RootKit Virus: RunOnce: KeApplet Eintrag in Registry

#1 Guten Tag,

ich habe folgende Symptome bei meinem PC (XP Servicepack 3):
Bei Virenscan durch Avira (Freewareversion) wird ein Befall in einem Unterordner von "Dokumente und Einstellungen\user\Anwendungsdaten\" gefunden. Dort befindet sich ein Ordner wie etwa {E3B9E560-3FB5-41BD-A092-7C5DD38ED013}, der ein File mit dem Namen Upgrade.exe oder Uploadhelper.exe oder ähnliches enthält und dessen Speicherort sowohl in HKEY_USERS/S-1-5-21-.../Microsoft/Software/Windows/CurrentVersion/Run wie RunOnce mit dem Schlüssel KeApplet eingetragen ist. Avira findet dies, entfernt sowohl Datei als auch die beiden Registry-Eiinträge, anschließend sind nach wenigen Sekunden beide Einträge wieder da. Malwarebytes Anti-Malware findet ebenfalls das Schadprogramm und entfernt auf gleiche Art beides aber mit gleichem (Miss-)Erfolg.
Ich habe seit dem Befall noch nicht neu gebootet und gehe davon aus, dass dieses Programm nicht bisher aktiv war.
Ich habe nach der ausführlichen Anleitung hier im Forum, OTL und GMER installiert und werde die Logfiles hier ebenso wie das von HiJackthis posten.
Ich würde mich freuen, wenn mir jemand helfen könnte. Ich habe eine aktuelle Bart-PE-CD mit XP und mehreren Virenscannern von der ich booten könnte, um das System zu Inspizieren, habe jedoch gemäß der Anleitung hier im Forum zunächst nichts getann. Der Rechner läuft noch immer ohne neu gebootet zu sein. Da es immer einige Sekunden dauert, vom Löschen der Virusfiles und Registry-Einträge bis diese wieder erscheinen, dachte ich, wenn ich neu booten müsste, sollte ich File und Registryeinträge löschen und direkt, den Strom unterbrechen, um zu verhindern, dass bei Neustart das Virus ausgeführt wird.

Logfiles folgen im nächsten Posting.

Vielen Dank im Voraus für Eure Hilfe

Ingo.

#2 OTL.log:

OTL logfile created on: 23.01.2012 21:16:12 - Run 2
OTL by OldTimer - Version 3.2.31.0 Folder = c:\_10
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,36 Gb Available Physical Memory | 68,27% Memory free
4,85 Gb Paging File | 4,28 Gb Available in Paging File | 88,21% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 124,15 Gb Total Space | 30,80 Gb Free Space | 24,81% Space Free | Partition Type: NTFS
Drive D: | 3,84 Gb Total Space | 0,19 Gb Free Space | 5,02% Space Free | Partition Type: FAT32
Drive E: | 236,49 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 104,89 Gb Total Space | 1,25 Gb Free Space | 1,19% Space Free | Partition Type: NTFS

Computer Name: XP-798BF17A12A1 | User Name: ingo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2012.01.23 14:08:42 | 000,584,192 | ---- | M] (OldTimer Tools) -- c:\_10\OTL.exe
PRC - [2011.07.01 09:57:10 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.04.27 18:36:00 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.04.22 13:21:10 | 000,247,728 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
PRC - [2011.04.22 13:21:10 | 000,092,592 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
PRC - [2011.03.21 22:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2010.11.05 17:10:38 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.01.14 20:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.01.11 23:46:44 | 000,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.02.15 16:16:02 | 000,581,693 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2006.02.15 16:14:44 | 001,265,748 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
PRC - [2006.02.15 15:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe
PRC - [2006.02.14 11:56:08 | 000,122,880 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\pthosttr.exe
PRC - [2006.02.06 22:51:18 | 000,126,976 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\PTServs.exe
PRC - [2006.01.20 11:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2006.01.16 22:01:46 | 000,053,248 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\accelerometerST.exe
PRC - [2006.01.10 13:23:16 | 000,136,736 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
PRC - [2005.12.23 12:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe
PRC - [2005.08.31 05:20:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2005.08.19 15:22:10 | 000,397,312 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\SpTNA.exe
PRC - [2003.09.12 02:00:00 | 000,099,840 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0K2.EXE
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE


[color=#E56717]========== Modules (No Company Name) ==========[/color]

MOD - [2011.07.21 14:12:30 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.03.21 22:10:36 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.03.21 22:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2007.08.23 11:15:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
MOD - [2006.02.15 16:17:26 | 000,053,248 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll
MOD - [2006.02.15 15:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe
MOD - [2005.12.23 12:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe
MOD - [2004.06.01 10:39:56 | 000,094,274 | R--- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL
MOD - [2002.05.28 18:11:04 | 000,122,880 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - [2011.07.01 09:57:10 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.27 18:36:00 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.04.22 13:21:10 | 000,092,592 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010.06.23 21:55:53 | 001,352,832 | ---- | M] (Lavasoft) [On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2006.01.20 11:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2011.07.01 09:57:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.01 09:57:12 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.10.22 15:35:45 | 000,005,152 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\io.sys -- (io.sys)
DRV - [2010.08.31 11:43:36 | 000,195,968 | ---- | M] (Jungo) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\windrvr6.sys -- (WinDriver6)
DRV - [2010.06.23 21:56:00 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 19:46:07 | 000,025,344 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sonydcam.sys -- (sonydcam)
DRV - [2007.11.20 18:35:48 | 000,049,792 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2007.05.31 17:25:08 | 000,091,904 | R--- | M] (The Imaging Source Europe GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tisdcam_4010.sys -- (TISDCam)
DRV - [2007.03.20 10:33:26 | 000,028,672 | ---- | M] (http://libusb-win32.sourceforge.net) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\libusb0.sys -- (libusb0)
DRV - [2007.01.25 16:45:02 | 000,006,784 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\whfltr2k.sys -- (whfltr2k)
DRV - [2006.02.15 15:59:52 | 000,401,664 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2006.02.15 15:56:58 | 001,342,570 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.02.15 15:54:46 | 000,030,363 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2006.02.15 15:54:10 | 000,057,096 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.02.15 15:51:22 | 000,148,168 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2006.01.10 01:00:04 | 000,022,016 | ---- | M] (Hewlett-Packard Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Accelerometer.sys -- (Accelerometer)
DRV - [2006.01.10 01:00:04 | 000,017,920 | ---- | M] (Hewlett-Packard Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\hpdskflt.sys -- (hpdskflt)
DRV - [2006.01.04 01:00:10 | 001,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2006.01.04 01:00:10 | 000,718,464 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2006.01.04 01:00:10 | 000,201,600 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2005.12.19 09:21:00 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)
DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.10.25 19:10:44 | 000,035,488 | ---- | M] (Infineon Technologies AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\psd.sys -- (PersonalSecureDrive)
DRV - [2005.09.20 10:30:56 | 000,162,432 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2005.09.19 13:24:20 | 000,005,760 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EabUsb.sys -- (eabusb)
DRV - [2005.09.19 13:24:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey)
DRV - [2005.09.19 13:23:52 | 000,007,808 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\eabfiltr.sys -- (eabfiltr)
DRV - [2005.08.31 05:20:00 | 000,094,332 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.08.31 05:20:00 | 000,087,036 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.08.31 05:20:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.08.31 05:20:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.08.31 05:20:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.08.31 05:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.08.31 05:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005.08.25 12:16:52 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.08.25 12:16:16 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005.06.10 14:26:00 | 000,035,968 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2005.05.31 11:46:26 | 000,087,936 | R--- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gtipci21.sys -- (GTIPCI21)
DRV - [2005.03.30 10:12:38 | 000,014,544 | ---- | M] (EnTech Taiwan) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TVicPort.sys -- (TVicPort)
DRV - [2004.02.13 02:20:30 | 000,008,608 | R--- | M] (Hi-Lo Systems.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ALL100.sys -- (ALL100) Hi-Lo Systems -- ALL-100 USB Device Driver (ALL100.SYS)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = websweeper.atb-potsdam.de:8080

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: anttoolbar@ant.com:2.4.5
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.8
FF - prefs.js..extensions.enabledItems: firefox@red-cog.com:2.8
FF - prefs.js..extensions.enabledItems: max@subfighter.com:1.0.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.2.3
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.3.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {84b24861-62f6-364b-eba5-2e5e2061d7e6}:0.9.3
FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="

FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.01.23 00:40:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.21 22:30:50 | 000,000,000 | ---D | M]

[2010.07.02 20:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions
[2010.07.02 20:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2012.01.22 23:06:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions
[2012.01.10 23:58:22 | 000,000,000 | ---D | M] (FlashGot) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010.11.04 17:12:12 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.12.21 22:48:24 | 000,000,000 | ---D | M] (mediaplayerconnectivity) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{84b24861-62f6-364b-eba5-2e5e2061d7e6}
[2011.12.25 23:45:18 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.12.21 22:42:22 | 000,000,000 | ---D | M] (Ant Video Downloader) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\anttoolbar@ant.com
[2010.09.30 11:44:07 | 000,000,000 | ---D | M] (Embedded Objects) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\firefox@red-cog.com
[2009.12.05 01:43:45 | 000,000,000 | ---D | M] (Flash Video Resources Downloader) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\max@subfighter.com
[2011.08.28 17:37:09 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\extensions\youtube2mp3@mondayx.de
[2010.09.17 09:28:45 | 000,001,067 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\u1ko5wmb.default\searchplugins\internet-archive.xml
[2012.01.22 23:06:50 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.07.01 20:10:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.14 08:44:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.10.21 10:53:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.01 21:55:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.02 09:19:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.08.12 06:14:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2009.12.05 00:10:45 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.01.11 23:47:09 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMME\REAL\REALPLAYER\BROWSERRECORD\FIREFOX\EXT
[2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.03.19 08:23:30 | 000,686,592 | ---- | M] (Synatix GmbH) -- C:\Programme\mozilla firefox\plugins\npmieze.dll
[2011.03.16 01:18:20 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 01:18:20 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.04.16 20:41:17 | 000,000,143 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\foxsearch.src
[2011.03.16 01:18:20 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.03.16 01:18:20 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.03.16 01:18:20 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\accelerometerST.exe (Hewlett-Packard Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDFDrucker\PDFPrintBackend.exe ()
O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe ()
O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - HKLM..\Run: [WheelMouse] C:\Advanced Wheel Mouse\wh_exec.exe ()
O4 - HKCU..\Run: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks)
O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O4 - HKCU..\RunOnce: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O15 - HKCU\..Trusted Domains: adobe.com ([get] http in Vertrauenswürdige Sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab (Silverwire Image Uploader Control)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3E9FD294-F47C-4AA6-A48C-3BE8902D554B}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\IfxWlxEN: DllName - (IfxWlxEN.dll) - C:\WINDOWS\System32\IfxWlxEN.dll (Infineon Technologies AG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.29 20:38:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001.07.27 22:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 14:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - Unable to obtain root file information for disk F:\
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell - "" = AutoRun
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun\command - "" = G:\DPFMate.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2012.01.23 20:56:55 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2012.01.23 20:56:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Startmenü\Programme\HiJackThis
[2012.01.23 20:55:25 | 000,000,000 | ---D | C] -- C:\_10
[2012.01.23 20:22:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\vlc
[2012.01.23 20:13:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ICQ
[2012.01.23 09:08:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Skype
[2012.01.23 08:54:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Search
[2012.01.23 08:06:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\WinRAR
[2012.01.23 07:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TeamViewer
[2012.01.23 07:43:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search
[2012.01.22 00:51:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Google Inc
[2012.01.12 00:15:16 | 000,000,000 | ---D | C] -- C:\Tom_Jerry
[2012.01.10 22:34:18 | 000,000,000 | ---D | C] -- C:\_grim
[2012.01.05 19:33:42 | 000,000,000 | ---D | C] -- C:\Programme\SDP Multimedia
[2012.01.05 19:33:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SDP Multimedia
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2012.01.23 20:56:55 | 000,001,982 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis.lnk
[2012.01.23 20:56:31 | 001,402,880 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis-2-04.msi
[2012.01.23 20:55:52 | 000,115,129 | -H-- | M] () -- C:\treeinfo.wc
[2012.01.23 16:54:08 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job
[2012.01.23 08:08:33 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\wdrpgp.sys
[2012.01.22 22:04:16 | 000,001,828 | -H-- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\Default.rdp
[2012.01.22 21:24:56 | 000,121,648 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001
[2012.01.20 19:24:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.01.20 19:23:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.01.20 19:23:26 | 2146,881,536 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.12 22:43:33 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.01.10 23:25:48 | 000,000,923 | ---- | M] () -- C:\WINDOWS\goldwave.ini
[2012.01.08 17:53:13 | 000,121,648 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2012.01.05 22:26:02 | 335,013,484 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1622-5401.wm.hq.wmv
[2012.01.05 20:03:39 | 356,925,484 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1535-2801.wm.hq.wmv
[2012.01.05 19:33:42 | 000,000,828 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SDP Downloader.lnk
[2012.01.05 08:39:26 | 001,384,960 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Desktop\SDP_v2_3_0.msi
[2012.01.03 16:45:06 | 000,106,761 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\probes_Pay.pdf
[2012.01.01 18:32:36 | 000,531,602 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.01.01 18:32:36 | 000,505,976 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.01.01 18:32:36 | 000,107,036 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.01.01 18:32:36 | 000,089,440 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.01.01 04:20:55 | 000,278,944 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2012.01.23 20:56:55 | 000,001,982 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis.lnk
[2012.01.23 20:56:28 | 001,402,880 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\HiJackThis-2-04.msi
[2012.01.23 08:08:33 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wdrpgp.sys
[2012.01.05 22:00:10 | 335,013,484 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1622-5401.wm.hq.wmv
[2012.01.05 19:36:05 | 356,925,484 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\TV-20111228-1535-2801.wm.hq.wmv
[2012.01.05 19:33:42 | 000,000,828 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SDP Downloader.lnk
[2012.01.05 18:44:19 | 001,384,960 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Desktop\SDP_v2_3_0.msi
[2012.01.03 16:45:18 | 000,106,761 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\probes_Pay.pdf
[2011.12.01 19:23:42 | 000,038,406 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Microsoft Excel.ADR
[2011.10.21 14:16:55 | 000,147,968 | R--- | C] () -- C:\WINDOWS\System32\DeBayerTransform.dll
[2011.10.21 14:16:55 | 000,005,632 | R--- | C] () -- C:\WINDOWS\System32\drvcoinst1.dll
[2011.08.11 08:13:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Title.INI
[2011.06.27 14:14:15 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI
[2011.06.26 06:31:33 | 000,000,213 | ---- | C] () -- C:\WINDOWS\PCWGXDRV.INI
[2011.06.26 06:31:33 | 000,000,020 | ---- | C] () -- C:\WINDOWS\LOGINPUT.INI
[2011.05.27 22:34:54 | 001,663,653 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-448539723-1177238915-725345543-1005-0.dat
[2011.05.27 22:34:54 | 000,275,654 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.03.10 21:01:51 | 000,000,020 | ---- | C] () -- C:\WINDOWS\WINCHESS.INI
[2010.10.26 17:32:33 | 000,000,916 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2010.10.22 15:35:45 | 000,005,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\io.sys
[2010.08.29 22:58:18 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2010.06.23 22:11:58 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.02.02 23:27:58 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.02.02 23:27:58 | 000,020,894 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Music Converter.dat
[2010.01.31 21:57:04 | 000,001,181 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2010.01.31 20:46:51 | 000,000,923 | ---- | C] () -- C:\WINDOWS\goldwave.ini
[2010.01.26 23:37:44 | 000,094,720 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.09 14:38:47 | 000,264,192 | ---- | C] () -- C:\WINDOWS\System32\midas.dll
[2010.01.08 20:30:54 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.01.08 00:42:42 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.12.17 13:59:36 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.12.05 01:37:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.11.23 19:20:46 | 000,000,060 | ---- | C] () -- C:\WINDOWS\System32\SYSDRV.DAT
[2009.10.31 12:43:32 | 000,121,648 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2009.10.29 21:38:02 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2009.10.29 21:38:02 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2009.10.29 21:38:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2009.10.29 21:38:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2009.10.29 21:38:02 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2009.10.29 21:38:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2009.10.29 21:35:07 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\std201mt.dll
[2009.10.29 21:32:40 | 000,000,244 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009.10.29 21:30:20 | 000,094,274 | R--- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2009.10.29 21:20:53 | 000,030,064 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.10.29 20:42:00 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.10.29 20:35:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.10.29 20:26:04 | 000,004,361 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.10.29 20:24:52 | 000,278,944 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.08.23 11:15:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.08.23 11:15:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007.08.23 11:15:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.08.23 11:15:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007.08.23 11:15:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.08.23 11:15:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.08.23 11:15:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007.08.23 11:15:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2007.01.25 16:45:02 | 000,006,784 | ---- | C] () -- C:\WINDOWS\System32\drivers\whfltr2k.sys
[2007.01.22 09:24:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006.02.28 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 13:00:00 | 000,531,602 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 13:00:00 | 000,505,976 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 13:00:00 | 000,107,036 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 13:00:00 | 000,089,440 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2006.02.28 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.02.15 16:04:52 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2004.01.13 19:46:34 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.05.28 19:55:42 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002.05.28 19:54:40 | 000,004,605 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1998.05.07 03:10:00 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\ODMA32.dll

[color=#E56717]========== LOP Check ==========[/color]

[2010.10.26 17:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2011.06.26 06:31:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet
[2010.05.21 19:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRITZ!
[2009.11.23 19:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
[2011.06.27 14:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic
[2010.07.02 20:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.10.04 22:10:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010.05.24 10:12:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2011.04.12 20:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\.config
[2011.05.27 21:43:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Atmel
[2010.10.26 17:33:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Buhl Data Service
[2010.01.07 23:01:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\CadSoft
[2010.10.04 22:16:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\EPSON
[2010.01.06 23:20:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Foxit Software
[2010.05.21 19:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\FRITZ!
[2010.01.09 15:13:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GetRightToGo
[2009.12.05 01:24:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GHISLER
[2010.09.17 09:44:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GrabPro
[2011.11.05 23:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\gtk-2.0
[2011.04.16 21:54:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Gutscheinmieze
[2011.10.21 14:26:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\IC Capture.AS 2.0
[2012.01.23 20:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ICQ
[2009.12.04 23:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Infineon
[2010.01.04 18:04:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\InterVideo
[2010.01.07 23:28:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Leadertech
[2011.05.26 21:06:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\MCS Electronics
[2010.09.17 21:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Orbit
[2011.11.06 00:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\PapDesigner
[2010.09.17 09:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ProgSense
[2010.01.31 23:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\SampleView
[2010.09.28 22:31:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Scilab
[2012.01.23 08:06:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TeamViewer
[2010.07.02 20:51:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TomTom
[2011.07.13 23:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\VisualAssist
[2012.01.23 20:38:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search
[2012.01.23 20:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Search
[2012.01.23 16:54:08 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*. >[/color]
[2011.07.01 01:08:27 | 000,000,000 | ---D | M] -- C:\123
[2010.10.29 22:05:40 | 000,000,000 | ---D | M] -- C:\27eaed226296dcb6e6959785e03765c7
[2010.11.12 11:08:12 | 000,000,000 | ---D | M] -- C:\Advanced Wheel Mouse
[2011.04.09 18:22:56 | 000,000,000 | ---D | M] -- C:\anja
[2010.12.29 12:10:13 | 000,000,000 | ---D | M] -- C:\Anja.bld
[2011.01.20 01:21:35 | 000,000,000 | ---D | M] -- C:\Basic Element - The Truth (2009)
[2012.01.23 20:56:55 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2011.07.24 21:44:46 | 000,000,000 | ---D | M] -- C:\cv310
[2011.10.21 22:31:21 | 000,000,000 | ---D | M] -- C:\DCIM
[2011.11.15 22:38:36 | 000,000,000 | ---D | M] -- C:\Deflekto
[2011.08.21 21:26:18 | 000,000,000 | ---D | M] -- C:\Deflektor
[2009.12.04 23:54:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2010.09.17 21:15:07 | 000,000,000 | ---D | M] -- C:\Downloads
[2011.10.31 00:43:09 | 000,000,000 | ---D | M] -- C:\dw
[2010.10.04 22:08:46 | 000,000,000 | ---D | M] -- C:\EPSON
[2011.08.02 23:01:21 | 000,000,000 | ---D | M] -- C:\fotos
[2011.11.08 22:46:36 | 000,000,000 | ---D | M] -- C:\Fract
[2010.12.29 12:10:33 | 000,000,000 | ---D | M] -- C:\Hardware.bld
[2011.10.11 21:51:18 | 000,000,000 | ---D | M] -- C:\Hoerspiele
[2010.01.22 23:08:43 | 000,000,000 | ---D | M] -- C:\IMGSTAR2
[2011.09.19 07:17:14 | 000,000,000 | ---D | M] -- C:\karte
[2010.12.29 12:10:00 | 000,000,000 | ---D | M] -- C:\Kosmos.bld
[2011.02.19 19:57:29 | 000,000,000 | ---D | M] -- C:\mediathek
[2009.12.17 13:44:54 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011.02.20 12:42:56 | 000,000,000 | ---D | M] -- C:\Norwegen.bld
[2011.02.15 21:12:25 | 000,000,000 | ---D | M] -- C:\nwg
[2011.05.27 21:46:08 | 000,000,000 | ---D | M] -- C:\Program Files
[2012.01.23 20:56:55 | 000,000,000 | R--D | M] -- C:\Programme
[2011.10.11 21:55:17 | 000,000,000 | ---D | M] -- C:\Prog_Ingo
[2011.10.07 22:36:51 | 000,000,000 | ---D | M] -- C:\Prog_ok
[2010.01.05 23:50:32 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.06.29 23:46:28 | 000,000,000 | ---D | M] -- C:\RK_MP3
[2011.10.31 00:27:21 | 000,000,000 | ---D | M] -- C:\saq
[2011.09.12 21:43:57 | 000,000,000 | ---D | M] -- C:\scilab.tut
[2011.10.11 20:22:09 | 000,000,000 | ---D | M] -- C:\sciUpdate
[2010.07.27 21:41:25 | 000,000,000 | ---D | M] -- C:\Spectrum
[2011.11.09 22:57:56 | 000,000,000 | ---D | M] -- C:\Studer
[2009.11.23 19:19:38 | 000,000,000 | ---D | M] -- C:\swsetup
[2012.01.23 08:33:04 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2009.11.23 19:20:43 | 000,000,000 | ---D | M] -- C:\SYSTEM.SAV
[2009.12.05 00:05:46 | 000,000,000 | ---D | M] -- C:\temp
[2011.07.28 21:05:19 | 000,000,000 | ---D | M] -- C:\test
[2012.01.12 01:06:10 | 000,000,000 | ---D | M] -- C:\Tom_Jerry
[2012.01.19 22:58:34 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2011.02.14 10:31:43 | 000,000,000 | ---D | M] -- C:\Winter2010_2011.bld
[2011.11.06 09:55:49 | 000,000,000 | ---D | M] -- C:\_
[2012.01.23 21:11:37 | 000,000,000 | ---D | M] -- C:\_10
[2011.01.15 00:48:14 | 000,000,000 | ---D | M] -- C:\_a
[2011.07.31 18:14:33 | 000,000,000 | ---D | M] -- C:\_combi
[2012.01.12 00:09:51 | 000,000,000 | ---D | M] -- C:\_grim
[2011.05.11 21:55:02 | 000,000,000 | ---D | M] -- C:\__herm01
[2011.07.20 14:04:14 | 000,000,000 | ---D | M] -- C:\__hndy
[2011.01.26 12:15:29 | 000,000,000 | ---D | M] -- C:\___ApfInfo
[2012.01.22 18:21:14 | 000,000,000 | ---D | M] -- C:\____Ebay_BLD
[2011.01.20 01:18:36 | 000,000,000 | ---D | M] -- C:\____mi
[2011.01.07 22:24:00 | 000,000,000 | ---D | M] -- C:\____mist
[2011.12.03 20:08:01 | 000,000,000 | ---D | M] -- C:\_____temp
[2011.11.01 23:22:14 | 000,000,000 | ---D | M] -- C:\_______stefan

[color=#A23BEC]< %PROGRAMFILES%\*.exe >[/color]

Invalid Environment Variable: LOCALAPPDATA

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]


[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[color=#A23BEC]< MD5 for: REGEDIT.EXE >[/color]
[2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe

[color=#A23BEC]< MD5 for: USERINIT.EXE >[/color]
[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-19 07:19:38

< End of report >

#3 gmer_first:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-01-23 21:23:36
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4
Running: 7e300443.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

---- Processes - GMER 1.0.15 ----

Process hidden process (*** hidden *** ) 18876
Process hidden process (*** hidden *** ) 37424
Process hidden process (*** hidden *** ) 40668

---- EOF - GMER 1.0.15 ----

gmer:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-01-24 06:23:48
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4
Running: 7e300443.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys


---- System - GMER 1.0.15 ----

SSDT F7AD7DC6 ZwCreateKey
SSDT F7AD7DBC ZwCreateThread
SSDT F7AD7DCB ZwDeleteKey
SSDT F7AD7DD5 ZwDeleteValueKey
SSDT F7AD7DDA ZwLoadKey
SSDT F7AD7DA8 ZwOpenProcess
SSDT F7AD7DAD ZwOpenThread
SSDT F7AD7DE4 ZwReplaceKey
SSDT F7AD7DDF ZwRestoreKey
SSDT F7AD7DD0 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF65DA360, 0x305AC7, 0xE8000020]
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF63F6EBF]
? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtCreateThread 7C91D1AE 5 Bytes JMP 0695AC70
.text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtEnumerateValueKey 7C91D2EE 5 Bytes JMP 06954980
.text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtSetContextThread 7C91DBAE 5 Bytes JMP 0695B3A0
.text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0695B030
.text C:\WINDOWS\Explorer.EXE[3456] ntdll.dll!RtlCreateUserThread 7C94232E 5 Bytes JMP 0695B1E0
.text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!WriteProcessMemory 7C802213 5 Bytes JMP 06959320
.text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 06959EC0
.text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 06959DC0
.text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!CreateRemoteThread 7C8104CC 5 Bytes JMP 06959160
.text C:\WINDOWS\Explorer.EXE[3456] kernel32.dll!SetThreadContext 7C863C09 5 Bytes JMP 069594D0
.text C:\WINDOWS\Explorer.EXE[3456] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 5 Bytes JMP 0695A110
.text C:\WINDOWS\Explorer.EXE[3456] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 5 Bytes JMP 0695A030
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[3636] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Processes - GMER 1.0.15 ----

Process hidden process (*** hidden *** ) 18876
Process hidden process (*** hidden *** ) 37424
Process hidden process (*** hidden *** ) 40668

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@haelmmmjppehpjch 0x6B 0x61 0x61 0x61 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@galkgodejipehe 0x61 0x63 0x6D 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@iaolgnjfhagdagdhmg 0x6B 0x61 0x61 0x61 ...

---- EOF - GMER 1.0.15 ----

#4 hijack.log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:57:26, on 23.01.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\ProtectTools\Embedded Security Software\SpTna.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HPQ\HP ProtectTools Security Manager\PTServs.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\regedit.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = websweeper.atb-potsdam.de:8080
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDFPrintBackend.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe
O4 - HKCU\..\RunOnce: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: http://get.adobe.com
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} (Silverwire Image Uploader Control) - http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 11197 bytes

#5 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O4 - HKCU..\Run: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks)
O4 - HKCU..\RunOnce: [KeApplet] C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe (Orb Networks)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O32 - AutoRun File - [2001.07.27 22:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 14:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - Unable to obtain root file information for disk F:\
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell - "" = AutoRun
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\Shell\AutoRun\command - "" = G:\DPFMate.exe
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Schritt 2

Komplettscan mit Antivir machen

AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden:

Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen.

Fullscan mit Antivir machen

Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten).

Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen.

Bericht in AntiVir finden

Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. [color=green] Bitte im Logfile Deine Seriennummer unkenntlich machen.[/color]

#6 Hallo Swiss,

vielen Dank für Deine Antwort. Ich werde heute nachmittag die Scans durchführen. Allerdings habe ich keine Internetverbindung mehr auf diesem PC seit den gestrigen Scans. Ich habe zum Versenden der o.a. Logs einen zweiten Rechner (Netbook) genutzt. Insofern muss ich mit dem Stand der Virensignatur von Antivir leben (wurde laufend aktualisiert und dürfte der Stand vom 22.01.2012 sein). Ich habe einen vollständigen Scan mit Antivir bereits durchgeführt (vor OTL und Gmer) und werde das Ergebnisprotokoll hier posten (heute nachmittag). Es wurden lediglich die beiden Einträge in der Registry sowie das entsprechende Programm im Anwendungsordner des Benutzers Ingo identifiziert und beseitigt, welche aber umgehend wieder da waren, so dass anschließend Antivir (der Onlinescanner) in einer Schleife immer dasselbe tat.

Noch eine Frage zum Booten: Das Schadprogramm, welches sich in Run und RunOnes eingetragen hat, würde beim nächsten Booten automatisch gestartet werden. Ist es ok, wenn ich selbiges aus der Registry lösche um dann die Stromzufuhr zu unterbrechen in der Hoffnung, das Programm startet sich nicht automatisch oder genügt es, die Shift-Taste beim Booten zu drücken? (sofern der Schlüssel HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ IgnoreShiftOveride den Wert 0 hat)
Ich möchte gern unbedingt verhindern, dass das Programm erstmalig gestartet wird.

Gruß Ingo.

#7 Du musst NUR das machen was ich die poste in der Anleitung. Nichts in der Registry und so weiter.

#8 Hallo Swiss,

ich habe alles so getan, wie Du es empfohlen hast. Das ist der AVIRA-Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Januar 2012 17:42

Es wird nach 3215080 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : xxxxxxxxxxxxxxxxxxx
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XP-798BF17A12A1

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 08:57:10
AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 08:57:10
LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 08:57:11
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 08:57:12
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:30:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 05:06:30
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 05:06:32
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 05:06:32
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 05:06:32
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 05:06:32
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 05:06:32
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 05:06:32
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 05:06:32
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 05:06:33
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 05:06:34
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 05:06:35
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:37:04
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 08:15:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 18:10:52
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 16:57:51
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 22:05:38
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 22:05:31
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 22:06:08
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:24:55
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:24:55
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 08:30:12
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 16:48:26
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 06:39:00
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 18:58:12
VBASE026.VDF : 7.11.21.99 2048 Bytes 19.01.2012 18:58:12
VBASE027.VDF : 7.11.21.100 2048 Bytes 19.01.2012 18:58:12
VBASE028.VDF : 7.11.21.101 2048 Bytes 19.01.2012 18:58:12
VBASE029.VDF : 7.11.21.102 2048 Bytes 19.01.2012 18:58:12
VBASE030.VDF : 7.11.21.103 2048 Bytes 19.01.2012 18:58:12
VBASE031.VDF : 7.11.21.144 224256 Bytes 24.01.2012 16:39:13
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 18:24:01
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 18:58:18
AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 18:58:18
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:41:11
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 05:04:20
AEPACK.DLL : 8.2.16.1 799094 Bytes 18.01.2012 06:39:02
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 16:59:13
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 18:58:17
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 18:58:13
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 00:51:11
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 18:03:57
AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 18:58:13
AEBB.DLL : 8.1.1.0 53618 Bytes 25.05.2010 17:52:39
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 08:57:10
AVREP.DLL : 10.0.0.10 174120 Bytes 20.05.2011 19:49:04
AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 08:57:10
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 08:57:10
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 08:57:10
RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 08:57:10

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: f:\_SPC, F:\Computer\Software\novir, G:\_c\TFT_AdjustTest.exe, TFT_AdjustTest.exe,

Beginn des Suchlaufs: Dienstag, 24. Januar 2012 17:42

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskmgr.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S4I0K2.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFPrintBackend.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scheduler.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'QlbCtrl.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTHOSTTR.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccelerometerSt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTServs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpTna.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDrt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDsrvc.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXSPMGT.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXTCS.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1195' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Laufwerk_C>
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126683.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126684.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126985.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126986.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126987.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126988.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126989.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126990.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126991.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126996.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126997.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126998.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127056.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127057.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127058.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127059.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127060.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127061.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127062.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127063.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127064.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127065.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127066.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127067.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
C:\_OTL\MovedFiles\01242012_172443\C_Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <Volume>
F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB
[FUND] Ist das Trojanische Pferd TR/KillCMOS.C
Das Verzeichnis 'F:\Computer\Software\novir\' wurde von der Suche ausgenommen!
Das Verzeichnis 'F:\_SPC\' wurde von der Suche ausgenommen!

Beginne mit der Desinfektion:
F:\Computer\Software\killcmos\KILLCMOS.COM.0.AVB
[FUND] Ist das Trojanische Pferd TR/KillCMOS.C
[WARNUNG] Die Datei wurde ignoriert.
C:\_OTL\MovedFiles\01242012_172443\C_Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb931d0.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127067.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54f81e37.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127066.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06a744d0.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127065.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60900b12.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127064.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2514262c.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127063.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a0f144d.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127062.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '16b73806.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127061.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6aaf7856.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127060.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f5571b.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127059.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e9d6c81.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127058.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '32c140b1.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127057.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43787927.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127056.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6249e0.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126998.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '084b30a2.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126997.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01403408.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126996.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59012d61.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126991.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '75f554ad.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126990.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0b3470.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126989.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '28051f03.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126988.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ecd5f1e.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126987.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c5924ba.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126986.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '361c0fc4.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126985.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '094f6b81.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126684.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '776367a5.qua' verschoben!
C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP389\A0126683.exe
[FUND] Ist das Trojanische Pferd TR/Kexject.A.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '221b636e.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. Januar 2012 06:36
Benötigte Zeit: 9:57:42 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14917 Verzeichnisse wurden überprüft
1069738 Dateien wurden geprüft
26 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
25 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1069712 Dateien ohne Befall
6096 Archive wurden durchsucht
1 Warnungen
25 Hinweise
581079 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

ENDE des AVIRA-Reports

Ich habe die gefundenen Schadprogramme in die Quarantäne schieben lassen (ich musste nach dem Suchlauf ja eine Entscheidung treffen) mit Ausnahme von KilllCMOS, welches ich kenne und welches kein Schadprogramm im Sinne von Viren und Trojanern ist.

Ist mein PC nun ok? Kann/Soll ich die Quarantäne leeren?

Gruß Ingo.

#9 Wo ist das Log von Schritt 1?

#10

Zitat

Swisstreasure postete
Wo ist das Log von Schritt 1?

Entschuldigung, das ist noch auf dem Desktop des befallenen PC. Das kann ich dann erst am Nachmittag (nach der Arbeit) hier posten - habe ich heute morgen in der Eile vergessen. Der PC hat (ungewöhnlich) lange für den Virenscan benötigt (> 10 Stunden). Nach dem OTL-Lauf und Reboot hat übrigens das Updaten von Antivir problemlos geklappt, so dass mit den neuesten Signaturen gescannt wurde.

Ich melde mich nachher mit dem OTL-Bericht.

Gruß Ingo.

#11 OTL-Log (Schritt 1):
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KeApplet deleted successfully.
C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\KeApplet deleted successfully.
File C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search\{E3B9E560-3FB5-41BD-A092-7C5DD38ED013}\Upgrade.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
D:\AUTOEXEC.BAT moved successfully.
D:\Autorun.inf moved successfully.
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{950d7735-3f77-11df-97be-001641cba7d8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{950d7735-3f77-11df-97be-001641cba7d8}\ not found.
File G:\DPFMate.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ingo
->Temp folder emptied: 26615347 bytes
->Temporary Internet Files folder emptied: 327654948 bytes
->Java cache emptied: 66357116 bytes
->FireFox cache emptied: 66754069 bytes
->Flash cache emptied: 57877 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 1487813 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: XP
->Temp folder emptied: 3349678 bytes
->Temporary Internet Files folder emptied: 168509 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148906 bytes
%systemroot%\System32 .tmp files removed: 2953095 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3128905 bytes
RecycleBin emptied: 2924544 bytes

Total Files Cleaned = 480,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 01242012_172443

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Gruß Ingo.

#12 Ich hatte den PC nur an - nichts gemacht - wirklich nicht! Netzwerkkabel ist gezogen, WLAN aus.

Gerade kommt eine aktuelle Meldung von Avira:

25.01.2012 17:16:12 Typ Fund

In der Datei 'C:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP392\A0127096.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Kexject.A.57' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Was ist zu tun?

Gruß Ingo

#13 Jo das sind noch Reste in der Systemwiederherstellung

Systemwiederherstellung mit OTL leeren

Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[reboot]

• und füge es hier ein:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klicke auf .• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart wird Dein Editor mit einem Textdokument geöffnet.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

#14 Vor dem Start von OTL musste ich das Fenster von Avira schließen, worauf das oben bemängelte File in die Quarantäne kam.
Die Quarantäne habe ich bisher nicht geleert.

Code

OTL - LOG:
All processes killed
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ingo
->Temp folder emptied: 189866 bytes
->Temporary Internet Files folder emptied: 241705 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: XP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 01252012_222333

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Gruß Ingo.

#15 Di Quarantäne kannst Du löschen. Jetzt sollte eigentlich keine Meldung mehr kommen


ESET Online Scanner
itte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während
der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches)
abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
• Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User:
müssen das Installieren eines ActiveX Elements erlauben.

• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde
• Klicke .• Klicke und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und FinishBitte poste die Logfile hier.