme ich jetzt diesen MBR wieder gereinigt? Kann mir hier einer helfen?
Oder ist dieser Hinweis womöglich nur einer dieser harmlosen Art (was ich nicht glaube!)?

Vielen Dank im Voraus.


Hier die relevanten Logs:

gmer_first.log:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2011-11-01 16:12:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD80 rev.08.0
Running: 4lj5z36d.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdapow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156295443
Disk \Device\Harddisk0\DR0 PE file @ sector 156295465

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


gmer.log

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-11-01 01:47:59
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD80 rev.08.0
Running: 4lj5z36d.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT F7AED94C ZwClose
SSDT F7AED906 ZwCreateKey
SSDT F7AED956 ZwCreateSection
SSDT F7AED8FC ZwCreateThread
SSDT F7AED90B ZwDeleteKey
SSDT F7AED915 ZwDeleteValueKey
SSDT F7AED947 ZwDuplicateObject
SSDT F7AED91A ZwLoadKey
SSDT F7AED8E8 ZwOpenProcess
SSDT F7AED8ED ZwOpenThread
SSDT F7AED96F ZwQueryValueKey
SSDT F7AED924 ZwReplaceKey
SSDT F7AED960 ZwRequestWaitReplyPort
SSDT F7AED91F ZwRestoreKey
SSDT F7AED95B ZwSetContextThread
SSDT F7AED965 ZwSetSecurityObject
SSDT F7AED910 ZwSetValueKey
SSDT F7AED96A ZwSystemDebugControl
SSDT F7AED8F7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 234 804E28A0 4 Bytes CALL 8A45D77D

---- Devices - GMER 1.0.15 ----

Device \Driver\BTHUSB \Device\0000009b bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\BTHUSB \Device\00000099 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e4cd815b0
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e4cd815b0 (not active ControlSet)
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 7F16FD9ED5BD157F542DAA...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156295443
Disk \Device\Harddisk0\DR0 PE file @ sector 156295465

---- EOF - GMER 1.0.15 ----


OTL.txt:

OTL logfile created on: 01.11.2011 15:54:53 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,49 Gb Total Physical Memory | 0,95 Gb Available Physical Memory | 63,65% Memory free
3,34 Gb Paging File | 2,89 Gb Available in Paging File | 86,45% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,01 Gb Total Space | 25,73 Gb Free Space | 64,31% Space Free | Partition Type: NTFS
Drive D: | 34,52 Gb Total Space | 6,37 Gb Free Space | 18,45% Space Free | Partition Type: NTFS
Drive F: | 81,19 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 1396,52 Gb Total Space | 378,61 Gb Free Space | 27,11% Space Free | Partition Type: NTFS

Computer Name: PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011.11.01 15:53:02 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2011.10.19 16:56:15 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.19 16:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.10.19 16:55:48 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.10.19 16:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.09.29 08:09:51 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe


[color=#E56717]========== Modules (No Company Name) ==========[/color]

MOD - [2011.10.19 16:56:03 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.09.29 08:09:51 | 001,833,944 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2011.03.17 00:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
MOD - [2009.12.12 15:12:03 | 000,141,824 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [On_Demand | Stopped] -- -- (ATI Smart)
SRV - File not found [On_Demand | Stopped] -- -- (Ati HotKey Poller)
SRV - [2011.10.30 17:36:37 | 000,161,664 | ---- | M] (Oracle Corporation) [On_Demand | Stopped] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2011.10.19 16:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.19 16:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.12 11:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2011.05.27 12:36:44 | 000,750,904 | ---- | M] (Lenovo Group Limited) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe -- (ThinkVantage Registry Monitor Service)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.09.23 13:38:18 | 000,935,208 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2009.07.15 09:18:00 | 000,062,320 | ---- | M] (Lenovo Group Limited) [Disabled | Stopped] -- C:\Programme\Lenovo\HOTKEY\TPHKSVC.exe -- (TPHKSVC)
SRV - [2009.07.03 17:47:08 | 000,045,424 | ---- | M] (Lenovo Group Limited) [Auto | Stopped] -- C:\Programme\Lenovo\HOTKEY\micmute.exe -- (LENOVO.MICMUTE)
SRV - [2008.02.22 19:41:54 | 000,423,192 | ---- | M] (Acronis) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2011.10.31 15:49:10 | 000,032,824 | ---- | M] (Lenovo Information Product(ShenZhen China) Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2011.10.19 16:56:15 | 000,134,344 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.19 16:56:15 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.19 16:56:15 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.03.14 07:53:42 | 000,229,928 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2010.10.07 13:11:37 | 006,609,920 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETwLx32.sys -- (NETwLx32) Intel(R)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.02 14:49:20 | 000,993,464 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2010.06.02 14:49:20 | 000,738,360 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2010.06.02 14:49:18 | 000,217,016 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2010.02.22 16:20:11 | 000,139,296 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\nvrd32.sys -- (nvrd32)
DRV - [2009.10.30 16:08:02 | 000,017,488 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - [2009.07.10 11:03:04 | 001,381,632 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2009.07.02 10:16:22 | 000,038,336 | ---- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tvti2c.sys -- (TVTI2C)
DRV - [2009.06.30 17:31:00 | 000,164,896 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\nvgts.sys -- (nvgts)
DRV - [2009.06.29 12:59:14 | 000,142,592 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.04.01 12:28:32 | 000,093,184 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2009.03.13 13:47:26 | 000,012,560 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp) SMI Helper Driver (smihlp)
DRV - [2008.09.24 10:40:22 | 004,122,368 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2008.04.29 11:48:41 | 000,454,688 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2008.04.29 11:48:41 | 000,043,008 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2008.04.29 11:48:40 | 000,132,352 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2008.04.13 22:05:40 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2007.11.28 21:14:00 | 002,236,544 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETw4x32.sys -- (NETw4x32) Intel(R)
DRV - [2007.04.26 09:23:08 | 000,267,520 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys -- (HSFHWBS2)
DRV - [2007.04.16 21:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2006.05.03 17:50:42 | 001,540,608 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.10

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.31 11:16:24 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.31 11:16:24 | 000,000,000 | ---D | M]

[2009.10.30 14:49:15 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2011.10.30 16:50:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g8p0bvvx.default\extensions
[2011.10.30 16:50:45 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g8p0bvvx.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.10.30 17:36:55 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.10.30 17:36:49 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}
[2011.09.29 08:09:51 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.30 17:36:37 | 000,611,224 | ---- | M] (Oracle Corporation) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.09.29 02:24:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.29 02:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.29 02:24:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.29 02:24:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.29 02:24:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.29 02:24:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.08.23 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (IePasswordManagerHelper Class) - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll (Lenovo Group Limited)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe (CANON INC.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll (Lenovo Group Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256837862734 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256910291968 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{72923DB1-4768-42E8-9099-D6436FCE03C1}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87419D6F-34F6-4055-9070-EEAA833D263D}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9115C276-3DE7-4CC9-92E8-69539A02A7E2}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C6FE7A0F-B67E-4627-9CFE-79768F13EC25}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\psfus: DllName - (C:\Programme\ThinkVantage Fingerprint Software\psqlpwd.dll) - C:\Programme\ThinkVantage Fingerprint Software\psqlpwd.dll (UPEK Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - (C:\Programme\Lenovo\HOTKEY\notifyf2.dll) - C:\Programme\Lenovo\HOTKEY\notifyf2.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O30 - LSA: Authentication Packages - (relog_ap) -C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.29 10:57:17 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.03.14 01:36:02 | 000,000,083 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (OODBS)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package -

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found


CREATERESTOREPOINT
Restore point Set: OTL Restore Point

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.11.01 15:52:52 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.11.01 15:44:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2011.11.01 13:41:13 | 000,000,000 | ---D | C] -- D:\Kerstin\Outlook-Dateien
[2011.11.01 13:08:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon IJ Network Utilities
[2011.11.01 13:08:03 | 000,000,000 | ---D | C] -- C:\Programme\Canon
[2011.11.01 13:07:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\STRING
[2011.11.01 13:07:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\CHM
[2011.11.01 13:07:12 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.11.01 13:07:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\CanonIJ Uninstaller Information
[2011.11.01 13:07:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2011.11.01 13:06:53 | 000,000,000 | -H-D | C] -- C:\Programme\CanonBJ
[2011.10.31 17:15:32 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2011.10.31 16:34:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wise Registry Cleaner
[2011.10.31 16:34:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Wise Registry Cleaner
[2011.10.31 16:34:35 | 000,000,000 | ---D | C] -- C:\Programme\Wise Registry Cleaner
[2011.10.31 16:15:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Client Security Solution
[2011.10.31 15:49:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lenovo
[2011.10.31 15:49:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations
[2011.10.31 15:33:42 | 000,000,000 | ---D | C] -- C:\Programme\ThinkPad
[2011.10.31 15:33:39 | 000,000,000 | ---D | C] -- C:\Programme\Digital Line Detect
[2011.10.31 15:33:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\NetWaiting
[2011.10.31 15:33:35 | 000,000,000 | ---D | C] -- C:\Programme\NetWaiting
[2011.10.31 15:33:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
[2011.10.31 15:21:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\(null)
[2011.10.31 15:21:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Lenovo
[2011.10.31 14:40:42 | 000,000,000 | ---D | C] -- C:\Programme\Lenovo
[2011.10.31 14:35:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Lang
[2011.10.31 14:16:30 | 000,120,104 | ---- | C] (Synaptics Incorporated) -- C:\WINDOWS\System32\SynTPCo9.dll
[2011.10.31 14:04:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ThinkVantage
[2011.10.31 14:04:49 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\SPBA
[2011.10.31 14:04:43 | 000,000,000 | ---D | C] -- C:\Programme\ThinkVantage Fingerprint Software
[2011.10.31 14:00:05 | 000,045,056 | ---- | C] (adi) -- C:\WINDOWS\System32\CleanUp.exe
[2011.10.31 14:00:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SoundMAX
[2011.10.31 14:00:05 | 000,000,000 | ---D | C] -- C:\Programme\Analog Devices
[2011.10.31 11:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\K-Lite Codec Pack
[2011.10.31 11:21:33 | 000,630,784 | ---- | C] (On2.com) -- C:\WINDOWS\System32\vp7vfw.dll
[2011.10.31 11:21:33 | 000,216,064 | ---- | C] ( ) -- C:\WINDOWS\System32\lagarith.dll
[2011.10.31 11:21:33 | 000,039,936 | ---- | C] (Disappearing Inc.) -- C:\WINDOWS\System32\huffyuv.dll
[2011.10.30 23:28:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Defraggler
[2011.10.30 19:15:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office
[2011.10.30 19:14:14 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Synchronization Services
[2011.10.30 19:14:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DESIGNER
[2011.10.30 19:13:34 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Sync Framework
[2011.10.30 19:13:34 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft SQL Server Compact Edition
[2011.10.30 19:13:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Microsoft
[2011.10.30 19:06:08 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Analysis Services
[2011.10.30 18:48:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
[2011.10.30 17:49:39 | 000,000,000 | ---D | C] -- C:\Programme\Synaptics
[2011.10.30 17:40:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\x64
[2011.10.30 17:37:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.10.30 17:36:33 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2011.10.30 16:46:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
[2011.10.30 16:44:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2011.10.30 16:44:26 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2011.10.30 16:44:25 | 000,134,344 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.10.30 16:44:25 | 000,074,640 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011.10.30 16:44:25 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2011.10.30 16:44:20 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2011.10.30 16:44:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2011.10.26 17:53:25 | 000,000,000 | ---D | C] -- D:\Kerstin\50 Jahre Mallorca Film
[2011.10.20 15:16:39 | 000,000,000 | ---D | C] -- D:\Kerstin\Lohnsteuerhilfe
[2011.10.20 15:15:37 | 000,000,000 | ---D | C] -- D:\Kerstin\Elster
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.11.01 15:53:02 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2011.11.01 12:41:12 | 000,002,593 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Outlook 2010.lnk
[2011.11.01 12:06:21 | 000,521,276 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.11.01 12:06:21 | 000,497,224 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.11.01 12:06:21 | 000,102,822 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.11.01 12:06:21 | 000,085,708 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.11.01 12:02:23 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.01 12:01:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.01 12:01:29 | 1600,434,176 | -HS- | M] () -- C:\hiberfil.sys
[2011.10.31 23:20:10 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\4lj5z36d.exe
[2011.10.31 17:41:59 | 000,009,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.10.31 16:40:44 | 002,359,296 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.bak
[2011.10.31 00:02:09 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Word 2010.lnk
[2011.10.30 19:15:38 | 000,002,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Excel 2010.lnk
[2011.10.30 18:50:40 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2011.10.30 17:49:50 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_SynTP_01009.Wdf
[2011.10.30 17:49:47 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
[2011.10.30 17:23:36 | 000,000,016 | ---- | M] () -- C:\WINDOWS\WININIT.INI
[2011.10.30 17:04:29 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.10.28 09:00:00 | 000,074,752 | ---- | M] () -- C:\WINDOWS\System32\ff_vfw.dll
[2011.10.20 14:28:10 | 000,919,533 | ---- | M] () -- D:\Kerstin\Audi BKK.jpg
[2011.10.19 16:56:15 | 000,134,344 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.10.19 16:56:15 | 000,074,640 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011.10.19 16:56:15 | 000,036,000 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2011.10.15 14:27:39 | 000,060,897 | ---- | M] () -- D:\Kerstin\Homöopathie.pdf
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.11.01 13:08:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\CNC173ED.TBL
[2011.10.31 23:20:04 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\4lj5z36d.exe
[2011.10.31 14:54:53 | 1600,434,176 | -HS- | C] () -- C:\hiberfil.sys
[2011.10.31 14:35:36 | 001,674,683 | ---- | C] () -- C:\WINDOWS\System32\igxpxa32.cpa
[2011.10.31 14:35:36 | 001,498,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng400.bin
[2011.10.31 14:35:36 | 000,001,023 | ---- | C] () -- C:\WINDOWS\System32\igxpxa32.vp
[2011.10.31 11:21:33 | 003,164,160 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll
[2011.10.31 11:21:33 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011.10.31 11:21:33 | 000,243,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011.10.31 11:21:33 | 000,000,414 | ---- | C] () -- C:\WINDOWS\System32\lame_acm.xml
[2011.10.31 11:21:32 | 000,074,752 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2011.10.30 19:27:49 | 000,002,593 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Outlook 2010.lnk
[2011.10.30 19:27:38 | 000,002,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Excel 2010.lnk
[2011.10.30 19:27:27 | 000,002,489 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Word 2010.lnk
[2011.10.30 17:50:26 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2011.10.30 17:49:50 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\Msft_Kernel_SynTP_01009.Wdf
[2011.10.30 17:49:47 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
[2011.10.30 17:40:35 | 000,121,232 | ---- | C] () -- C:\WINDOWS\System32\IScrNBR.bmp
[2011.10.30 17:40:35 | 000,121,232 | ---- | C] () -- C:\WINDOWS\System32\IScrNB.bmp
[2011.10.30 17:04:29 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.10.20 14:28:09 | 000,919,533 | ---- | C] () -- D:\Kerstin\Audi BKK.jpg
[2011.10.15 14:27:38 | 000,060,897 | ---- | C] () -- D:\Kerstin\Homöopathie.pdf
[2010.11.12 17:38:44 | 000,022,082 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2010.11.11 16:40:50 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010.11.11 16:40:50 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010.11.11 16:38:43 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat
[2010.11.11 16:37:48 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2010.02.22 15:30:33 | 000,000,016 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2010.01.27 16:02:11 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2010.01.27 14:43:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2009.10.30 00:26:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.10.30 00:20:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2008.05.05 14:10:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oodcnt.INI
[2008.05.04 12:36:41 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2008.05.04 12:36:35 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.04 12:36:34 | 000,009,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.29 18:09:23 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2008.04.29 17:59:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.04.29 11:49:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.04.29 10:59:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.04.29 10:54:47 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.08.09 17:43:16 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4860.dll
[2007.08.09 17:28:52 | 000,910,464 | ---- | C] () -- C:\WINDOWS\System32\igmedkrn.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.10.18 02:53:26 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.04.23 22:02:10 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2003.02.19 01:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2001.08.23 12:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.23 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.23 12:00:00 | 000,521,276 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.23 12:00:00 | 000,497,224 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.23 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.23 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.23 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.23 12:00:00 | 000,102,822 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.23 12:00:00 | 000,085,708 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.23 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.23 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.23 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.23 12:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.23 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[color=#E56717]========== LOP Check ==========[/color]

[2011.10.31 16:24:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lenovo
[2011.10.31 16:36:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wise Registry Cleaner
[2008.04.29 11:57:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2011.11.01 13:07:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.01.27 12:32:27 | 000,000,464 | ---- | M] () -- C:\WINDOWS\Tasks\Wise Registry Cleaner 4.job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*. >[/color]
[2008.04.29 11:05:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2008.05.05 15:35:11 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011.11.01 13:08:03 | 000,000,000 | R--D | M] -- C:\Programme
[2008.04.29 11:15:29 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.11.01 15:56:03 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.11.01 15:44:48 | 000,000,000 | ---D | M] -- C:\WINDOWS

[color=#A23BEC]< %PROGRAMFILES%\*.exe >[/color]

Invalid Environment Variable: LOCALAPPDATA

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]


[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe

[color=#A23BEC]< MD5 for: REGEDIT.EXE >[/color]
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe

[color=#A23BEC]< MD5 for: USERINIT.EXE >[/color]
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-01-27 08:50:38

< End of report >


Extras.txt:

OTL Extras logfile created on: 01.11.2011 15:54:53 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,49 Gb Total Physical Memory | 0,95 Gb Available Physical Memory | 63,65% Memory free
3,34 Gb Paging File | 2,89 Gb Available in Paging File | 86,45% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,01 Gb Total Space | 25,73 Gb Free Space | 64,31% Space Free | Partition Type: NTFS
Drive D: | 34,52 Gb Total Space | 6,37 Gb Free Space | 18,45% Space Free | Partition Type: NTFS
Drive F: | 81,19 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 1396,52 Gb Total Space | 378,61 Gb Free Space | 27,11% Space Free | Partition Type: NTFS

Computer Name: PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*;)isabled:Windows-Remoteverwaltung
"80:TCP" = 80:TCP:*;)isabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend)

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Acronis\TrueImageEchoEnterpriseServer\TrueImage.exe" = C:\Programme\Acronis\TrueImageEchoEnterpriseServer\TrueImage.exe:*;)isabled:Acronis True Image -- (Acronis)
"C:\Programme\Microsoft Office\Office14\GROOVE.EXE" = C:\Programme\Microsoft Office\Office14\GROOVE.EXE:*:Enabled:Microsoft SharePoint Workspace -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office14\ONENOTE.EXE:*:Enabled:Microsoft OneNote -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP560_series" = Canon MP560 series MP Drivers
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217001FF}" = Java(TM) 7 Update 1
"{33CF58F5-48D8-4575-83D6-96F574E4D83A}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{359CFC0A-BEB1-440D-95BA-CF63A86DA34F}" = Nero Recode
"{368BA326-73AD-4351-84ED-3C0A7A52CC53}" = Nero Rescue Agent
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{43E39830-1826-415D-8BAE-86845787B54B}" = Nero Vision
"{44E9D4C2-946C-4378-9354-558803C47A68}" = Client Security - Password Manager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5248DF85-F55D-4F84-A08F-3B323DB036B8}" = ThinkVantage Fingerprint Software
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595A3116-40BB-4E0F-A2E8-D7951DA56270}" = NeroExpress
"{62AC81F6-BDD3-4110-9D36-3E9EAAB40999}" = Nero CoverDesigner
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7748AC8C-18E3-43BB-959B-088FAEA16FB2}" = Nero StartSmart
"{7829DB6F-A066-4E40-8912-CB07887C20BB}" = Nero BurnRights
"{82F2B38B-1426-443D-874C-AC25675E7BEB}" = Windows Live Mail
"{869200DB-287A-4DC0-B02B-2B6787FBCD4C}" = Nero DiscSpeed
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 14
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUS_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUS_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUS_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUS_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUS_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUS_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{98C7F28A-77F5-4413-AAFC-771C8DB7B60E}" = Acronis True Image Echo Enterprise Server
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9E82B934-9A25-445B-B8DF-8012808074AC}" = Nero PhotoSnap
"{A209525B-3377-43F4-B886-32F6B6E7356F}" = Nero WaveEditor
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{B1ADF008-E898-4FE2-8A1F-690D9A06ACAF}" = DolbyFiles
"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center
"{B78120A0-CF84-4366-A393-4D0A59BC546C}" = Menu Templates - Starter Kit
"{BD5CA0DA-71AD-43DA-B19E-6EEE0C9ADC9A}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5A7CB6C-E76D-408F-BA0E-85605420FE9D}" = SoundTrax
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D025A639-B9C9-417D-8531-208859000AF8}" = NeroBurningROM
"{D9DCF92E-72EB-412D-AC71-3B01276E5F8B}" = Nero ShowTime
"{E498385E-1C51-459A-B45F-1721E37AA1A0}" = Movie Templates - Starter Kit
"{E8A80433-302B-4FF1-815D-FCC8EAC482FF}" = Nero Installer
"{ecf6456d-b7d0-487d-a690-1574d6e9d308}" = Nero 9
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FBCDFD61-7DCF-4E71-9226-873BA0053139}" = Nero InfoTool
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"Canon_IJ_Network_Scan_UTILITY" = Canon IJ Network Scan Utility
"Canon_IJ_Network_UTILITY" = Canon IJ Network Tool
"CCleaner" = CCleaner
"C-Media Audio Driver" = C-Media WDM Audio Driver
"CNXT_MODEM_HDA_HSF" = ThinkPad Modem
"Defraggler" = Defraggler
"Foxit Reader" = Foxit Reader
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 7.9.0
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OnScreenDisplay" = Anzeige am Bildschirm
"Power Management Driver" = ThinkPad Power Management Driver
"SynTPDeinstKey" = ThinkPad UltraNav Driver
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 6.15
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 31.10.2011 07:18:16 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 07:19:57 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

[ Application Events ]
Error - 31.10.2011 07:18:16 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 07:19:57 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

[ Application Events ]
Error - 31.10.2011 07:18:16 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 07:19:57 | Computer Name = PC | Source = Acronis True Image Echo Enterprise Server | ID = 4
Description = Disk is full. You must free additional disk space to continue. You
can either empty the Recycle Bin or delete old data files. Please press <bold>Retry</bold>
to try again or press <bold>Cancel</bold> to cancel the operation and stop.: Retry/Cancel

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

Error - 31.10.2011 10:08:09 | Computer Name = PC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .

[ System Events ]
Error - 31.10.2011 11:16:32 | Computer Name = PC | Source = Service Control Manager | ID = 7034
Description = Dienst "TVT Scheduler" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 31.10.2011 11:16:36 | Computer Name = PC | Source = Service Control Manager | ID = 7034
Description = Dienst "TSS Core Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 31.10.2011 11:43:06 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 31.10.2011 18:14:14 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 05:51:20 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 07:03:12 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 10:35:59 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:00 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:33 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:33 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

[ System Events ]
Error - 31.10.2011 11:16:32 | Computer Name = PC | Source = Service Control Manager | ID = 7034
Description = Dienst "TVT Scheduler" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 31.10.2011 11:16:36 | Computer Name = PC | Source = Service Control Manager | ID = 7034
Description = Dienst "TSS Core Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 31.10.2011 11:43:06 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 31.10.2011 18:14:14 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 05:51:20 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 07:03:12 | Computer Name = PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1058

Error - 01.11.2011 10:35:59 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:00 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:33 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.

Error - 01.11.2011 10:36:33 | Computer Name = PC | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Virtual CDROM USB Device nicht laden.


< End of report >
Dieser Beitrag wurde am 01.11.2011 um 18:55 Uhr von warmsummerrain editiert.
Seitenanfang Seitenende
01.11.2011, 19:59
Moderator

Beiträge: 5694
#2 Hast Du das System komplett formatiert oder darüber installiert?
Seitenanfang Seitenende
01.11.2011, 20:11
...neu hier

Themenstarter

Beiträge: 6
#3 Festplatte wurde komplett formatiert inkl. MBR. Deswegen wundert mich das Ganze ja so.
Seitenanfang Seitenende
01.11.2011, 20:20
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

warmsummerrain postete
Festplatte wurde komplett formatiert inkl. MBR. Deswegen wundert mich das Ganze ja so.
Nö beim formatieren wird der MBR nicht berührt.
Ein gutes Programm um versch. Bootcodes zu schreiben ist ms-sys.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
02.11.2011, 20:33
...neu hier

Themenstarter

Beiträge: 6
#5 Wie gesagt, ich hab über die Wiederherstellungskonsole auch den MBR formatiert (fixboot und
fixmbr). Leider half das anscheinend nichts. Diese Linux-Tool möchte ich mir nicht gerade antun.
Gibt es denn keine andere funktionierende Möglichkeit, den MBR zu bereinigen?
Seitenanfang Seitenende
02.11.2011, 23:05
Moderator

Beiträge: 5694
#6 Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es
erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
Seitenanfang Seitenende
05.11.2011, 19:57
...neu hier

Themenstarter

Beiträge: 6
#7 Ich hab mir jetzt die Mühe gemacht und alle Daten auf meiner Platte auf eine Externe gesichert (was ich ursprünglich vermeiden wollte), um sie (die Festplatte) dann komplett platt zu machen und sie anschließend nochmal neu zu partitionieren. Da ja der MBR dabei neu geschrieben wird, hat das auch wunderbar geklappt - alles andere hat, wie oben bereits erwähnt, leider nichts bewirkt.

Nach dem Neuaufsetzen des System (Systemlaufwerkt ist, wie üblich, C: ) und einem erneuten Scan mit 'gmer' und auch 'aswMBR' (zudem komme ich gleich), war kein Virus mehr vorhanden. Jetzt kommts allerdings - sobald ich auch Laufwerk D: anlege bzw. den nicht zugeordneten Speicher der Festplatte über die Datenträgerverwaltung von Windows formatiere, ist der selbe Virus wieder da! Lösche ich daraufhin das neu angelegte Laufwerk D: wieder, ist er wieder weg...

Wohlgemerkt - der MBR-Virus liegt ausschließlich auf Laufwerk C:, nicht auf D:. Also ist Laufwerk D: angelegt, ist der MBR-Virus auf Laufwerk C: vorhanden, wird D: wieder gelöscht, ist er auf Laufwerk C: wieder weg!

Wie kann das möglich sein???

Kann es sein, dass das interne Formatierungsprogramm von meinem Windows diesen Virus schreibt?!? Doch eher nicht, oder?

Ich poste jetzt mal das Log-File des Tools 'aswMBR' (hier schon mal ein Dankeschön an swisstreasure) vor dem Anlegen von D:, mit D:, und dann das Log-File nach dem wieder löschen von D:.

Log-File gleich nach der Installation

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-05 14:07:18
-----------------------------
14:07:18.234 OS Version: Windows 5.1.2600 Service Pack 3
14:07:18.234 Number of processors: 1 586 0x1601
14:07:18.250 ComputerName: PC UserName:
14:07:19.031 Initialize success
14:17:26.734 AVAST engine defs: 11110502
14:18:21.078 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
14:18:21.093 Disk 0 Vendor: WDC_WD80 08.0 Size: 76319MB BusType: 3
14:18:21.156 Disk 0 MBR read successfully
14:18:21.156 Disk 0 MBR scan
14:18:21.218 Disk 0 Windows XP default MBR code
14:18:21.250 Disk 0 scanning sectors +41945088
14:18:21.468 Disk 0 scanning C:\WINDOWS\system32\drivers
14:19:19.015 Service scanning
14:19:21.062 Modules scanning
14:19:59.718 Disk 0 trace - called modules:
14:19:59.750 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
14:19:59.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a802840]
14:19:59.765 3 CLASSPNP.SYS[f74c7fd7] -> nt!IofCallDriver -> \Device\00000085[0x8a78f910]
14:19:59.765 5 ACPI.sys[f743d620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a836030]
14:20:00.312 AVAST engine scan C:\WINDOWS
14:20:18.734 AVAST engine scan C:\WINDOWS\system32
14:40:14.984 AVAST engine scan C:\WINDOWS\system32\drivers
14:43:15.046 AVAST engine scan C:\Dokumente und Einstellungen\Administrator
14:46:46.703 AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:48:33.781 Scan finished successfully
14:55:12.984 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
14:55:12.984 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.txt"

Log-File mit Laufwerk D:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-04 17:26:18
-----------------------------
17:26:18.015 OS Version: Windows 5.1.2600 Service Pack 3
17:26:18.015 Number of processors: 1 586 0x1601
17:26:18.015 ComputerName: PC UserName:
17:26:18.500 Initialize success
17:40:36.312 AVAST engine defs: 11110400
17:43:53.968 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
17:43:53.968 Disk 0 Vendor: WDC_WD80 08.0 Size: 76319MB BusType: 3
17:43:54.031 Disk 0 MBR read successfully
17:43:54.031 Disk 0 MBR scan
17:43:54.218 Disk 0 Windows XP default MBR code
17:43:54.250 Disk 0 scanning sectors +156295440
17:43:54.312 Disk 0 malicious Win32:MBRoot code @ sector 156295443 !
17:43:54.328 Disk 0 PE file @ sector 156295465 !
17:43:54.484 Disk 0 scanning C:\WINDOWS\system32\drivers
17:44:44.562 Service scanning
17:44:47.390 Modules scanning
17:45:04.609 Disk 0 trace - called modules:
17:45:04.640 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
17:45:04.656 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a802840]
17:45:04.656 3 CLASSPNP.SYS[f74c7fd7] -> nt!IofCallDriver -> \Device\00000085[0x8a78f910]
17:45:04.656 5 ACPI.sys[f743d620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a836030]
17:45:05.531 AVAST engine scan C:\WINDOWS
17:45:23.765 AVAST engine scan C:\WINDOWS\system32
17:56:10.796 AVAST engine scan C:\WINDOWS\system32\drivers
17:57:07.468 AVAST engine scan C:\Dokumente und Einstellungen\Administrator
17:58:09.750 File: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\av49AE.tmp **HIDDEN**
17:58:13.281 AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:58:57.687 Scan finished successfully
13:52:05.890 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
13:52:05.890 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.txt"

Log-File nach dem entfernen von Laufwerk D:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-05 14:07:18
-----------------------------
14:07:18.234 OS Version: Windows 5.1.2600 Service Pack 3
14:07:18.234 Number of processors: 1 586 0x1601
14:07:18.250 ComputerName: PC UserName:
14:07:19.031 Initialize success
14:17:26.734 AVAST engine defs: 11110502
14:18:21.078 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
14:18:21.093 Disk 0 Vendor: WDC_WD80 08.0 Size: 76319MB BusType: 3
14:18:21.156 Disk 0 MBR read successfully
14:18:21.156 Disk 0 MBR scan
14:18:21.218 Disk 0 Windows XP default MBR code
14:18:21.250 Disk 0 scanning sectors +41945088
14:18:21.468 Disk 0 scanning C:\WINDOWS\system32\drivers
14:19:19.015 Service scanning
14:19:21.062 Modules scanning
14:19:59.718 Disk 0 trace - called modules:
14:19:59.750 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
14:19:59.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a802840]
14:19:59.765 3 CLASSPNP.SYS[f74c7fd7] -> nt!IofCallDriver -> \Device\00000085[0x8a78f910]
14:19:59.765 5 ACPI.sys[f743d620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a836030]
14:20:00.312 AVAST engine scan C:\WINDOWS
14:20:18.734 AVAST engine scan C:\WINDOWS\system32
14:40:14.984 AVAST engine scan C:\WINDOWS\system32\drivers
14:43:15.046 AVAST engine scan C:\Dokumente und Einstellungen\Administrator
14:46:46.703 AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:48:33.781 Scan finished successfully
14:55:12.984 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
14:55:12.984 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.txt"
Seitenanfang Seitenende
05.11.2011, 21:46
...neu hier

Themenstarter

Beiträge: 6
#8 Update zu meinem vorher verfassten Beitrag: Ich habe nun über die Windows XP Installations-CD das Laufwerk D: formatiert. Nach dem erneuten Booten von Windows ließ ich nochmal 'gmer' und 'aswMBR' drüberlaufen, und siehe da - kein Virus mehr vorhanden!

Es stellen sich mir jetzt zwei Fragen: a) Ist mein System noch kompromittiert, da ja anscheinend über die Datenträgerverwaltung der Virus wieder eingeschleust wurde? Oder ist b) nur die Formatierung (ist das format.exe??) betroffen?
Seitenanfang Seitenende
08.11.2011, 18:49
Moderator

Beiträge: 5694
#9 Sorry war kurze Zeit weg.

Also da die Systempartition C ist bringt dir das formatieren der Platte D nicht viel.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.
Seitenanfang Seitenende
08.11.2011, 19:38
Member
Avatar Xeper

Beiträge: 5291
#10

Zitat

Also da die Systempartition C ist bringt dir das formatieren der Platte D nicht viel.
Mach doch bitte mal einer
dd if=/dev/zero of=/dev/target bs=1 count=512

.... ist doch simpel ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.11.2011, 21:31
...neu hier

Themenstarter

Beiträge: 6
#11 @swisstreasure:

Dass das Formatieren von D: nichts bringt, wenn C: das Systemlaufwerk ist, ist mir auch klar.
Aber um das geht es ja auch in keinster Weise. Du hast offensichtlich nur meinen Beitrag #8
gelesen, und nicht den dazu gehörigen mit der Nummer #7 .

Aber das nur zu deiner Stellungnahme.

Ich habe mir das Tool runtergeladen, installiert und ausgeführt. Das Log-File poste ich gleich.
Ich denke, das mein System nun sauber ist. Das Einzige, was bei diesem Log noch
interessant ist, ist ein Reg-Eintrag von O&O Defrag, das ich mal installiert hatte. Dieser Eintrag
ist anscheinend vom System gesperrt - warum auch immer (aber das hat ja nichts mit der
Malware zu tun).

Was mich allerdings bei ComboFix tierisch genervt hat, ist die zusätzlich heruntergeladene und
installierte Wiederherstellungskonsole, denn diese lässt sich schwerlich wieder deinstallieren,
nimmt tiefgreifende Änderungen am System vor und verändert u.a. auch das Ausschauen
des Startmenüs und die Einstellungen für Ordner(!!!). Also wenn man dieses Tool nach
erfolgreichem Scan wieder deinstalliert, sollte man zumindest gefragt werden, ob man auch
die Wiederherstellungskonsole wieder deinstallieren möchte, denn diese braucht ja so wirklich
keiner! Und falls doch, dann ist sie auch Ratz Fatz über die Windows-CD bootbar bzw.
erreichbar. Dass die Wiederherstellungskonsole natürlich ihren Sinn darin begründet hat,
wenn das System nach dem Scan nicht mehr richtig hochfährt, ist natütlich klar. Deswegen
schreib ich ja auch, nach erfolgreichem Scan sollte es deinstalliert werden können.

ComboFix selbst ist natürlich top! Danke für den Hinweis!

Hier das Log (sollte soweit wieder alles in Ordnung sein):

ComboFix 11-11-10.01 - Administrator 10.11.2011 15:18:19.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1526.1050 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-10-10 bis 2011-11-10 ))))))))))))))))))))))))))))))
.
.
2011-11-09 16:32 . 2011-10-19 15:48 91096 ----a-w- c:\windows\system32\drivers\avfwim.sys
2011-11-09 16:32 . 2011-10-19 15:48 111160 ----a-w- c:\windows\system32\drivers\avfwot.sys
2011-11-09 15:59 . 2011-11-09 15:59 -------- d--h--w- c:\windows\$hf_mig$
2011-11-04 00:24 . 2010-01-13 11:28 155648 ----a-w- c:\windows\system32\igfxCoIn_v5218.dll
2011-11-04 00:24 . 2010-01-13 11:18 1498560 ----a-w- c:\windows\system32\igkrng400.bin
2011-11-04 00:24 . 2011-11-04 00:24 -------- d-----w- c:\windows\system32\Lang
2011-11-04 00:23 . 2011-11-04 00:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Lenovo
2011-11-04 00:23 . 2011-11-04 00:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Lenovo
2011-11-04 00:23 . 2011-11-04 00:23 -------- d-----w- c:\programme\Lenovo
2011-11-04 00:22 . 2011-11-04 00:22 32824 ----a-w- c:\windows\system32\drivers\psadd.sys
2011-11-04 00:22 . 2011-11-04 00:22 -------- d-----w- c:\windows\Downloaded Installations
2011-11-04 00:21 . 2011-11-04 00:21 -------- d-----w- c:\programme\Analog Devices
2011-11-04 00:21 . 2006-07-10 13:42 49152 ----a-w- c:\windows\system32\DSndUp.exe
2011-11-04 00:21 . 2005-05-04 07:20 53248 ------w- c:\windows\system32\wdmioctl.dll
2011-11-04 00:21 . 2002-04-17 13:05 45056 ------w- c:\windows\system32\CleanUp.exe
2011-11-04 00:21 . 2001-09-11 13:20 1285632 ------w- c:\windows\system32\SMMedia.dll
2011-11-04 00:20 . 2004-04-18 22:40 69715 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\ctor.dll
2011-11-04 00:20 . 2004-04-18 22:39 266240 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iscript.dll
2011-11-04 00:20 . 2004-04-18 22:39 172032 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iuser.dll
2011-11-04 00:20 . 2004-04-18 22:39 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\DotNetInstaller.exe
2011-11-04 00:20 . 2011-11-04 00:20 303236 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\setup.dll
2011-11-04 00:20 . 2011-11-04 00:20 180356 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iGdi.dll
2011-11-04 00:20 . 2004-04-18 22:42 733184 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iKernel.dll
2011-11-04 00:20 . 2011-11-04 00:20 -------- d-----w- c:\programme\Gemeinsame Dateien\SPBA
2011-11-04 00:19 . 2011-11-04 00:26 -------- d-----w- c:\programme\ThinkVantage Fingerprint Software
2011-11-04 00:18 . 2008-04-13 23:21 101120 -c--a-w- c:\windows\system32\dllcache\bthpan.sys
2011-11-04 00:18 . 2008-04-13 23:21 101120 ----a-w- c:\windows\system32\drivers\bthpan.sys
2011-11-04 00:17 . 2008-04-13 23:16 59136 -c--a-w- c:\windows\system32\dllcache\rfcomm.sys
2011-11-04 00:17 . 2008-04-13 23:16 59136 ----a-w- c:\windows\system32\drivers\rfcomm.sys
2011-11-04 00:17 . 2008-04-13 23:16 17024 -c--a-w- c:\windows\system32\dllcache\bthenum.sys
2011-11-04 00:17 . 2008-04-13 23:16 17024 ----a-w- c:\windows\system32\drivers\BthEnum.sys
2011-11-04 00:17 . 2008-04-14 06:52 153088 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2011-11-04 00:17 . 2008-04-14 06:52 153088 ----a-w- c:\windows\system32\irftp.exe
2011-11-04 00:17 . 2008-04-14 06:52 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2011-11-04 00:17 . 2008-04-14 06:52 8192 ----a-w- c:\windows\system32\wshirda.dll
2011-11-04 00:17 . 2008-04-14 06:52 28160 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2011-11-04 00:17 . 2008-04-14 06:52 28160 ----a-w- c:\windows\system32\irmon.dll
2011-11-04 00:17 . 2008-04-13 23:16 18944 -c--a-w- c:\windows\system32\dllcache\bthusb.sys
2011-11-04 00:17 . 2008-04-13 23:16 18944 ----a-w- c:\windows\system32\drivers\BTHUSB.SYS
2011-11-04 00:14 . 2011-11-04 00:14 -------- d-----w- c:\programme\Intel
2011-11-04 00:14 . 2011-08-31 14:20 53248 ----a-w- c:\windows\system32\CSVer.dll
2011-11-03 19:29 . 2011-11-03 19:29 -------- d-----w- c:\programme\Tracker Software
2011-11-03 15:47 . 2011-11-04 00:05 5504 ------w- c:\windows\system32\drivers\intelide.sys
2011-11-02 11:34 . 2011-03-14 06:53 229928 -c--a-w- c:\windows\system32\dllcache\b57xp32.sys
2011-11-02 11:34 . 2011-03-14 06:53 229928 ----a-w- c:\windows\system32\drivers\b57xp32.sys
2011-11-02 11:34 . 2011-08-25 01:33 20008 ----a-w- c:\windows\system32\btwcoins.dll
2011-11-02 11:30 . 2008-04-24 22:53 308736 ----a-w- c:\windows\system32\drivers\ADIHdAud.sys
2011-11-02 11:30 . 2008-04-24 22:53 28160 ----a-w- c:\windows\system32\PostProc.dll
2011-11-02 11:30 . 2008-04-24 22:53 103424 ----a-w- c:\windows\system32\drivers\aeaudio.sys
2011-10-31 10:38 . 2011-10-31 10:38 70656 ----a-w- c:\windows\system32\dfboottime.exe
2011-10-31 10:21 . 2011-09-25 09:33 216064 ----a-w- c:\windows\system32\lagarith.dll
2011-10-31 10:21 . 2011-06-24 14:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll
2011-10-31 10:21 . 2011-06-24 14:28 650752 ----a-w- c:\windows\system32\xvidcore.dll
2011-10-31 10:21 . 2011-06-15 15:03 3164160 ----a-w- c:\windows\system32\x264vfw.dll
2011-10-31 10:21 . 2006-04-02 12:47 630784 ----a-w- c:\windows\system32\vp7vfw.dll
2011-10-31 10:21 . 2004-05-18 18:16 39936 ----a-w- c:\windows\system32\huffyuv.dll
2011-10-31 10:21 . 2011-10-28 08:00 74752 ----a-w- c:\windows\system32\ff_vfw.dll
2011-10-30 22:37 . 2011-10-30 23:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Wise Registry Cleaner
2011-10-30 22:37 . 2011-10-30 22:37 -------- d-----w- c:\programme\Wise Registry Cleaner
2011-10-30 18:14 . 2011-10-30 18:14 -------- d-----w- c:\programme\Microsoft Synchronization Services
2011-10-30 18:13 . 2011-10-30 18:13 -------- d-----w- c:\programme\Microsoft Sync Framework
2011-10-30 18:13 . 2011-10-30 18:13 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition
2011-10-30 18:13 . 2011-10-30 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Microsoft
2011-10-30 18:06 . 2011-10-30 18:06 -------- d-----w- c:\programme\Microsoft Analysis Services
2011-10-30 17:48 . 2011-10-30 17:48 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
2011-10-30 17:19 . 2011-05-24 18:14 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-10-30 16:49 . 2008-11-07 17:55 16928 ------w- c:\windows\system32\spmsgXP_2k3.dll
2011-10-30 16:49 . 2011-10-30 16:49 -------- d-----w- c:\programme\Synaptics
2011-10-30 16:40 . 2011-10-30 16:40 -------- d-----w- c:\windows\system32\x64
2011-10-30 16:40 . 2010-02-05 15:13 1002008 ----a-w- c:\windows\system32\igxpun.exe
2011-10-30 16:37 . 2011-10-30 16:37 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-10-30 16:36 . 2011-10-30 16:36 611224 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2011-10-30 16:36 . 2011-10-30 16:36 544656 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-30 16:36 . 2011-10-30 16:36 128000 ----a-w- c:\windows\system32\javacpl.cpl
2011-10-30 16:36 . 2011-10-30 16:36 -------- d-----w- c:\programme\Java
2011-10-30 16:23 . 2011-10-30 16:23 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-30 16:04 . 2011-11-09 21:40 134104 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-10-30 16:04 . 2011-11-09 21:40 89048 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2011-10-30 16:04 . 2011-11-09 21:40 801752 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-10-30 16:04 . 2011-11-09 21:40 478168 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2011-10-30 16:04 . 2011-11-09 21:40 1989592 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2011-10-30 16:04 . 2011-11-09 21:40 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2011-10-30 16:04 . 2011-09-29 00:26 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-10-30 16:04 . 2011-09-29 00:26 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-10-30 15:46 . 2011-10-30 15:46 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2011-10-30 15:44 . 2011-10-30 15:44 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2011-10-30 15:44 . 2011-10-19 15:56 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-30 15:44 . 2011-10-19 15:56 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2011-10-30 15:44 . 2011-10-19 15:56 134344 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-10-30 15:44 . 2011-11-09 16:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-10-30 15:44 . 2011-10-30 15:44 -------- d-----w- c:\programme\Avira
2011-10-16 17:55 . 2011-10-16 17:55 18139008 ----a-w- c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSO.DLL
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-04 00:05 . 2008-04-29 10:48 76288 ----a-w- c:\windows\system32\storprop.dll
2011-11-04 00:05 . 2008-04-14 07:21 39936 ----a-w- c:\windows\system32\drivers\processr.sys
2011-11-04 00:05 . 2008-04-14 05:19 188800 ----a-w- c:\windows\system32\drivers\acpi.sys
2011-11-04 00:05 . 2008-04-14 07:30 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-11-04 00:05 . 2001-08-23 11:00 3456 ----a-w- c:\windows\system32\drivers\oprghdlr.sys
2011-11-04 00:05 . 2001-08-23 11:00 12160 ----a-w- c:\windows\system32\drivers\acpiec.sys
2011-11-04 00:05 . 2008-04-14 05:29 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-10 14:22 . 2008-04-29 09:55 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-09-26 10:41 . 2007-10-09 11:03 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 10:41 . 2001-08-23 11:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 10:41 . 2001-08-23 11:00 220160 ----a-w- c:\windows\system32\oleacc.dll
2011-09-09 09:11 . 2008-04-14 05:52 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-06 14:10 . 2008-04-14 05:23 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-08-17 21:25 . 2008-04-14 05:52 832512 ----a-w- c:\windows\system32\wininet.dll
2011-08-17 21:25 . 2008-04-14 05:53 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2011-08-17 21:25 . 2008-04-14 05:52 78336 ----a-w- c:\windows\system32\ieencode.dll
2011-08-17 21:25 . 2008-04-14 05:52 17408 ----a-w- c:\windows\system32\corpol.dll
2011-08-17 13:49 . 2008-04-13 22:49 138496 ----a-w- c:\windows\system32\drivers\afd.sys
2011-08-17 12:22 . 2008-04-14 05:25 389120 ----a-w- c:\windows\system32\html.iec
2011-11-09 21:40 . 2011-10-30 16:04 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-29 17:30 . CAB5F4D65D49C24FAA4EF0351B3755A3 . 23552 . . [1.0.0.4] . . c:\windows\system32\ctfmon.exe
[-] 2008-04-29 17:30 . CAB5F4D65D49C24FAA4EF0351B3755A3 . 23552 . . [1.0.0.4] . . c:\windows\system32\dllcache\ctfmon.exe
.
[-] 2008-04-24 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-29 23552]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2010-12-07 15:27 100176 ----a-w- c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*;)isabled:Windows-Remoteverwaltung
.
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [09.11.2011 17:32 111160]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [30.10.2011 16:44 36000]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [09.11.2011 17:32 616400]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [09.11.2011 17:32 342480]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2011 16:44 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [30.10.2011 16:44 463824]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [13.03.2009 13:47 12560]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [09.11.2011 17:32 91096]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [02.07.2009 10:16 38336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys --> c:\windows\system32\drivers\Ambfilt.sys [?]
S3 Arfumftr;Trust RF-Mouse filter driver;c:\windows\system32\DRIVERS\Arfumftr.sys --> c:\windows\system32\DRIVERS\Arfumftr.sys [?]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [22.02.2010 15:44 1381632]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.04.2008 06:53 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\g8p0bvvx.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-10 15:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1552)
c:\windows\system32\Ati2evxx.dll
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\qlbase.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
.
- - - - - - - > 'lsass.exe'(1608)
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(2572)
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~3\Office14\1031\GrooveIntlResource.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-10 15:27:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-11-10 14:27
.
Vor Suchlauf: 8.266.309.632 Bytes frei
Nach Suchlauf: 8.979.836.928 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /execute /fastdetect
.
- - End Of File - - 1BFD210FC730AAD7F2E482CBF9AEACF6
Seitenanfang Seitenende
10.11.2011, 22:50
Moderator

Beiträge: 5694
#12 Ich sehe im Log auch nichts mehr.

Ich würde Dir empfehlen die Wiederherstellungskonsole zu lassen. Sie kann sehr nützlich sein wenn einmal nichts mehr geht.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.

Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User:
müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde
• Klicke Finish.
• Browser schließen.Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: