Spybot lässt sich nur umbenannt starten

ForiX2a · Sep 16, 2010

Hallo alle zusammen,

ich hoffe das mir vielleicht hier jemand weiterhelfen kann :}
Bei mir lässt sich Spybot nur starten wenn ich die SpybotSD.exe umbenenne (z.B. abc.exe).

Starte ich Spybot mit Orginalnamen,wird das Program sofort wieder beendet (taucht nur kurz im Processexplorer auf).

Ich habe bereits Spybot de- und neuinstalliert (upgedated mit spybotsd_includes.exe), da es auch mit den Updates vorher nicht mehr geklappt hat.
Der Scan mit der umbenannten abc.exe lieferte einen Fund (win32.FraudLoad).
Dieser wurde entfernt und tauchte nach Systemreboot und Erneutem Scan mit Spybot nicht mehr auf.
Allerdings, obwohl Spybot und als auch Antivir nichts mehr finden,läßt sich Spybot immernoch nicht normal starten.

Seit die Probleme mit Spybot aufgetaucht sind, lässt sich ausserdem mein Rechner nicht mehr in den Ruhezustand fahren."Ruhezustand wird vorbereitet..." taucht kurz auf und dann kehrt Windows zum normalen Desktop wieder zurück...

Ich könnte mir vorstellen das die Probleme zusammen hängen und durch ein Root Kit ausgelößt werden, deshalb hab ich mal mit dem RootAlyzer einen Deepscan durchgeführt.
Leider kenn ich mich gar nicht mit der Auswertung solcher Logs aus und erbitte deshalb hier Hilfe...

Danke schonmal im voraus fürs Durchlesen,
tami ^^ö

######## Logfile von RootAlyzer ######
// info: Rootkit removal help file
// copyright: (c) 2008-2009 Safer-Networking Ltd. All rights reserved.

:: RootAlyzer Results
File:"No admin in ACL","C:\WINXP\system32\KGyGaAvL.sys"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.bb"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.jpg"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRen.png"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.bb"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.jpg"
File:"Invisible to Win32","C:\Home\SharesReadOnly\Files\Text\Studium\!!!-- [to sort] Stuff\STDArchiv\Hauptstudium\!! 7. mathematische Moldelle der Biologie(Halle-Dr.Schnaubelt)\MaMop - Hausarbeit\Hausarbeit\maMOP\Vortrag2 - Mathematica\Mk - Grundgerüst(mit Formeln und Bildern)\pictures\pic_SIRep.png"
File:"Unknown ADS","C:\Home\Anwendungsdaten-AllUsers\TEMP:1489AFE4:$DATA"
File:"Unknown ADS","C:\Home\Anwendungsdaten-AllUsers\TEMP:24051EFF:$DATA"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\89397.bpc"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\OPA12.BAK"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data\opa12.dat"
File:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Network\Connections\Pbk\rasphone.pbk"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users.OLD\Anwendungsdaten\Microsoft\Network\Connections\Pbk\rasphone.pbk"
File:"Unknown ADS","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1489AFE4:$DATA"
File:"Unknown ADS","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:24051EFF:$DATA"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\89397.bpc"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\OPA12.BAK"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data\opa12.dat"
File:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk\rasphone.pbk"
Directory:"No admin in ACL","C:\Home\Anwendungsdaten-AllUsers\Microsoft\Office\Data"
Directory:"No admin in ACL","C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Microsoft\Office\Data"
Directory:"No admin in ACL","C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Office\Data"

raman · Sep 16, 2010

Mache bitte einmal einen Rootkitscan mit Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html

Ein Kontrollscan mit Mbam kann auch nicht schaden:
http://www.trojaner-board.de/82699-malwarebytes-anti-malware-startet-nicht.html

LAsse alle Mbam Funde bitte loeschen und poste bitte beide Reporte.

ForiX2a · Sep 17, 2010

Hallo Ralf,

danke erstmal für Deine schnelle Antwort.
Das mit dem Logfiles von Gmer und Mbam wird noch eine Weile dauern :{

Ich habe gestern gleich nach Deinem Post Gmer gestartet und der lief ziemlich lange. Heute Morgen war er fertig, aber nach der Ablage der der Ausgabe im Zwischenspeicher hat sich mein Rechner beim Öffnen einer neuer Textdatei komplett aufgehangen :{
Irgendend ein Process hat die kompletten Systemresourcen gefressen, so das nichts mehr ging, nicht mal ctrl+alt+del (Processmanager). Blieb mir nur Reset und natürlich war dann auch die Ausgabe im Zwischenspeicher futsch.

Also scanne ich mit Gmer jetzt nochmal und hoffe mal das Beste :}

Zwei Fragen aber schon mal zwischendurch.
Ist alles relevant/bedenklich, was Gmer ausgibt (imTab Rootkit/Maleware)? Weil die Liste war schon recht lang.
Und sollte der Scan über alle Platten laufen,oder reicht nur die Systemplatte?
Momentan lass ich den Scan über alle Platten laufen. Erscheint mir sinnvoller.

Liebe Grüße,
tami ^^ö

ForiX2a · Sep 17, 2010

Hmmm, kann man Beiträge auch löschen, wenn man sie ausversehn doppelt reinstellt hat?

raman · Sep 17, 2010

Die Systemplatte zu ueberpruefen sollte reichen und nein, loeschen kannst du deine Beitraege nicht....

ForiX2a · Sep 17, 2010

Sooo Ralf :}

da bin ich wieder. Erfolgreich was das GMER - Log angeht.
Ich poste das Logfile hier schon mal und lass derweil mbam ueber meinen grossen Pc laufen.

Puh :sad: ziemlich lange Liste

Liebe Gruesse,
tami ^^ö

###### GMER Rootkit quick scan ######
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-09-17 13:26:34
Windows 5.1.2600 Service Pack 3
Running: 1t1e1ks9.exe; Driver: c:\Temp\pgldypog.sys

---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A8BE1E8

---- EOF - GMER 1.0.15 ----

###### GMER Rootkit scan ######
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-17 13:27:33
Windows 5.1.2600 Service Pack 3
Running: 1t1e1ks9.exe; Driver: c:\Temp\pgldypog.sys

---- System - GMER 1.0.15 ----

SSDT BA7C347E ZwCreateKey
SSDT BA7C3474 ZwCreateThread
SSDT BA7C3483 ZwDeleteKey
SSDT BA7C348D ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]
SSDT BA7C3492 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ECE090]
SSDT BA7C3460 ZwOpenProcess
SSDT BA7C3465 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78]
SSDT BA7C349C ZwReplaceKey
SSDT BA7C3497 ZwRestoreKey
SSDT BA7C3488 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINXP\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B90D98AC 5 Bytes JMP 8A6C31C8
? System32\Drivers\a9zsyru6.SYS Das System kann den angegebenen Pfad nicht finden. !
? C:\WINXP\system32\Drivers\PROCEXP100.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINXP\system32\SearchIndexer.exe[1420] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINXP\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1252] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A8BE1E8
Device \Driver\usbuhci \Device\USBPDO-0 8A6941E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{33FF7030-E241-4717-A014-153F7D6562F6} 8A3CB650
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8A84C1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8A84C1E8
Device \Driver\usbuhci \Device\USBPDO-1 8A6941E8
Device \Driver\usbuhci \Device\USBPDO-2 8A6941E8
Device \Driver\usbuhci \Device\USBPDO-3 8A6941E8
Device \Driver\usbehci \Device\USBPDO-4 8A6671E8
Device \Driver\PCI_NTPNP6966 \Device\00000057 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8C01E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8C01E8
Device \Driver\Cdrom \Device\CdRom0 8A6561E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A8C01E8
Device \Driver\Cdrom \Device\CdRom1 8A6561E8
Device \Driver\atapi \Device\Ide\IdePort0 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-22 [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3CB650
Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\NetBT \Device\NetbiosSmb 8A3CB650
Device \Driver\NetBT \Device\NetBT_Tcpip_{A0E9C6AA-9BD1-4010-9D61-EB0FB2B910CE} 8A3CB650
Device \Driver\usbuhci \Device\USBFDO-0 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89CE31E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{5BB354AA-B63C-4A9B-9891-AFAF4B443FF9} 8A3CB650
Device \Driver\usbuhci \Device\USBFDO-3 8A6941E8
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89CE31E8
Device \Driver\usbehci \Device\USBFDO-4 8A6671E8
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\0000007d hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\Ftdisk \Device\FtControl 8A8C01E8
Device \Driver\usbhub \Device\0000007e hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\0000007f hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\a9zsyru6 \Device\Scsi\a9zsyru61 8A5441E8
Device \Driver\a9zsyru6 \Device\Scsi\a9zsyru61Port3Path0Target0Lun0 8A5441E8
Device \FileSystem\Cdfs \Cdfs 89CB81E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000c55ff630d
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000c55ff630d@000ad95f6602 0x87 0x0D 0xC4 0x5D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1575858999
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1700388487
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0x40 0x1E 0x86 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xF2 0xCF 0x47 0xC2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000c55ff630d (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000c55ff630d@000ad95f6602 0x87 0x0D 0xC4 0x5D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x4E 0x6E 0xDE 0x0B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x07 0x52 0x56 0xDF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0x40 0x1E 0x86 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}@paojpjbbhbendflhcfbddlknhfnddbjn 0x6A 0x61 0x70 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}@oaeknojcdknhkfclngefkkmnmgbkni 0x6A 0x61 0x70 0x6B ...

---- EOF - GMER 1.0.15 ----

raman · Sep 17, 2010

Dann bitte noch den Mbam Report und ich bin zufrieden...

ForiX2a · Sep 17, 2010

Hallo Ralf ^^

Malwarebytes-Report ist in Arbeit :}

Malewarebytes liess sich auch erst nach Umbenennung starten.
Genauso wie bei Spybot wurde die exe sofort wieder beendet.

Ich bin in jedem Fall gespannt, was dabei rauskommt.

Liebe Gruesse,
tami ^^ö

ForiX2a · Sep 17, 2010

Hi Ralf,

jetzt bin ich durch :}
Malwarebytes hat doch noch einiges gefunden.

Aber das siehst Du ja am Logfile sicher selber.

Hab das bereinigt und den Rechner neugestartet.

Hier das entsprechende Logfile.

Liebe Gruesse,
tami ^^ö

########## Malwarebytes' Anti-Malware 1.46 ##########
www.malwarebytes.org

Datenbank Version: 4638

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.09.2010 16:53:21
mbam-log-2010-09-17 (16-53-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 609902
Laufzeit: 2 Stunde

, 23 Minute

, 18 Sekunde

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Netspeed (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Downloads\!---Installiert\Perfect Disk 7_c\keygen\tmg-rpd7.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Downloads\!---Installiert\xp-wpa (1)\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{110E5784-C2FA-4F68-B82A-13F3391D4027}\RP163\A0063533.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F6C69305-6D79-448A-9630-A001240259FA}\RP833\A0164321.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Programme\Netspeed\netspeed.exe (Adware.Agent) -> Quarantined and deleted successfully.

ForiX2a · Sep 17, 2010

Hallo Ralf,

noch eine Anmerkung. Nach Bereinigung durch Malwarebytes und Neustart des Rechners, lassen sich immernoch nicht SpybotSD.exe sowie mbam.exe starten. :{ (starten nur umbenannt)

Liebe Gruesse,
tami ^^ö

raman · Sep 17, 2010

Bevor wir den Holzhammer nehmen, Erstelle und poste bitte einen OTL REport:
http://www.trojaner-board.de/85104-otl-otlogfile-oldtimer.html

BTW: Nanana!

\keygen\tmg-rpd7.exe

ForiX2a · Sep 18, 2010

Hallo Ralf,

da bin ich wieder :}
Leider hat es mir gestern das Netzteil am Laptop zerhauen, sodas ich auf dem Kleinen erst jetzt wieder Staft habe.

*Holzhammer* klingt gar nicht gut

Klingt so noch System neu aufsetzen *schauder*
Und das kurz vor der naechsten Diplompruefung, wo ich doch meinen Rechner mit den ganzen Einstellungen und Programmen drauf brauch *nochmehrschauder*
Ich wuesste noch nicht mal ob ich dann auf Windows7 und das wuerde es ja werden, alles zum Laufen bekomme

*ahhhh*

Ok, aber ich mach mich erstmal nicht weiter wirre und erstell grad den OTL Report:}

Was das

raman said:
BTW: Nanana!

angeht *peif* das hab ich ja noch nie gesehn *blinzelblinzel* :}

Liebe Grüsse,
tami ^^ö

ForiX2a · Sep 18, 2010

Jippy,

das mit dem OTL - Report ging ja schnell :}
Und hier kommt schon der Report.

Liebe Gruesse,
Tami ^^ö

#### OTL - Logfile #####
OTL logfile created on: 18.09.2010 14:39:18 - Run 1
OTL by OldTimer - Version 3.2.12.1 Folder = C:\Dokumente und

Einstellungen\***.PCname\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) -

Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format:

dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory |

75,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging

File free
Paging file location(s): E:\pagefile.sys 3048 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% =

C:\Programme
Drive C: | 298,09 Gb Total Space | 40,02 Gb Free Space | 13,43% Space

Free | Partition Type: NTFS
Drive D: | 74,52 Gb Total Space | 3,09 Gb Free Space | 4,15% Space

Free | Partition Type: NTFS
Drive E: | 465,75 Gb Total Space | 235,05 Gb Free Space | 50,47% Space

Free | Partition Type: NTFS
Drive F: | 15,04 Gb Total Space | 13,14 Gb Free Space | 87,34% Space

Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PCname
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***.PCname\Desktop\OTL.exe

(OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - c:\Programme\TortoiseSVN\bin\TSVNCache.exe (www.tortoisesvn.org)
PRC - C:\Programme\Ibm\SQLLIB\BIN\db2mgmtsvc.exe (International

Business Machines Corporation)
PRC - C:\Programme\Ibm\SQLLIB\BIN\db2licd.exe (International Business

Machines Corporation)
PRC - C:\Programme\Ibm\SQLLIB\BIN\db2dasstm.exe (International

Business Machines Corporation)
PRC - C:\Programme\Ibm\SQLLIB\BIN\db2dasrrm.exe (International

Business Machines Corporation)
PRC - C:\WINXP\system32\vsjitdebugger.exe (Microsoft Corporation)
PRC - C:\Programme\VMware\VMware Workstation\vmware-authd.exe (VMware,

Inc.)
PRC - C:\WINXP\system32\vmnat.exe (VMware, Inc.)
PRC - C:\WINXP\system32\vmnetdhcp.exe (VMware, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image

Editing\vmount2.exe (VMware, Inc.)
PRC - C:\Programme\UltraVNC\winvnc.exe (UltraVNC)

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***.PCname\Desktop\OTL.exe

(OldTimer Tools)
MOD - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll

(Microsoft Corporation)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (Tomcat5) -- C:\Programme\Apache Software Foundation\Tomcat 5.5

\bin\tomcat5.exe File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir

Desktop\avguard.exe (Avira GmbH)
SRV - (aspnet_state) -- C:\WINXP\Microsoft.NET\Framework\v4.0.30319

\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) --

C:\WINXP\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

(Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) --

C:\WINXP\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft

Corporation)
SRV - (NetTcpPortSharing) --

C:\WINXP\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft

Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir

Desktop\sched.exe (Avira GmbH)
SRV - (DB2) -- C:\Programme\Ibm\SQLLIB\BIN\db2syscs.exe (International

Business Machines Corporation)
SRV - (DB2REMOTECMD_DB2COPY1) DB2 Remote Command Server (DB2COPY1) --

C:\Programme\IBM\SQLLIB\BIN\db2rcmd.exe (International Business

Machines Corporation)
SRV - (DB2MGMTSVC_DB2COPY1) DB2-Verwaltungsservice (DB2COPY1) --

C:\Programme\Ibm\SQLLIB\BIN\db2mgmtsvc.exe (International Business

Machines Corporation)
SRV - (DB2LICD_DB2COPY1) DB2-Lizenzserver (DB2COPY1) --

C:\Programme\Ibm\SQLLIB\BIN\db2licd.exe (International Business

Machines Corporation)
SRV - (DB2GOVERNOR_DB2COPY1) DB2 Governor (DB2COPY1) --

C:\Programme\IBM\SQLLIB\BIN\db2govds.exe (International Business

Machines Corporation)
SRV - (DB2DAS00) -- C:\Programme\IBM\SQLLIB\bin\db2dasrrm.exe

(International Business Machines Corporation)
SRV - (OpenVPNService) -- C:\Programme\OpenVPN\bin\openvpnserv.exe ()
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame

Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

(Macrovision Europe Ltd.)
SRV - (SandraTheSrv) -- C:\Programme\SiSoftware\SiSoftware Sandra Lite

XI.SP1a\RpcSandraSrv.exe (SiSoftware)
SRV - (SandraDataSrv) -- C:\Programme\SiSoftware\SiSoftware Sandra

Lite XI.SP1a\Win32\RpcDataSrv.exe (SiSoftware)
SRV - (LVSrvLauncher) -- C:\Programme\Gemeinsame

Dateien\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.)
SRV - (LVPrcSrv) -- c:\Programme\Gemeinsame

Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
SRV - (msvsmon80) -- C:\Programme\Visual Studio 8\Common7\IDE\Remote

Debugger\x86\msvsmon.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft

Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source

Engine\OSE.EXE (Microsoft Corporation)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe

Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (VMAuthdService) -- C:\Programme\VMware\VMware

Workstation\vmware-authd.exe (VMware, Inc.)
SRV - (VMware NAT Service) -- C:\WINXP\system32\vmnat.exe (VMware,

Inc.)
SRV - (VMnetDHCP) -- C:\WINXP\system32\vmnetdhcp.exe (VMware, Inc.)
SRV - (vmount2) -- C:\Programme\Gemeinsame Dateien\VMware\VMware

Virtual Image Editing\vmount2.exe (VMware, Inc.)
SRV - (PDSched) -- C:\Programme\Raxco\PerfectDisk\PDSched.exe (Raxco

Software, Inc.)
SRV - (PDEngine) -- C:\Programme\Raxco\PerfectDisk\PDEngine.exe (Raxco

Software, Inc.)
SRV - (winvnc) -- C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)

========== Driver Services (SafeList) ==========

DRV - (PSSdk23) -- C:\WINXP\System32\Drivers\PsSdk23.drv File not

found
DRV - (MagicTune) -- C:\WINXP\System32\drivers\MTiCtwl.sys File not

found
DRV - (RTLE8023xp) -- C:\WINXP\system32\drivers\Rtenicxp.sys (Realtek

Semiconductor Corporation )
DRV - (RTL8023xp) -- C:\WINXP\system32\drivers\Rtenicxp.sys (Realtek

Semiconductor Corporation )
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira

GmbH)
DRV - (cpudrv) -- C:\Programme\SystemRequirementsLab\cpudrv.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira

GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINXP\system32

\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINXP\system32\drivers\hdaudbus.sys (Windows

(R) Server 2003 DDK provider)
DRV - (ialm) -- C:\WINXP\system32\drivers\igxpmp32.sys (Intel

Corporation)
DRV - (FilterService) -- C:\WINXP\system32\drivers\lvuvcflt.sys

(Logitech Inc.)
DRV - (tap0901) -- C:\WINXP\system32\drivers\tap0901.sys (The OpenVPN

Project)
DRV - (LVPr2Mon) -- C:\WINXP\system32\drivers\LVPr2Mon.sys ()
DRV - (LVMVDrv) -- C:\WINXP\system32\drivers\LVMVdrv.sys (Logitech

Inc.)
DRV - (LVcKap) -- C:\WINXP\system32\drivers\Lvckap.sys ()
DRV - (LVUVC) Logitech QuickCam Fusion(UVC) -- C:\WINXP\system32

\drivers\lvuvc.sys (Logitech Inc.)
DRV - (LVUSBSta) -- C:\WINXP\system32\drivers\LVUSBSta.sys (Logitech

Inc.)
DRV - (lvpopflt) -- C:\WINXP\system32\drivers\lvpopflt.sys (Logitech

Inc.)
DRV - (sptd) -- C:\WINXP\System32\Drivers\sptd.sys ()
DRV - (speedfan) -- C:\WINXP\system32\speedfan.sys (Windows (R) 2000

DDK provider)
DRV - (truecrypt) -- C:\WINXP\system32\drivers\truecrypt.sys

(TrueCrypt Foundation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) --

C:\WINXP\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (SE2Eobex) -- C:\WINXP\system32\drivers\SE2Eobex.sys (MCCI)
DRV - (SE2Emgmt) Sony Ericsson Device 046 USB WMC Device Management

Drivers (WDM) -- C:\WINXP\system32\drivers\SE2Emgmt.sys (MCCI)
DRV - (SE2Emdm) -- C:\WINXP\system32\drivers\SE2Emdm.sys (MCCI)
DRV - (SE2Emdfl) -- C:\WINXP\system32\drivers\SE2Emdfl.sys (MCCI)
DRV - (SE2Ebus) Sony Ericsson Device 046 Driver driver (WDM) --

C:\WINXP\system32\drivers\SE2Ebus.sys (MCCI)
DRV - (se2End5) Sony Ericsson Device 046 USB Ethernet Emulation SEMC46

(NDIS) -- C:\WINXP\system32\drivers\se2End5.sys (MCCI)
DRV - (se2Eunic) Sony Ericsson Device 046 USB Ethernet Emulation

SEMC46 (WDM) -- C:\WINXP\system32\drivers\se2Eunic.sys (MCCI)
DRV - (hcmon) -- C:\WINXP\system32\drivers\hcmon.sys (VMware, Inc.)
DRV - (vmx86) -- C:\WINXP\system32\drivers\vmx86.sys (VMware, Inc.)
DRV - (VMparport) -- C:\WINXP\system32\drivers\vmparport.sys (VMware,

Inc.)
DRV - (VMnetBridge) -- C:\WINXP\system32\drivers\vmnetbridge.sys

(VMware, Inc.)
DRV - (VMnetuserif) -- C:\WINXP\system32\drivers\vmnetuserif.sys

(VMware, Inc.)
DRV - (VMnetAdapter) -- C:\WINXP\system32\drivers\vmnetadapter.sys

(VMware, Inc.)
DRV - (vstor2) -- C:\Programme\Gemeinsame Dateien\VMware\VMware

Virtual Image Editing\vstor2.sys (VMware, Inc.)
DRV - (Defrag32b) -- C:\WINXP\System32\drivers\defrag32b.sys (Raxco

Software, Inc.)
DRV - (Defrag32) -- C:\WINXP\System32\drivers\defrag32.sys (Raxco

Software, Inc.)
DRV - (EverestDriver) -- C:\Programme\EVEREST Home Edition\kerneld.wnt

()
DRV - (vncdrv) -- C:\WINXP\system32\drivers\vncdrv.sys (RDV Soft)
DRV - (vnccom) -- C:\WINXP\system32\drivers\vnccom.SYS (RDV Soft)
DRV - (mbmiodrvr) -- C:\WINXP\system32\mbmiodrvr.sys

(cansoft@livewiredev.com)
DRV - (LMouFlt2) -- C:\WINXP\system32\drivers\LMouFlt2.Sys (Logitech,

Inc.)
DRV - (LHidUsb) -- C:\WINXP\system32\drivers\LHidUsb.sys (Logitech,

Inc.)
DRV - (LHidFlt2) -- C:\WINXP\system32\drivers\LHidFlt2.Sys (Logitech,

Inc.)
DRV - (DVDAccss) -- C:\WINXP\system32\drivers\DVDAccss.sys (Apple

Computer, Inc.)
DRV - (PalmUSBD) -- C:\WINXP\system32\drivers\PalmUSBD.sys (Palm,

Inc.)
DRV - (pfc) -- C:\WINXP\system32\drivers\PFC.SYS (Padus, Inc.)
DRV - (irsir) -- C:\WINXP\system32\drivers\irsir.sys (Microsoft

Corporation)
DRV - (giveio) -- C:\WINXP\system32\giveio.sys ()

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =

C:\WINXP\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant

= http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =

C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =

http://www.google.com
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings:

"ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-

2b9879e08c5d}:1.2.1
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-

EDAB7D6AD389}:0.9.7
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-

b86292ed211d}:4.8
FF - prefs.js..extensions.enabledItems: {1018e4d6-728f-4b20-ad56-

37578a4de76b}:4.0.8
FF - prefs.js..extensions.enabledItems: {477c4c36-24eb-11da-94d4-

00e08161165f}:2.7.6
FF - prefs.js..extensions.enabledItems: {c33c5b47-69c8-45a4-a5e0-

af85bbe628dd}:1.6.1.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems:

ProxySwitch@MM3Tools.com:2010.55
FF - prefs.js..extensions.enabledItems:

taboo@runningfrombears.com:0.6.1
FF - prefs.js..extensions.enabledItems: {f759ca51-3a91-4dd1-ae78-

9db5eee9ebf0}:5.6.0
FF - prefs.js..extensions.enabledItems: {1ced4832-f06e-413f-aa14-

9eb63ad40ace}:1.0.2
FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.7
FF - prefs.js..network.proxy.MM3ProxySwitch.type: 1
FF - prefs.js..network.proxy.autoconfig_url:

"http://turing.informatik.uni-halle.de/"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8081
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.type: 0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8

\extensions\\Components: C:\Programme\Mozilla Firefox\components

[2010.08.05 10:48:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins:

C:\Programme\Mozilla Firefox\plugins [2010.09.16 14:39:12 |

000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24

\extensions\\Components: C:\Programme\Mozilla Thunderbird\components

[2010.03.18 13:16:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24

\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

[2010.09.16 14:39:12 | 000,000,000 | ---D | M]

[2008.06.19 11:46:40 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Extensions
[2010.09.10 11:09:50 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions
[2010.08.30 12:34:52 | 000,000,000 | ---D | M] (Flagfox) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[2010.06.07 14:57:55 | 000,000,000 | ---D | M] (Nuke Anything

Enhanced) -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{1ced4832-f06e-413f-aa14-9eb63ad40ace}
[2010.01.18 10:48:01 | 000,000,000 | ---D | M] (Grab and Drag) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{477c4c36-24eb-11da-94d4-00e08161165f}
[2010.08.06 13:21:27 | 000,000,000 | ---D | M] (DownloadHelper) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.08.06 13:21:19 | 000,000,000 | ---D | M] (Interclue) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{c33c5b47-69c8-45a4-a5e0-af85bbe628dd}
[2010.08.07 16:16:10 | 000,000,000 | ---D | M] (Adblock Plus) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.08.06 13:21:34 | 000,000,000 | ---D | M] (Download Statusbar) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010.08.06 13:21:22 | 000,000,000 | ---D | M] (DownThemAll!) --

C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.08.07 15:04:41 | 000,000,000 | ---D | M] (UnMHT) -- C:\Dokumente

und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\{f759ca51-3a91-4dd1-ae78-9db5eee9ebf0}
[2010.08.07 15:03:49 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\inspector@mozilla.org
[2010.08.06 13:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\ProxySwitch@MM3Tools.com
[2010.08.06 13:21:24 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\taboo@runningfrombears.com
[2008.06.22 00:41:55 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\extensions\undoclosedtabsbutton@supernova00.biz
[2010.04.19 17:10:42 | 000,001,127 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\searchplugins\rapidshare-filefinder.xml
[2010.04.19 17:09:55 | 000,000,778 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxk

rqff.default\searchplugins\torrent-scan.xml
[2010.08.30 12:44:55 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla

Firefox\extensions
[2010.08.05 10:48:01 | 000,001,538 | ---- | M] () --

C:\Programme\Mozilla Firefox\searchplugins\amazon-en-GB.xml
[2010.08.05 10:48:01 | 000,000,947 | ---- | M] () --

C:\Programme\Mozilla Firefox\searchplugins\chambers-en-GB.xml
[2010.08.05 10:48:01 | 000,000,769 | ---- | M] () --

C:\Programme\Mozilla Firefox\searchplugins\eBay-en-GB.xml
[2010.08.05 10:48:01 | 000,001,135 | ---- | M] () --

C:\Programme\Mozilla Firefox\searchplugins\yahoo-en-GB.xml

O1 HOSTS File: ([2010.09.17 17:37:46 | 000,419,425 | R--- | M]) -

C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 14472 more lines...
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No

CLSID value found.
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-

784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems

Incorporated)
O2 - BHO: (FGCatchUrl) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -

C:\Programme\FlashGet\jccatch.dll File not found
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-

206D7942484F} - c:\Programme\Spybot - Search & Destroy\SDHelper.dll

(Safer Networking Limited)
O2 - BHO: (FlashGet GetFlash Class) - {F156768E-81EF-470C-9057-

481BA8380DBA} - C:\Programme\FlashGet\getflash.dll (www.flashget.com)
O3 - HKLM\..\Toolbar: (FlashGet Bar) - {E0E899AB-F487-11D5-8D29-

0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll (Amaze Soft)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {47833539-D0C5-4125-

9FA8-0819E2EAAC93} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8

-0819E2EAAC93} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe

(Avira GmbH)
O4 - HKLM..\Run: [Logitech Utility] C:\WINXP\LOGI_MWX.EXE (Logitech

Inc.)
O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)]

c:\Programme\Malwarebytes' Anti-Malware\mbam.exe File not found
O4 - HKLM..\Run: [MImpPro] C:\Programme\MouseImp Pro Live!

\MIProHst.exe ()
O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC)
O4 - HKCU..\Run: [Ditto] C:\Programme\Ditto\Ditto.exe ()
O4 - HKCU..\Run: [MImpPro] C:\Programme\MouseImp Pro Live!

\MIProHst.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [Taskbar Shuffle] C:\Programme\Taskbar

Shuffle\taskbarshuffle.exe (Jay Elaraj)
O4 - Startup: C:\Dokumente und Einstellungen\All

Users.WINXP\Startmenü\Programme\Autostart\MERGED.LNK =

C:\Files\cmd\MERGED.ahk ()
O4 - Startup: C:\Dokumente und Einstellungen\All

Users.WINXP\Startmenü\Programme\Autostart\procexp.lnk =

C:\Programme\TotalCommander\tools\ProcessExplorer\procexp.exe

(Sysinternals)
O4 - Startup: C:\Dokumente und Einstellungen\All

Users.WINXP\Startmenü\Programme\Autostart\Proxomitron.exe.lnk =

C:\Programme\Proxomitron\Proxomitron.exe (Groom-A-Zebu (tm) )
O4 - Startup: C:\Dokumente und Einstellungen\All

Users.WINXP\Startmenü\Programme\Autostart\Start.bat.lnk =

C:\Programme\TotalCommander\Start.bat ()
O4 - Startup: C:\Dokumente und

Einstellungen\***.PCname\Startmenü\Programme\Autostart\ats.exe.lnk =

C:\Programme\Atomic TimeSync\ats.exe ()
O4 - Startup: C:\Dokumente und

Einstellungen\***.PCname\Startmenü\Programme\Autostart\CAPshift.ahk ()
O4 - Startup: C:\Dokumente und

Einstellungen\***.PCname\Startmenü\Programme\Autostart\Find And Run

Robot - SystemTray Trigger.lnk =

C:\Programme\FindAndRunRobot\FindAndRunRobot.exe (DonationCoder.com)
O4 - Startup: C:\Dokumente und

Einstellungen\***.PCname\Startmenü\Programme\Autostart\netspeed.exe.ln

k = C:\Programme\Netspeed\netspeed.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:

NoDriveTypeAutoRun = 181
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:

NoRecentDocsNetHood = 01 00 00 00 [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:

NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:

NoDriveAutoRun = FF FF FF 03 [binary data]
O8 - Extra context menu item: &Download All with FlashGet -

C:\Programme\FlashGet\jc_all.htm ()
O8 - Extra context menu item: &Download with FlashGet -

C:\Programme\FlashGet\jc_link.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft

Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-

5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll

(Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-

4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12

\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-

AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84

-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft

Corporation)
O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\Programme\FlashGet\flashget.exe (FlashGet.com)
O9 - Extra 'Tools' menuitem : FlashGet - {D6E814A0-E0C5-11d4-8D29-

0050BA6940E3} - C:\Programme\FlashGet\flashget.exe (FlashGet.com)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration

- {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - c:\Programme\Spybot -

Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700}

http://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine

Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/clien

t/wuweb_site.cab?1206358905234 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3}

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/clien

t/muweb_site.cab?1206358326968 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93}

http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

(Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}

http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

(Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

(Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

(Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

(Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

(Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer =

208.67.220.220,208.67.222.222
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-

0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole

DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294}

- c:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

(Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-

0050048385D1} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Web

Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-

1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll

(Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945}

- c:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12

\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe

(Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll -

C:\WINXP\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. -

Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\taskmgr.exe: Debugger -

"C:\PROGRAMME\TOTALCOMMANDER\TOOLS\PROCESSEXPLORER\PROCEXP.EXE"

(Sysinternals)
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} -

C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft

Corporation)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.09.17 11:13:46 | 000,000,145 | ---- | M] ()

- C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{c10a2122-7d94-11dd-ad04-005056c00008}

\Shell\AutoRun\command - "" = F:\Menu.exe -- File not found
O34 - HKLM BootExecute: (PDBoot.exe) - C:\WINXP\System32\PDBoot.exe

(Raxco Software, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days

==========

[2010.09.18 14:24:04 | 000,575,488 | ---- | C] (OldTimer Tools) --

C:\Dokumente und Einstellungen\***.PCname\Desktop\OTL.exe
[2010.09.17 20:39:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und

Einstellungen\***.PCname\Recent
[2010.09.17 18:12:39 | 000,000,000 | -H-D | C] -- C:\WINXP\PIF
[2010.09.17 14:23:09 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Malwarebytes
[2010.09.17 14:21:10 | 000,038,224 | ---- | C] (Malwarebytes

Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.09.17 14:21:08 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
[2010.09.17 14:21:07 | 000,020,952 | ---- | C] (Malwarebytes

Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010.09.17 14:21:06 | 000,000,000 | ---D | C] --

C:\Programme\Malwarebytes' Anti-Malware
[2010.09.17 13:52:07 | 006,153,352 | ---- | C] (Malwarebytes

Corporation ) -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\mbam-setup-1.46.com
[2010.09.16 15:27:39 | 003,065,008 | ---- | C] (Safer Networking

Limited) -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\RootAlyzer.exe
[2010.09.16 15:24:06 | 000,000,000 | ---D | C] --

C:\Programme\CCleaner
[2010.09.16 15:23:26 | 001,184,872 | ---- | C] (Piriform Ltd) --

C:\Dokumente und Einstellungen\***.PCname\Desktop\ccsetup235_slim.exe
[2010.09.16 10:03:44 | 000,058,880 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\spoolsv.exe
[2010.09.16 10:02:56 | 000,293,888 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\winsrv.dll
[2010.09.16 10:00:46 | 000,406,016 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\usp10.dll
[2010.09.16 09:56:45 | 000,743,424 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\iedvtool.dll
[2010.09.16 09:48:26 | 008,503,296 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\shell32.dll
[2010.09.16 09:46:31 | 000,744,448 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\helpsvc.exe
[2010.09.16 09:44:58 | 000,065,536 | ---- | C] (Microsoft Corporation)

-- C:\WINXP\System32\dllcache\asycfilt.dll
[2010.09.16 09:42:57 | 000,285,696 | ---- | C] (Adobe Systems

Incorporated) -- C:\WINXP\System32\dllcache\atmfd.dll
[2010.09.12 12:53:22 | 000,000,000 | ---D | C] -- C:\WINXP\System32

\NtmsData
[2010.09.12 12:46:12 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Avira
[2010.09.12 12:44:56 | 000,000,000 | -HSD | C] -- C:\WINXP\CSC
[2010.09.12 12:41:07 | 000,028,520 | ---- | C] (Avira GmbH) --

C:\WINXP\System32\drivers\ssmdrv.sys
[2010.09.12 12:41:05 | 000,124,784 | ---- | C] (Avira GmbH) --

C:\WINXP\System32\drivers\avipbb.sys
[2010.09.12 12:41:05 | 000,060,936 | ---- | C] (Avira GmbH) --

C:\WINXP\System32\drivers\avgntflt.sys
[2010.09.12 12:41:05 | 000,045,416 | ---- | C] (Avira GmbH) --

C:\WINXP\System32\drivers\avgntdd.sys
[2010.09.12 12:41:05 | 000,022,360 | ---- | C] (Avira GmbH) --

C:\WINXP\System32\drivers\avgntmgr.sys
[2010.09.12 12:41:05 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.09.12 12:41:05 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Avira
[2010.09.12 10:35:27 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\***.PCname\Eigene Dateien\Downloads
[2010.09.09 21:43:06 | 000,000,000 | ---D | C] -- C:\Dokumente und

Einstellungen\***.PCname\Eigene Dateien\Download
[2010.09.08 15:50:47 | 000,000,000 | ---D | C] -- C:\WINXP\pss
[2010.09.07 14:01:16 | 000,000,000 | ---D | C] -- C:\Samsung
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[206 C:\*.tmp files -> C:\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\All

Users.WINXP\Anwendungsdaten\*.tmp files -> C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.09.18 14:24:28 | 000,000,006 | -H-- | M] () --

C:\WINXP\tasks\SA.DAT
[2010.09.18 14:20:14 | 000,013,646 | ---- | M] () --

C:\WINXP\System32\wpa.dbl
[2010.09.18 14:19:59 | 000,002,048 | --S- | M] () --

C:\WINXP\bootstat.dat
[2010.09.18 14:19:57 | 2138,361,856 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.18 14:14:20 | 000,575,488 | ---- | M] (OldTimer Tools) --

C:\Dokumente und Einstellungen\***.PCname\Desktop\OTL.exe
[2010.09.17 20:39:39 | 010,485,760 | -H-- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\NTUSER.DAT
[2010.09.17 20:39:16 | 000,000,190 | -HS- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\ntuser.ini
[2010.09.17 18:12:39 | 000,002,855 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Malwarebytes' Anti-Malware.pif
[2010.09.17 17:37:46 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts
[2010.09.17 17:29:07 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100917-173746.backup
[2010.09.17 17:07:56 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100917-172907.backup
[2010.09.17 16:57:57 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100917-170756.backup
[2010.09.17 16:57:13 | 000,007,168 | -H-- | M] () --

C:\WINXP\System32\svchost.suo
[2010.09.17 16:57:13 | 000,000,608 | ---- | M] () --

C:\WINXP\System32\svchost.sln
[2010.09.17 14:21:12 | 000,000,681 | ---- | M] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.16 17:08:10 | 006,153,352 | ---- | M] (Malwarebytes

Corporation ) -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\mbam-setup-1.46.com
[2010.09.16 16:51:50 | 000,293,376 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\1t1e1ks9.exe
[2010.09.16 16:28:43 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100917-165757.backup
[2010.09.16 15:24:22 | 000,000,659 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\CCleaner.lnk
[2010.09.16 15:16:40 | 001,184,872 | ---- | M] (Piriform Ltd) --

C:\Dokumente und Einstellungen\***.PCname\Desktop\ccsetup235_slim.exe
[2010.09.16 15:02:23 | 000,000,080 | ---- | M] () --

C:\WINXP\System32\Config.nt
[2010.09.16 14:56:06 | 003,845,701 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\ComboFix.exe
[2010.09.16 14:36:53 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100916-162843.backup
[2010.09.16 13:44:17 | 000,000,116 | ---- | M] () --

C:\WINXP\NeroDigital.ini
[2010.09.16 12:00:20 | 000,000,304 | ---- | M] () --

C:\WINXP\tasks\Spybot - Search & Destroy Updater - Scheduled Task.job
[2010.09.16 10:49:07 | 000,637,558 | ---- | M] () --

C:\WINXP\System32\PerfStringBackup.INI
[2010.09.16 10:49:07 | 000,543,944 | ---- | M] () --

C:\WINXP\System32\perfh009.dat
[2010.09.16 10:49:07 | 000,462,848 | ---- | M] () --

C:\WINXP\System32\perfh007.dat
[2010.09.16 10:49:07 | 000,101,598 | ---- | M] () --

C:\WINXP\System32\perfc009.dat
[2010.09.16 10:49:07 | 000,082,214 | ---- | M] () --

C:\WINXP\System32\perfc007.dat
[2010.09.16 10:14:39 | 000,536,056 | ---- | M] () --

C:\WINXP\System32\FNTCACHE.DAT
[2010.09.15 19:27:09 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100916-143653.backup
[2010.09.15 18:31:14 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100915-192709.backup
[2010.09.15 18:28:00 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100915-183114.backup
[2010.09.15 18:27:32 | 000,000,909 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Spybot - Search & Destroy.lnk
[2010.09.15 18:26:08 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100915-182800.backup
[2010.09.15 18:20:17 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100915-182608.backup
[2010.09.15 15:32:02 | 000,419,425 | R--- | M] () --

C:\WINXP\System32\drivers\etc\hosts.20100915-182017.backup
[2010.09.15 14:12:54 | 000,000,000 | ---- | M] () --

C:\WINXP\System32\drivers\lvuvc.hs
[2010.09.14 20:07:13 | 003,145,311 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Friedrich II. Reclam.pdf
[2010.09.14 20:05:57 | 000,399,585 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Friedrich II. Eulenspiegel.pdf
[2010.09.14 18:31:54 | 000,018,073 | ---- | M] () --

C:\WINXP\CSTBox.INI
[2010.09.12 12:41:23 | 000,001,676 | ---- | M] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Avira AntiVir Control Center.lnk
[2010.09.12 04:34:00 | 000,000,446 | ---- | M] () --

C:\WINXP\tasks\Driver Robot.job
[2010.09.10 22:55:45 | 000,000,579 | ---- | M] () --

C:\WINXP\netspeed.INI
[2010.09.10 12:18:52 | 000,849,134 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Dienste abschalten_ So gehen Sie

geschickt vor - - PC-WELT.mht
[2010.09.10 11:44:56 | 000,553,995 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Tool zum messen der Bandbreite _ aus

Forum Netzwerk (WLAN, Internet-Zugang, Router) _ wer-weiss-was.mht
[2010.09.10 11:44:09 | 000,091,583 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Windows Ruhezustand deaktivieren und

löschen der Datei HIBERFIL.SYS.mht
[2010.09.10 00:50:08 | 000,000,577 | ---- | M] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Opera.lnk
[2010.09.03 19:21:21 | 000,015,096 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Haushaltsgeld.ods
[2010.09.02 18:50:05 | 000,002,274 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Neu OpenDocument Tabellendokument.ods
[2010.08.30 13:05:02 | 000,002,274 | ---- | M] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Basische Ernährung.ods
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[206 C:\*.tmp files -> C:\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\All

Users.WINXP\Anwendungsdaten\*.tmp files -> C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.09.17 16:59:29 | 000,002,855 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Malwarebytes' Anti-Malware.pif
[2010.09.17 16:57:13 | 000,007,168 | -H-- | C] () --

C:\WINXP\System32\svchost.suo
[2010.09.17 16:57:13 | 000,000,608 | ---- | C] () --

C:\WINXP\System32\svchost.sln
[2010.09.17 14:21:12 | 000,000,681 | ---- | C] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.16 16:52:29 | 000,293,376 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\1t1e1ks9.exe
[2010.09.16 15:24:22 | 000,000,659 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\CCleaner.lnk
[2010.09.16 15:23:20 | 003,845,701 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\ComboFix.exe
[2010.09.15 14:40:59 | 2138,361,856 | -HS- | C] () -- C:\hiberfil.sys
[2010.09.15 14:36:23 | 000,000,909 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Spybot - Search & Destroy.lnk
[2010.09.14 20:07:06 | 003,145,311 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Friedrich II. Reclam.pdf
[2010.09.14 20:02:51 | 000,399,585 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Friedrich II. Eulenspiegel.pdf
[2010.09.12 12:41:23 | 000,001,676 | ---- | C] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Avira AntiVir Control Center.lnk
[2010.09.10 19:13:49 | 000,081,920 | ---- | C] () --

C:\WINXP\System32\Startup.cpl
[2010.09.10 12:18:52 | 000,849,134 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Dienste abschalten_ So gehen Sie

geschickt vor - - PC-WELT.mht
[2010.09.10 11:44:56 | 000,553,995 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Tool zum messen der Bandbreite _ aus

Forum Netzwerk (WLAN, Internet-Zugang, Router) _ wer-weiss-was.mht
[2010.09.10 11:44:09 | 000,091,583 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Windows Ruhezustand deaktivieren und

löschen der Datei HIBERFIL.SYS.mht
[2010.09.02 18:50:05 | 000,002,274 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Neu OpenDocument Tabellendokument.ods
[2010.08.30 13:05:02 | 000,002,274 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Desktop\Basische Ernährung.ods
[2010.08.21 14:04:04 | 000,000,577 | ---- | C] () -- C:\Dokumente und

Einstellungen\All Users.WINXP\Desktop\Opera.lnk
[2010.07.12 16:55:06 | 000,080,416 | ---- | C] () --

C:\WINXP\System32\RtNicProp32.dll
[2010.07.12 14:55:44 | 000,147,456 | ---- | C] () --

C:\WINXP\System32\igfxCoIn_v4926.dll
[2009.01.20 00:50:03 | 000,018,073 | ---- | C] () --

C:\WINXP\CSTBox.INI
[2008.11.17 01:37:33 | 000,000,600 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\PUTTY.RND
[2008.11.08 05:07:07 | 000,000,300 | ---- | C] () --

C:\WINXP\WINCMD.INI
[2008.07.06 15:25:28 | 000,011,352 | ---- | C] () --

C:\WINXP\System32\NOTEPAD.ini
[2008.07.03 15:56:39 | 000,021,504 | ---- | C] () --

C:\WINXP\jestertb.dll
[2008.05.26 23:23:36 | 000,016,834 | ---- | C] () --

C:\WINXP\System32\gthrctr.ini
[2008.05.26 23:23:34 | 000,024,188 | ---- | C] () --

C:\WINXP\System32\idxcntrs.ini
[2008.05.26 23:23:32 | 000,016,568 | ---- | C] () --

C:\WINXP\System32\gsrvctr.ini
[2008.05.25 14:59:02 | 000,000,046 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\DonationCoder_dcupdater_InstallInfo.dat
[2008.05.20 17:34:26 | 000,001,804 | ---- | C] () --

C:\WINXP\MasterExam.ini
[2008.04.13 23:52:25 | 000,000,000 | R--- | C] () --

C:\Programme\LICENSE.TXT
[2008.04.13 23:52:21 | 000,340,967 | ---- | C] () --

C:\Programme\UNINSTAL.EXE
[2007.04.28 23:51:19 | 000,001,024 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\WavCodec.wff
[2007.03.18 03:34:28 | 000,204,800 | ---- | C] () --

C:\WINXP\System32\igfxCoIn_v4785.dll
[2007.03.13 11:04:52 | 000,081,321 | ---- | C] () --

C:\WINXP\SGTBox.INI
[2007.03.13 10:45:20 | 000,008,575 | R--- | C] () --

C:\WINXP\System32\D125UFW.INI
[2007.03.03 19:12:15 | 000,000,306 | ---- | C] () --

C:\WINXP\config.INI
[2007.02.22 11:49:08 | 000,050,127 | ---- | C] () --

C:\WINXP\System32\lvcoinst.ini
[2007.02.21 14:50:08 | 000,000,116 | ---- | C] () --

C:\WINXP\NeroDigital.ini
[2007.02.16 16:51:18 | 000,000,394 | ---- | C] () -- C:\WINXP\ODBC.INI
[2007.02.06 18:45:04 | 000,025,632 | ---- | C] () --

C:\WINXP\System32\drivers\LVPr2Mon.sys
[2007.02.06 18:42:40 | 001,691,808 | ---- | C] () --

C:\WINXP\System32\drivers\Lvckap.sys
[2007.02.03 02:53:02 | 000,774,144 | ---- | C] () --

C:\WINXP\System32\xvidcore.dll
[2007.02.03 02:53:01 | 000,180,224 | ---- | C] () --

C:\WINXP\System32\xvidvfw.dll
[2007.02.01 00:44:44 | 000,050,688 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.01.21 07:11:48 | 000,003,888 | ---- | C] () --

C:\WINXP\System32\drivers\NTHANDLE.SYS
[2007.01.21 04:28:19 | 000,013,312 | ---- | C] () --

C:\WINXP\System32\BASSMOD.dll
[2007.01.21 03:38:15 | 000,646,392 | ---- | C] () --

C:\WINXP\System32\drivers\sptd.sys
[2007.01.20 06:37:41 | 000,000,132 | ---- | C] () --

C:\WINXP\NoClose.ini
[2007.01.20 04:57:09 | 000,000,579 | ---- | C] () --

C:\WINXP\netspeed.INI
[2007.01.20 04:34:42 | 000,002,984 | -HS- | C] () --

C:\WINXP\System32\KGyGaAvL.sys
[2007.01.20 04:21:45 | 000,000,046 | ---- | C] () -- C:\Dokumente und

Einstellungen\***.PCname\Lokale

Einstellungen\Anwendungsdaten\DonationCoder_findrunrobot_InstallInfo.d

at
[2007.01.20 03:07:48 | 000,135,168 | ---- | C] () --

C:\WINXP\System32\RtlCPAPI.dll
[2007.01.20 03:00:01 | 000,005,824 | ---- | C] () --

C:\WINXP\System32\drivers\ASUSHWIO.SYS
[2007.01.20 03:00:01 | 000,004,336 | ---- | C] () --

C:\WINXP\Ascd_tmp.ini
[2006.02.09 15:29:50 | 000,106,496 | ---- | C] () --

C:\WINXP\System32\VSHP1020.DLL
[2005.04.13 13:01:18 | 000,000,363 | ---- | C] () --

C:\Programme\Setup.ini
[2005.04.13 13:00:42 | 000,303,616 | ---- | C] () --

C:\Programme\Embed.exe
[2005.01.10 09:51:38 | 000,171,520 | ---- | C] () --

C:\WINXP\System32\wfam20.dll
[2003.09.15 10:55:53 | 000,014,843 | ---- | C] () --

C:\WINXP\System32\mingwm10.dll
[2000.11.02 19:08:04 | 000,006,412 | ---- | C] () --

C:\Programme\Readme.txt
[1998.04.23 19:11:44 | 000,000,766 | ---- | C] () --

C:\Programme\uninstal.ico
[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () --

C:\WINXP\System32\giveio.sys
[1992.09.21 00:00:00 | 000,000,766 | ---- | C] () --

C:\Programme\foprod.ico

========== LOP Check ==========

[2010.09.16 09:58:42 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\AlfBanCo2
[2010.09.16 15:02:27 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Alwil Software
[2008.03.29 15:14:41 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Azureus
[2007.01.21 04:26:25 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Babylon
[2010.05.17 12:46:50 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\BOINC
[2010.01.13 12:57:50 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Cached Installations
[2010.07.19 12:12:52 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\DiaetKontrolle
[2008.03.04 21:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\DonationCoder
[2008.04.13 23:56:01 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\FileOpen
[2008.05.13 14:48:27 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\Huonker Softwaretechnik
[2008.03.29 23:32:40 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\IBM
[2008.07.22 23:34:47 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\metholution
[2007.01.21 04:01:05 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\PreEmptive Solutions
[2010.09.17 16:57:17 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
[2010.04.20 15:15:53 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\1st Free Solitaire
[2010.09.16 10:02:42 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\ALFBanCo2
[2007.01.20 06:15:11 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\ASC
[2010.08.05 11:42:01 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Audacity
[2010.01.18 01:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\avidemux
[2009.10.27 22:43:15 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Azureus
[2010.08.08 14:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Babylon
[2010.09.14 18:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Canon
[2008.03.04 21:58:45 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\DonationCoder
[2008.07.14 08:30:10 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Doppler
[2008.04.13 23:56:01 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\FileOpen
[2007.09.11 09:36:22 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Flickr
[2007.03.22 21:20:04 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\fltk.org
[2010.01.13 13:43:07 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\GetRightToGo
[2008.06.21 01:25:11 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\gtk-2.0
[2008.03.29 20:47:00 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\IBM
[2010.02.03 01:21:10 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\KlipFolio
[2007.01.21 07:29:04 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Lingo4u
[2007.07.30 03:38:40 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mobipocket
[2007.07.30 03:05:22 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Mobipocket Reader
[2007.12.31 22:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\MyPhoneExplorer
[2010.09.10 23:35:10 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\NCH Swift Sound
[2007.01.20 04:14:44 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Opera
[2008.03.26 15:11:12 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Radmin
[2008.04.22 15:33:10 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Subversion
[2010.08.11 22:55:39 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\The Bat!
[2008.05.03 23:47:01 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Thunderbird
[2007.02.13 21:21:38 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\TrueCrypt
[2010.02.03 00:12:00 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\uTorrent
[2007.06.06 22:36:40 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\uTorrent.bak
[2008.06.21 13:33:34 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\VisualAssist
[2007.01.31 19:49:17 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\WikidPad
[2009.12.13 16:33:59 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Windows Desktop Search
[2010.01.16 18:14:27 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\Windows Search
[2010.09.16 13:32:58 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\WinEdt
[2007.01.20 04:56:08 | 000,000,000 | ---D | M] -- C:\Dokumente und

Einstellungen\***.PCname\Anwendungsdaten\WinEdt.BAK
[2010.09.12 04:34:00 | 000,000,446 | ---- | M] () --

C:\WINXP\Tasks\Driver Robot.job

========== Purity Check ==========

========== Alternate Data Streams ==========

@Alternate Data Stream - 99 bytes -> C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:24051EFF
@Alternate Data Stream - 172 bytes -> C:\Dokumente und

Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:1489AFE4
< End of report >

ForiX2a · Sep 18, 2010

Und gleich noch hinterher das Extra - Logfile :}

### OTL Extras logfile ######
OTL Extras logfile created on: 18.09.2010 14:39:18 - Run 1
OTL by OldTimer - Version 3.2.12.1 Folder = C:\Dokumente und Einstellungen\***.PCname\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): E:\pagefile.sys 3048 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 298,09 Gb Total Space | 40,02 Gb Free Space | 13,43% Space Free | Partition Type: NTFS
Drive D: | 74,52 Gb Total Space | 3,09 Gb Free Space | 4,15% Space Free | Partition Type: NTFS
Drive E: | 465,75 Gb Total Space | 235,05 Gb Free Space | 50,47% Space Free | Partition Type: NTFS
Drive F: | 15,04 Gb Total Space | 13,14 Gb Free Space | 87,34% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PCname
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\Opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\Opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"FirewallDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled

xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled

xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled

xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled

xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:192.168.43.0/255.255.255.0:Enabled

xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled

xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled

xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled

xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled

xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled

xpsp2res.dll,-22008

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\utorrent\utorrent.exe" = C:\Programme\utorrent\utorrent.exe:*:Enabled:µTorrent -- ()
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\Proxomitron\Proxomitron.exe" = C:\Programme\Proxomitron\Proxomitron.exe:*:Enabled:The Proxomitron -- (Groom-A-Zebu (tm) )
"C:\Programme\Ditto\Ditto.exe" = C:\Programme\Ditto\Ditto.exe:*:Enabled

itto -- ()
"C:\Programme\KarlNet Inc\KarlNet Configurator\config.exe" = C:\Programme\KarlNet Inc\KarlNet Configurator\config.exe:*:Enabled:Config -- (KarlNet Inc)
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Sony Handheld\HOTSYNC.EXE" = C:\Programme\Sony Handheld\HOTSYNC.EXE:*:Enabled:HotSync® Manager Application -- (Palm, Inc.)
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- (MySQL AB)
"C:\Programme\MagicTune Premium\MagicTune.exe" = C:\Programme\MagicTune Premium\MagicTune.exe:*:Enabled:MagicTune -- File not found

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1389C6A4-4965-4AEC-9175-08B54A10FA48}" = Microsoft SQL Server 2005 Mobile [ENU] Developer Tools
"{17E2F183-BAC4-4D01-BD7A-59F781E17EFA}" = REALTEK PCIE NIC Driver
"{18E65799-76BD-46EF-9E53-972FE5A40736}" = Opera 10.62
"{1E010E57-0453-4A84-A899-47EEA104661C}" = TortoiseSVN 1.4.8.12137 (32 bit)
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22A83C29-58A8-4CAB-8EDC-918D74F8429E}_is1" = WikidPad 1.8beta6
"{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"{23959E96-A80F-4172-A655-210E9BB7BFBE}" = MSDN Library for Visual Studio 2005
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 17
"{2B34414C-14FB-11D6-A329-0050045C24B2}" = DVD@ccess 2.0.3
"{2D74307D-7B6F-4A81-9D13-0FDA0F5060BA}" = Wolfram Mathematica 6
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java(TM) 6 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32A72502-BC2C-4C39-ACEA-BC3D463F0697}" = EN
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35725FBC-A136-4A46-9F29-091759D9BB93}" = MVision
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}" = Google Earth
"{437AB8E0-FB69-4222-B280-A64F3DE22591}" = Microsoft Visual Studio 2005 Professional Edition - ENU
"{44D4AF75-6870-41F5-9181-662EA05507E1}" = Microsoft Document Explorer 2005
"{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}" = FontNav
"{4FE315B7-4634-4587-80FF-D40BF0989567}" = Wolfram Notebook Indexer 2.0
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.80
"{5AE3D9F1-9E9E-4015-8787-E22705AA32C5}" = msxml4
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F5F8A5E-C849-4b15-9247-89F74E6E6E3A}" = IBM DB2 Express Edition - DB2COPY1
"{625272AD-3BB2-46BB-8B9F-C8F5B37FC32A}" = Doppler
"{625386A4-B6B6-4911-A6E8-23189C3F2D15}" = Microsoft .NET Compact Framework 2.0
"{63218538-4A69-497F-8455-904261B0E9E4}" = CorelDRAW Graphics Suite X3
"{65E18393-419A-4832-82C1-92B79FF916DB}" = CLIE Organizer for PC
"{68A35043-C55A-4237-88C9-37EE1C63ED71}" = Microsoft Visual J# 2.0 Redistributable Package
"{692854CC-97EF-4307-B787-8C6787B91031}" = Nero 7 Premium
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6C531060-84FB-4F96-8F33-29DF020632EB}" = Microsoft .NET Compact Framework 1.0 SP3 Developer
"{78B75C6D-E53C-424C-BF83-4B63BD4A6682}" = Microsoft Device Emulator version 1.0 - ENU
"{7D2370AC-D8E6-4996-986A-19824F8A167C}" = Logitech QuickCam
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8EDBA74D-0686-4C99-BFDD-F894678E5B39}" = Adobe Common File Installer
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0000-0000-0000000FF1CE}" = Microsoft Office OneNote 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{98613C99-1399-416C-A07C-1EE1C585D872}" = SeaTools for Windows
"{98D1A713-438C-4A23-8AB6-41B37C4A2D47}" = VMware Workstation
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.1
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B74D4E10-6884-0000-0000-000000000103}" = Adobe Bridge 1.0
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{BEAD39CD-901D-4267-8B8B-EAA83CB4B70D}" = Pivot Stickfigure Animator
"{BEF726DD-4037-4214-8C6A-E625C02D2870}" = Logitech Audio Echo Cancellation Component
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C190CB55-817E-4713-84F4-0BBB8961CED9}" = PerfectDisk
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C3113E55-7BCB-4de3-8EBF-60E6CE6B2096}_is1" = SiSoftware Sandra Lite XI.SP1a (Win64/32/CE)
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5EC81D0-3DED-435D-A46E-E3F60F7DC8AD}" = Palm Desktop
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C94E45B0-6AA6-4FB9-9AAE-22085F631880}" = VBA
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{C9E4932C-8417-4E4C-A0E3-EE534810AB4D}" = ClearType Tuning Control Panel Applet
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D52A721B-E44C-4AD7-AD4F-29D83144384B}" = Microsoft Tool Web Package : EXTRACT.EXE
"{D781A6EC-12AC-4993-BF13-B4CF12F1F20C}" = 3D Home Architect Home Design Deluxe 6
"{DB0A8A2A-4EA7-4FE3-802E-8A6DEE32696C}_is1" = Orban/Coding Technologies AAC/aacPlus Player Plugin™ 1.0
"{DB6D0A87-77BA-4083-85D1-D07604B3FAD7}" = CLIE SCSI Driver
"{E06EC520-78B1-49D6-9B86-3786E8E04C16}" = Mobipocket Creator 4.2
"{E51896C6-F4B9-4B2C-94AE-45EEDEBCE836}" = DIÄT-Kontrolle
"{E7394983-3869-46F4-A117-EB148F104D79}" = World Community Grid - BOINC for Windows
"{E9787678-1033-0000-8E67-000000000001}" = Adobe Help Center 1.0
"{EA516024-D84D-41F1-814F-83175A6188F2}" = Logitech Video Enumerator
"{ED386A62-2BA2-4544-A723-5DFFDC283F6A}" = Mobipocket Reader 6.0
"{EE0D5DCD-2B97-4473-98DF-E93C0BD92F7A}" = Adobe Stock Photos 1.0
"{F0DC8642-97BA-4C96-8656-B85AEA355B5F}" = OpenOffice.org 2.0
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F7FC9307-374E-4017-8E9D-DE1154780480}" = System Requirements Lab for Intel
"10-Finger Tipptrainer" = 10-Finger Tipptrainer 2.2
"1STFREE_is1" = 1st Free Solitaire 1.7.1
"Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8.2.4 Professional
"Adobe Acrobat 8 Professional - English, Français, Deutsch_824" = Adobe Acrobat 8.2.4 - CPSID_83708
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"Adobe Shockwave Player" = Adobe Shockwave Player
"Advanced SmartCheck" = Advanced SmartCheck
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Alf-BanCo2_is1" = BanCo 2.0
"Apache Tomcat 5.5" = Apache Tomcat 5.5 (remove only)
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.5 (Unicode)
"AutoHotkey" = AutoHotkey 1.0.45.00
"Avidemux 2.5" = Avidemux 2.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS Video Editor 4_is1" = AVS Video Editor 4 4.2.1.166
"AVS Video Recorder_is1" = AVS Video Recorder 2.4 (Service Version)
"AVS YouTube Uploader 2.1_is1" = AVS YouTube Uploader version 2.1
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.3
"awxDTools_is1" = arniWORX awxDTools - Daemon-Tools ShellExtension - 1.0.6.0
"Azureus Vuze" = Azureus Vuze
"Babylon" = Babylon
"BFilter" = BFilter
"CamStudio" = CamStudio
"CCleaner" = CCleaner
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2009-09-09
"CoreAVC Pro" = CoreAVC Pro (remove only)
"DcUpdater_is1" = DcUpdater 1.27.02
"DebugMode Wax 2.0" = DebugMode Wax 2.0
"Ditto_is1" = Ditto 3.2.0.0
"DivX Setup.divx.com" = DivX-Setup
"eMule" = eMule
"Find and Run Robot_is1" = Find+Run Robot 2.90.01
"FlashGet" = FlashGet 1.8.4.1001
"FlashGet(JetCar)" = FlashGet(JetCar)
"foobar2000" = foobar2000 v1.0
"Free Metronome" = Free Metronome 1.1.0
"GnuPG" = GNU Privacy Guard
"GSview 4.8" = GSview 4.8
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"hp deskjet 980c series" = hp deskjet 980c series (Remove only)
"hp deskjet 980c series_Driver" = hp deskjet 980c series
"HTTS 2.10" = HTTS 2.10
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{2D74307D-7B6F-4A81-9D13-0FDA0F5060BA}" = Wolfram Mathematica 6
"InstallShield_{D781A6EC-12AC-4993-BF13-B4CF12F1F20C}" = 3D Home Architect Home Design Deluxe 6
"IrfanView" = IrfanView (remove only)
"KaloMa_is1" = KaloMa 4.80
"KlipFolio" = KlipFolio (remove only)
"Layer III Audio Encoder 1.0.70111" = Layer III Audio Encoder
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft Document Explorer 2005" = Microsoft Document Explorer 2005
"Microsoft Visual J# 2.0 Redistributable Package" = Microsoft Visual J# 2.0 Redistributable Package
"Microsoft Visual Studio 2005 Professional Edition - ENU" = Microsoft Visual Studio 2005 Professional Edition - ENU
"MiKTeX 2.5" = MiKTeX 2.5
"MiKTeX 2.7" = MiKTeX 2.7
"Miranda IM" = Miranda IM 0.8.27
"Motherboard Monitor 5_is1" = Motherboard Monitor 5
"MouseImp PRO" = MouseImp PRO
"MouseImp Pro Live!" = MouseImp Pro Live!
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"MPE" = MyPhoneExplorer
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSDN Library for Visual Studio 2005" = MSDN Library for Visual Studio 2005
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"ntfslink_is1" = NTFS Link 2.1
"ONENOTE" = Microsoft Office OneNote 2007
"OpenLibraries" = OpenLibraries
"OpenVPN" = OpenVPN 2.1_rc4
"Opera" = Opera
"Plucker_is1" = Plucker 1.6
"PopTray" = PopTray 3.03
"PopTray Plug-ins" = PopTray Plug-ins (beta 6)
"PowerGREP 3" = JGsoft PowerGREP 3 3.1.0
"QcDrv" = Logitech® Camera Driver
"RealAlt_is1" = Real Alternative 1.52
"RegexBuddy" = JGsoft RegexBuddy 2.0.5
"Softany Monitor Control 2.06_is1" = Softany Monitor Control 2.06
"SpeedFan" = SpeedFan (remove only)
"TapSmartKeyLink" = TapSmart KeyLink
"TapTarget.com iSpin for PalmOS" = TapTarget.com iSpin for PalmOS
"Taskbar Shuffle_is1" = Taskbar Shuffle version 2.5
"TrueCrypt" = TrueCrypt
"Tunnelier" = Bitvise Tunnelier 4.22 (remove only)
"Tweak UI 2.10" = Tweak UI
"Visual Assist X" = Visual Assist X
"VLC media player" = VLC media player 1.0.3
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinEdt_is1" = WinEdt
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.41-2
"WinRAR archiver" = WinRAR archiver
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"XviD_is1" = XviD 1.2.-127 +SMP Alpha uninstall

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"foobar2000" = foobar2000 v0.9.4.2
"uTorrent" = µTorrent

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 17.09.2010 04:04:31 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.31.812000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:31 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.31.828000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:31 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.31.828001 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:31 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.31.843000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:36 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.36.875000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:36 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.36.890000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:36 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.36.906000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 04:04:36 | Computer Name = PCname | Source = DB2 | ID = 4
Description = 2010-09-17-10.04.36.921000 Instance

B2 Node:000 PID:3844(db2dasstm.exe)
TID:2284 Appid:none RAS/PD component pdLogInternal Probe:20 Message number
14000 is unavailable.

Error - 17.09.2010 07:35:33 | Computer Name = PCname | Source = VMware Virtual Mount Service Extended | ID = 458755
Description =

Error - 17.09.2010 11:03:10 | Computer Name = PCname | Source = VsJITDebugger | ID = 4096
Description = An unhandled win32 exception occurred in svchost.exe [2060]. Just-In-Time
debugging this exception failed with the following error: Der Remoteprozeduraufruf
ist fehlgeschlagen. Check the documentation index for 'Just-in-time debugging, errors'
for more information.

[ System Events ]
Error - 17.09.2010 08:05:30 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 17.09.2010 08:13:36 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 17.09.2010 08:17:30 | Computer Name = PCname | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie
den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056

Error - 17.09.2010 08:20:40 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 17.09.2010 08:26:32 | Computer Name = PCname | Source = Service Control Manager | ID = 7034
Description = Dienst "VNC Server" wurde unerwartet beendet. Dies ist bereits 1 Mal
passiert.

Error - 17.09.2010 10:56:28 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 17.09.2010 11:05:52 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 18.09.2010 08:20:58 | Computer Name = PCname | Source = Server | ID = 2505
Description = Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht
\Device\NetBT_Tcpip_{5BB354AA-B63C-4A9B-9891-AFAF4B443FF9} vom Serverdienst nicht
gebunden werden. Der Serverdienst konnte nicht gestartet werden.

Error - 18.09.2010 08:21:09 | Computer Name = PCname | Source = Service Control Manager | ID = 7001
Description = Der Dienst "OpenVPN Service" ist vom Dienst "TAP-Win32 Adapter V9"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058

Error - 18.09.2010 08:22:31 | Computer Name = PCname | Source = Service Control Manager | ID = 7032
Description = Der Versuch des Dienststeuerungs-Managers, nach dem unerwarteten Beenden
des Dienstes "Windows-Verwaltungsinstrumentation" Korrekturmaßnahmen (Starten Sie
den Dienst neu.) durchzuführen, ist fehlgeschlagen. Fehler: %%1056

< End of report >

raman · Sep 20, 2010

Was ist das fuer eine DAtei?
C:\Dokumente und

Einstellungen\***.PCname\Desktop\1t1e1ks9.exe im zweifelsfalle bei virustotal.com testen, wenn du es nicht weisst.

Du hast Combofix auf deinem Rechner, hast du das laufen lassen?

ForiX2a · Sep 20, 2010

Hi Ralf :}

raman said:
Was ist das fuer eine DAtei? 1t1e1ks9.exe

Weiss recht genau, was das fuer eine Datei ist ;}
Das ist GMER >> wird als random File Name downgeloaded, um das Aufspuehren durch Schadsoftware zu erschweren.

raman said:
Du hast Combofix auf deinem Rechner, hast du das laufen lassen?

Hab ich auf Grund der Anleitung und der Warnung dies nicht OHNE ausdrueckliche Aufforderung durch einen ForenSpezialisten laufen zu lassen, auch nicht getan. :}
Hatte es aber vorsorglich schon mal runtergeladen, weil es beim Durchlesen von Threads oefters gefordert wurde.

*mhhhh* und wie gehts jetzt weiter? :sad:

Liebe Gruesse,
tami ^^ö

raman · Sep 20, 2010

Dann loesche bitte die Combofix.exe, lade eine neue herunter, benenne sie aber vorher beim speichern um...

http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

ForiX2a · Sep 20, 2010

Wird gemacht, Ralf :}
Soll ich sie dann auch gleich benutzen?

Liebe Gruesse,
tami ^^ö

raman · Sep 20, 2010

Ja, mache mal

ForiX2a · Sep 20, 2010

So und weiter gehts ^.^
aber ganz ehrlich, Respekt und Anerkennung mal an dieser Stelle ^^

Ich bin beeindruckt wie man aus solchen Files was rauslesen kann ^^

Hier also das Combofix Logfile.
Und ja auch Combofix, hat Rootkitaktivitaet gefunden

Liebe Gruesse,
tami ^^ö

#### Combifix Logfile ####
ComboFix 10-09-19.03 - *** 20.09.2010 12:37:22.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2039.1571 [GMT 2:00]
Running from: c:\dokumente und einstellungen\***.PCname\Desktop\fkjajsflkdsjcmf.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\TrashReg
c:\programme\TrashReg\AutoREGs\[HIDDEN].DEL
c:\programme\TrashReg\Backups\[20070704125052].reg
c:\programme\TrashReg\Backups\[20071014213255].reg
c:\programme\TrashReg\DelSettings.reg
c:\programme\TrashReg\File_id.diz
c:\programme\TrashReg\Help\rtkf_eng.chm
c:\programme\TrashReg\Help\rtkf_rus.chm
c:\programme\TrashReg\LastSettings.reg
c:\programme\TrashReg\ReadMe.Eng.txt
c:\programme\TrashReg\ReadMe.Rus.txt
c:\programme\TrashReg\TrashReg.exe
c:\winxp\config.ini
c:\winxp\jestertb.dll
c:\winxp\system32\winlogon.bak

Infected copy of c:\winxp\system32\drivers\redbook.sys was found and disinfected
Restored copy from - Kitty had a snack

.
((((((((((((((((((((((((( Files Created from 2010-08-20 to 2010-09-20 )))))))))))))))))))))))))))))))
.

2010-09-20 10:47 . 2010-09-20 10:47 53248 ----a-w- c:\temp\catchme.dll
2010-09-20 10:36 . 2010-09-20 10:36 16384 ----atw- c:\temp\Perflib_Perfdata_5a4.dat
2010-09-20 09:32 . 2010-09-20 09:32 -------- d-----w- c:\temp\Adobe
2010-09-20 09:29 . 2010-09-20 09:29 -------- d-----w- c:\temp\WPDNSE
2010-09-17 16:12 . 2010-09-17 16:12 -------- d--h--w- c:\winxp\PIF
2010-09-17 12:23 . 2010-09-17 12:23 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Malwarebytes
2010-09-17 12:21 . 2010-04-29 13:39 38224 ----a-w- c:\winxp\system32\drivers\mbamswissarmy.sys
2010-09-17 12:21 . 2010-09-17 12:21 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2010-09-17 12:21 . 2010-04-29 13:39 20952 ----a-w- c:\winxp\system32\drivers\mbam.sys
2010-09-17 12:21 . 2010-09-17 16:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-17 11:56 . 2010-09-17 15:31 -------- d-----w- c:\temp\is-94VCG.tmp
2010-09-16 13:24 . 2010-09-16 13:24 -------- d-----w- c:\programme\CCleaner
2010-09-16 08:03 . 2010-08-17 13:17 58880 -c----w- c:\winxp\system32\dllcache\spoolsv.exe
2010-09-16 08:02 . 2010-06-18 17:44 293888 -c----w- c:\winxp\system32\dllcache\winsrv.dll
2010-09-16 08:00 . 2010-04-16 15:36 406016 -c----w- c:\winxp\system32\dllcache\usp10.dll
2010-09-16 07:56 . 2010-06-24 12:21 743424 -c----w- c:\winxp\system32\dllcache\iedvtool.dll
2010-09-16 07:48 . 2010-07-27 06:29 8503296 -c----w- c:\winxp\system32\dllcache\shell32.dll
2010-09-16 07:46 . 2010-06-14 14:31 744448 -c----w- c:\winxp\system32\dllcache\helpsvc.exe
2010-09-16 07:44 . 2010-03-05 14:37 65536 -c----w- c:\winxp\system32\dllcache\asycfilt.dll
2010-09-16 07:42 . 2010-04-20 05:29 285696 -c----w- c:\winxp\system32\dllcache\atmfd.dll
2010-09-16 07:38 . 2010-09-17 15:31 -------- d-----w- c:\temp\OHotfix
2010-09-15 18:30 . 2010-09-15 18:30 -------- d-----w- c:\temp\_tc0
2010-09-12 10:53 . 2010-09-15 17:33 -------- d-----w- c:\winxp\system32\NtmsData
2010-09-12 10:46 . 2010-09-12 10:46 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Avira
2010-09-12 10:41 . 2010-09-12 10:41 -------- d-----w- c:\programme\Avira
2010-09-12 10:41 . 2010-09-12 10:41 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Avira
2010-09-12 10:41 . 2010-03-01 07:05 124784 ----a-w- c:\winxp\system32\drivers\avipbb.sys
2010-09-12 10:41 . 2010-02-16 11:24 60936 ----a-w- c:\winxp\system32\drivers\avgntflt.sys
2010-09-12 10:41 . 2009-05-11 09:49 45416 ----a-w- c:\winxp\system32\drivers\avgntdd.sys
2010-09-12 10:41 . 2009-05-11 09:49 22360 ----a-w- c:\winxp\system32\drivers\avgntmgr.sys
2010-09-07 12:01 . 2010-09-07 12:02 -------- d-----w- C:\Samsung

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 10:36 . 2007-01-21 14:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\VMware
2010-09-20 10:14 . 2006-07-25 17:32 -------- d-----w- c:\programme\FindAndRunRobot
2010-09-20 09:54 . 2007-03-13 08:57 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Canon
2010-09-20 09:53 . 2007-01-20 04:21 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Ditto
2010-09-20 09:51 . 2008-05-03 21:46 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-20 09:39 . 2008-05-25 12:58 -------- d-----w- c:\programme\DcUpdater
2010-09-20 09:29 . 2010-08-07 13:58 -------- d-----w- c:\programme\Taskbar Shuffle
2010-09-17 15:28 . 2010-03-15 19:36 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-17 14:57 . 2008-06-21 11:31 -------- d---a-w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
2010-09-16 14:28 . 2010-03-15 19:36 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Spybot - Search & Destroy
2010-09-16 13:28 . 2007-01-20 18:33 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Media Player Classic
2010-09-16 13:02 . 2010-05-05 10:50 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Alwil Software
2010-09-16 11:32 . 2007-01-20 02:56 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\WinEdt
2010-09-16 09:03 . 2007-01-21 01:59 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Microsoft Help
2010-09-16 08:49 . 2004-08-04 12:00 82214 ----a-w- c:\winxp\system32\perfc007.dat
2010-09-16 08:49 . 2004-08-04 12:00 462848 ----a-w- c:\winxp\system32\perfh007.dat
2010-09-16 08:45 . 2007-01-21 02:00 -------- d-----w- c:\programme\Microsoft.NET
2010-09-16 08:02 . 2007-01-20 03:52 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\ALFBanCo2
2010-09-16 07:58 . 2007-01-20 03:53 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\AlfBanCo2
2010-09-15 19:32 . 2009-12-13 14:33 -------- d-----w- c:\programme\Windows Desktop Search
2010-09-15 13:23 . 2009-10-14 10:58 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Skype
2010-09-15 12:12 . 2007-02-22 10:03 0 ----a-w- c:\winxp\system32\drivers\lvuvc.hs
2010-09-15 11:11 . 2009-10-14 10:59 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\skypePM
2010-09-14 19:44 . 2010-01-12 18:14 -------- d-----w- c:\programme\foobar2000
2010-09-14 18:41 . 2009-12-14 13:33 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\vlc
2010-09-12 16:17 . 2007-09-17 14:54 -------- d-----w- c:\programme\ReadWrite Kanji
2010-09-12 16:17 . 2007-01-21 05:26 -------- d-----w- c:\programme\TrashReg_v3_7_1_unlocked
2010-09-12 16:17 . 2006-10-02 13:44 -------- d-----w- c:\programme\SnadBoy's Revelation v2
2010-09-10 21:35 . 2007-04-28 21:07 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\NCH Swift Sound
2010-09-10 21:35 . 2007-04-28 21:07 -------- d-----w- c:\programme\NCH Swift Sound
2010-09-10 21:17 . 2008-07-22 19:00 -------- d-----w- c:\programme\Mathe1x1
2010-09-10 21:17 . 2007-01-21 05:29 -------- d-----w- c:\programme\LingoPad
2010-09-10 21:15 . 2007-02-26 18:51 -------- d-----w- c:\programme\Gemeinsame Dateien\iulab
2010-09-10 21:14 . 2006-08-15 14:06 -------- d-----w- c:\programme\Sony
2010-09-10 21:14 . 2006-07-29 11:16 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-09-10 21:11 . 2007-01-31 22:46 -------- d-----w- c:\programme\Google
2010-09-10 21:04 . 2007-07-31 22:10 -------- d-----w- c:\programme\BrainSprinter4
2010-09-10 20:50 . 2010-01-13 11:13 -------- d-----w- c:\programme\Yahoo!
2010-09-10 08:23 . 2010-08-03 13:02 -------- d-----w- c:\programme\DivX
2010-09-09 22:50 . 2006-07-25 12:14 -------- d-----w- c:\programme\Opera
2010-09-09 22:34 . 2010-08-03 13:01 -------- d-----w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\DivX
2010-09-07 12:32 . 2009-12-01 17:33 -------- d-----w- c:\programme\Microsoft Silverlight
2010-09-02 18:05 . 2007-01-25 04:01 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\OpenOffice.org2
2010-08-30 10:25 . 2010-08-03 13:04 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\DivX
2010-08-29 15:01 . 2007-04-20 00:08 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\VMware
2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\winxp\system32\spoolsv.exe
2010-08-11 21:15 . 2010-08-11 21:15 3303 ----a-w- C:\BAT1C1C.tmp
2010-08-11 20:58 . 2010-08-11 20:58 7675 ----a-w- C:\BAT1BBD.tmp
2010-08-11 20:58 . 2010-08-11 20:58 16341 ----a-w- C:\BAT1BC0.tmp
2010-08-11 20:58 . 2010-08-11 20:58 12569 ----a-w- C:\BAT1BBC.tmp
2010-08-11 20:58 . 2010-08-11 20:58 27020 ----a-w- C:\BAT1BB3.tmp
2010-08-11 20:58 . 2010-08-11 20:58 25121 ----a-w- C:\BAT1BB7.tmp
2010-08-11 20:58 . 2010-08-11 20:58 25118 ----a-w- C:\BAT1BB5.tmp
2010-08-11 20:58 . 2010-08-11 20:58 17344 ----a-w- C:\BAT1BB9.tmp
2010-08-11 20:58 . 2010-08-11 20:58 15336 ----a-w- C:\BAT1BB2.tmp
2010-08-11 20:56 . 2010-08-11 20:56 26784 ----a-w- C:\BAT1ACC.tmp
2010-08-11 20:55 . 2010-08-11 20:55 7884 ----a-w- C:\BAT1A60.tmp
2010-08-08 12:16 . 2007-01-21 02:25 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Babylon
2010-08-05 09:42 . 2008-07-17 18:36 -------- d-----w- c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Audacity
2010-08-03 13:58 . 2010-08-03 13:58 57344 ----a-w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-08-03 13:05 . 2010-08-03 13:05 56765 ----a-w- c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\winxp\system32\rpcrt4.dll
2010-07-22 09:49 . 2008-05-05 06:25 5632 ----a-w- c:\winxp\system32\xpsp4res.dll
2010-07-16 09:16 . 2007-01-20 02:34 2984 --sha-w- c:\winxp\system32\KGyGaAvL.sys
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\winxp\system32\schannel.dll
2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\winxp\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\winxp\system32\win32k.sys
2008-04-13 21:54 . 2008-04-13 21:52 340967 ----a-w- c:\programme\UNINSTAL.EXE
2008-04-13 21:52 . 2008-04-13 21:52 0 ----a-r- c:\programme\LICENSE.TXT
2005-04-13 11:01 . 2005-04-13 11:01 363 ----a-w- c:\programme\Setup.ini
2005-04-13 11:00 . 2005-04-13 11:00 303616 ----a-w- c:\programme\Embed.exe
2000-11-02 17:08 . 2000-11-02 17:08 6412 ----a-w- c:\programme\Readme.txt
1998-04-23 17:11 . 1998-04-23 17:11 766 ----a-w- c:\programme\uninstal.ico
1992-09-20 22:00 . 1992-09-20 22:00 766 ----a-w- c:\programme\foprod.ico
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NTFSLink_Hardlink]
@="{0314E3A0-45DB-4D75-BB86-27B8EF28907B}"
[HKEY_CLASSES_ROOT\CLSID\{0314E3A0-45DB-4D75-BB86-27B8EF28907B}]
2004-09-03 10:22 225280 ----a-w- c:\progra~1\NTFSLI~2\ntfslink.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NTFSLink_Junction]
@="{61702EF5-1B33-487F-995F-6FA23F1D6652}"
[HKEY_CLASSES_ROOT\CLSID\{61702EF5-1B33-487F-995F-6FA23F1D6652}]
2004-09-03 10:22 225280 ----a-w- c:\progra~1\NTFSLI~2\ntfslink.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ditto"="c:\programme\Ditto\Ditto.exe" [2006-02-17 462963]
"MImpPro"="c:\programme\MouseImp Pro Live!\MIProHst.exe" [2003-06-11 30208]
"Taskbar Shuffle"="c:\programme\Taskbar Shuffle\taskbarshuffle.exe" [2008-04-16 818176]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2005-06-24 843776]
"MImpPro"="c:\progra~1\MOUSEI~1\MIProHst.exe" [2003-06-11 30208]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 20992]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2007-02-03 435736]

c:\dokumente und einstellungen\***.PCname\Startmen\Programme\Autostart\
ats.exe.lnk - c:\programme\Atomic TimeSync\ats.exe [2006-8-19 88580]
CAPshift.ahk [2006-11-12 8392]
Find And Run Robot - SystemTray Trigger.lnk - c:\programme\FindAndRunRobot\FindAndRunRobot.exe [2006-7-25 4615680]

c:\dokumente und einstellungen\All Users.WINXP\Startmen\Programme\Autostart\
MERGED.LNK - c:\files\cmd\MERGED.ahk [2006-11-16 2462]
procexp.lnk - c:\programme\TotalCommander\tools\ProcessExplorer\procexp.exe [2006-11-16 3278400]
Proxomitron.exe.lnk - c:\programme\Proxomitron\Proxomitron.exe [2007-10-31 344660]
Start.bat.lnk - c:\programme\TotalCommander\Start.bat [2006-11-16 186]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 01000000

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\winxp\system32\ctfmon.exe
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"boincmgr"="c:\programme\BOINC\boincmgr.exe" /a /s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"IMJPMIG8.1"="c:\winxp\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"PHIME2002A"=c:\winxp\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"PHIME2002ASync"=c:\winxp\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_09\bin\jusched.exe"
"Babylon Client"=c:\programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"IgfxTray"=c:\winxp\system32\igfxtray.exe
"HotKeysCmds"=c:\winxp\system32\hkcmd.exe
"LVCOMSX"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"DB2COPY1 - db2systray.exe DB2"=c:\programme\IBM\SQLLIB\BIN\db2systray.exe DB2
"boinctray"="c:\programme\BOINC\boinctray.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\utorrent\\utorrent.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Proxomitron\\Proxomitron.exe"=
"c:\\Programme\\Ditto\\Ditto.exe"=
"c:\\Programme\\KarlNet Inc\\KarlNet Configurator\\config.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Sony Handheld\\HOTSYNC.EXE"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"139:TCP"= 139:TCP:192.168.43.0/255.255.255.0:Enabled

xpsp2res.dll,-22004

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.09.2010 12:41 135336]
R2 DB2LICD_DB2COPY1;DB2-Lizenzserver (DB2COPY1);c:\programme\Ibm\SQLLIB\BIN\db2licd.exe [29.03.2008 23:39 124192]
R2 DB2MGMTSVC_DB2COPY1;DB2-Verwaltungsservice (DB2COPY1);c:\programme\Ibm\SQLLIB\BIN\db2mgmtsvc.exe [29.03.2008 23:39 38688]
R2 DVDAccss;DVDAccss;c:\winxp\system32\drivers\DVDAccss.sys [30.07.2008 00:46 29156]
R2 vnccom;vnccom;c:\winxp\system32\drivers\vnccom.SYS [20.01.2007 06:33 6016]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 DB2GOVERNOR_DB2COPY1;DB2 Governor (DB2COPY1);c:\programme\Ibm\SQLLIB\BIN\db2govds.exe [29.03.2008 23:39 18720]
S3 DB2REMOTECMD_DB2COPY1;DB2 Remote Command Server (DB2COPY1);c:\programme\Ibm\SQLLIB\BIN\db2rcmd.exe [29.03.2008 23:39 29984]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\EVEREST Home Edition\kerneld.wnt [03.06.2010 13:06 7168]
S3 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [29.11.2005 11:16 241731]
S3 Tomcat5;Apache Tomcat;"c:\programme\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 --> c:\programme\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\programme\Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [02.12.2006 07:17 2805000]
S4 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [21.01.2007 03:38 646392]
.
Contents of the 'Scheduled Tasks' folder

2010-09-20 c:\winxp\Tasks\Spybot - Search & Destroy Updater - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SDUpdate.exe [2010-09-15 13:31]
.
.
------- Supplementary Scan -------
.
IE: &Download All with FlashGet - c:\programme\FlashGet\jc_all.htm
IE: &Download with FlashGet - c:\programme\FlashGet\jc_link.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {33FF7030-E241-4717-A014-153F7D6562F6} = 192.168.42.1
TCP: {A0E9C6AA-9BD1-4010-9D61-EB0FB2B910CE} = 192.168.42.1
FF - ProfilePath - c:\dokumente und einstellungen\***.PCname\Anwendungsdaten\Mozilla\Firefox\Profiles\joxkrqff.default\
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8081
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\np32dsw.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll

---- FIREFOX POLICIES ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\programme\Malwarebytes' Anti-Malware\mbam.exe
Notify-WgaLogon - (no file)
AddRemove-Apache Tomcat 5.5 - c:\programme\Apache Software Foundation\Tomcat 5.5\Uninstall.exe
AddRemove-eMule - c:\programme\eMule\Uninstall.exe
AddRemove-MiKTeX 2.5 - c:\programme\MiKTeX\miktex\bin\copystart.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-20 12:47
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\EVEREST Home Edition\kerneld.wnt"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSSdk23]
"ImagePath"="\??\c:\winxp\system32\Drivers\PsSdk23.drv"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-2052111302-1409082233-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2005DE97-96B3-4D40-746D-7E42C308BB2A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"paojpjbbhbendflhcfbddlknhfnddbjn"=hex:6a,61,70,6b,64,61,6c,61,6c,61,6a,66,64,
69,63,6a,69,64,63,70,00,51
"oaeknojcdknhkfclngefkkmnmgbkni"=hex:6a,61,70,6b,64,61,6c,61,6c,61,6a,66,64,69,
63,6a,69,64,63,70,00,51
.
Completion time: 2010-09-20 12:52:56
ComboFix-quarantined-files.txt 2010-09-20 10:52

Pre-Run: 20 Verzeichnis(se), 42.783.502.336 Bytes frei
Post-Run: 24 Verzeichnis(se), 42.736.648.192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - 2A8DE31027E92ED62349A82B8469345B

Spybot lässt sich nur umbenannt starten

New member

Expert-Visiting Fellow

New member

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

New member

New member

Expert-Visiting Fellow

New member

New member

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member

Expert-Visiting Fellow

New member