Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MS removal Tool vollständig entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.06.2011, 12:14   #1
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Wie der Titel schon sagt, hatte ich kürzlich dieses Problem, und möchte es noch sicherehitshalber überprüfen lassen

Alt 27.06.2011, 15:47   #2
M-K-D-B
/// TB-Ausbilder
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen





Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
  • Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
  • Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  • Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.


Zitat:
Zitat von Deathkid535 Beitrag anzeigen
... und möchte es noch sicherehitshalber überprüfen lassen
Das war eine gute Entscheidung, da sich auf deinem Rechner noch Malware befindet.



Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.
__________________


Alt 27.06.2011, 16:34   #3
M-K-D-B
/// TB-Ausbilder
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo Deathkid535,






Schritt # 1: Störende Programme
  • Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
  • Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
  • Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.




Schritt # 2: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall Advanced SystemCare 3.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.
  • Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
  • Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
  • Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 3: Peer to Peer oder Filesharing Programme
Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall µTorrent.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Programme deinstallieren

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.





Schritt # 4: Deinstallation von Programmen
  • Folge folgendem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
  • Suche in der Liste Software mit dem folgenden Namen
    • Ask Toolbar
    • Conduit Engine
    • DVDVideoSoftTB Toolbar
    • softonic-de3 Toolbar
    • uTorrentBar_DE Toolbar
    • VirusKeeper 2011 Pro Probeversion
    und deinstalliere das Programm.
  • Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.




Schritt # 5: Add-ons in Firefox entfernen
  • Starte Firefox
  • Klicke auf Firefox -> Add-ons -> Erweiterungen
  • Entferne die folgenden Add-ons (sofern sie vorhanden sind):
    • uTorrentBar_DE Community Toolbar
    • Conduit Engine
  • Zum Abschluss musst du Firefox schließen und neu starten, damit die Entfernung abgeschlossen werden kann.
  • Kontrolliere, ob die genannten Erweiterungen auch entfernt wurden.
  • Schließe Firefox wieder.




Schritt # 6: Stoppen von Treibern mit Defogger
  • Starte das Tool mit Doppelklick.
    Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
  • DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).
Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 7: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 8: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
atapi.sys
volsnap.sys
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread




Schritt # 9: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung bezüglich Advanced SystemCare 3 und uTorrent,
  • eine Rückmeldung bezüglich aller geforderten Deinstallationen,
  • das Logfile von Defogger,
  • das Logfile von aswMBR und
  • das neue Logfile von OTL (OTL.txt).
__________________

Alt 27.06.2011, 19:21   #4
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo, danke für die (vor allem schnelle!) Antwort.
Ich habe die Punkte einzeln nach Anleitung durchgemacht:
  1. Advanced SystemCare und uTorrent habe ich Deinstalliert
  2. Ich habe alles Deinstalliert, ausser softonic-de3 Toolbar und uTorrentBar_DE Toolbar, da die Datei INSTALL.LOG nicht geöffnet werden konnte
  3. Das Lofgile von Defogger:
    Code:
    ATTFilter
    defogger_disable by jpshortstuff (23.02.10.1)
    Log created at 19:18 on 27/06/2011 (Administrator)
    
    Checking for autostart values...
    HKCU\~\Run values retrieved.
    HKLM\~\Run values retrieved.
    
    Checking for services/drivers...
    SPTD -> Already disabled
    
    
    -=E.O.F=-
             
  4. Logfile von aswMBR:
    Code:
    ATTFilter
    aswMBR version 0.9.7.675 Copyright(c) 2011 AVAST Software
    Run date: 2011-06-27 19:20:04
    -----------------------------
    19:20:04.173    OS Version: Windows 6.1.7600 
    19:20:04.173    Number of processors: 2 586 0x602
    19:20:04.176    ComputerName: DENNIS-PC  UserName: 
    19:20:07.187    Initialize success
    19:23:42.651    AVAST engine defs: 11062700
    19:24:42.722    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000057
    19:24:42.730    Disk 0 Vendor: ST925031 0010 Size: 238475MB BusType: 11
    19:24:44.831    Disk 0 MBR read successfully
    19:24:44.838    Disk 0 MBR scan
    19:24:44.847    Disk 0 Windows 7 default MBR code
    19:24:46.867    Disk 0 scanning sectors +488397168
    19:24:46.888    Disk 0 scanning C:\Windows\system32\drivers
    19:25:02.493    Service scanning
    19:25:03.416    Disk 0 trace - called modules:
    19:25:03.521    ntkrnlpa.exe CLASSPNP.SYS disk.sys amdxata.sys ACPI.sys halmacpi.dll storport.sys amdsata.sys 
    19:25:03.532    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85998460]
    19:25:03.546    3 CLASSPNP.SYS[883ab59e] -> nt!IofCallDriver -> [0x85969c70]
    19:25:03.561    5 amdxata.sys[8817a7b6] -> nt!IofCallDriver -> [0x859691e0]
    19:25:03.572    7 ACPI.sys[833a53b2] -> nt!IofCallDriver -> \Device\00000057[0x85965030]
    19:25:05.098    AVAST engine scan C:\Windows
    19:57:47.952    Disk 0 MBR has been saved successfully to "C:\Users\Administrator\Desktop\MBR.dat"
    19:57:47.954    The log file has been saved successfully to "C:\Users\Administrator\Desktop\aswMBR.txt"
             
  5. Das neue OTL Logfile:
    Code:
    ATTFilter
    OTL logfile created on: 27.06.2011 19:58:38 - Run 2
    OTL by OldTimer - Version 3.2.24.1     Folder = C:\Users\Administrator\Desktop
     Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7600.16385)
    Locale: 00000c07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
     
    1,75 Gb Total Physical Memory | 0,59 Gb Available Physical Memory | 33,95% Memory free
    6,98 Gb Paging File | 5,61 Gb Available in Paging File | 80,28% Paging File free
    Paging file location(s): [Binary data over 100 bytes]
     
    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
    Drive C: | 153,68 Gb Total Space | 41,94 Gb Free Space | 27,29% Space Free | Partition Type: NTFS
    Drive D: | 78,03 Gb Total Space | 2,94 Gb Free Space | 3,77% Space Free | Partition Type: NTFS
     
    Computer Name: DENNIS-PC | User Name: Administrator | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user | Quick Scan
    Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
     
    ========== Processes (SafeList) ==========
     
    PRC - C:\Users\Administrator\Desktop\OTL.exe (OldTimer Tools)
    PRC - C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
    PRC - C:\Programme\Google\Update\1.3.21.57\GoogleCrashHandler.exe (Google Inc.)
    PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
    PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
    PRC - C:\Programme\Real\RealPlayer\Update\realsched.exe (RealNetworks, Inc.)
    PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
    PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
    PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
    PRC - C:\Windows\explorer.exe (Microsoft Corporation)
    PRC - C:\Users\Administrator\AppData\Local\Apps\2.0\W55HJDXV.742\KR5R0CNL.RO1\curs..tion_eee711038731a406_0004.0000_efb506202a7c3b08\CurseClient.exe (Curse)
    PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
    PRC - C:\Programme\MSN Toolbar\Platform\6.3.2322.0\mswinext.exe (Microsoft Corp.)
    PRC - C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation)
    PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
    PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corp.)
    PRC - C:\Programme\IObit\IObit SmartDefrag\IObit SmartDefrag.exe (IObit)
    PRC - C:\Programme\DAEMON Tools Pro\DTShellHlp.exe (DT Soft Ltd)
    PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
    PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
    PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
    PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
    PRC - C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(Beijing)Limited)
    PRC - C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
     
     
    ========== Modules (SafeList) ==========
     
    MOD - C:\Users\Administrator\Desktop\OTL.exe (OldTimer Tools)
    MOD - C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\msvcr90.dll (Microsoft Corporation)
    MOD - C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\msvcp90.dll (Microsoft Corporation)
    MOD - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchrome10browserrecordhelper.dll (RealNetworks, Inc.)
    MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
     
     
    ========== Win32 Services (SafeList) ==========
     
    SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
    SRV - (npggsvc) -- C:\Windows\System32\GameMon.des (INCA Internet Co., Ltd.)
    SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
    SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
    SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
    SRV - (SUService) -- C:\Program Files\Lenovo\System Update\SUService.exe (Lenovo Group Limited)
    SRV - (Steam Client Service) -- C:\Program Files\Common Files\Steam\SteamService.exe (Valve Corporation)
    SRV - (AcSvc) -- C:\Programme\Lenovo\Access Connections\AcSvc.exe (Lenovo)
    SRV - (AcPrfMgrSvc) -- C:\Programme\Lenovo\Access Connections\AcPrfMgrSvc.exe (Lenovo)
    SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
    SRV - (PCToolsSSDMonitorSvc) -- C:\Programme\Common Files\PC Tools\sMonitor\StartManSvc.exe (PC Tools)
    SRV - (AMD External Events Utility) -- C:\Windows\System32\atiesrxx.exe (AMD)
    SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
    SRV - (WindowBlinds) -- C:\Programme\Stardock\MyColors\VistaSrv.exe (Stardock Corporation)
    SRV - (SBSDWSCService) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
     
     
    ========== Driver Services (SafeList) ==========
     
    DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)
    DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
    DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
    DRV - (SRS_AudioFusion_Service) -- C:\Windows\System32\drivers\SRS_AudioFusion_i386.sys ()
    DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
    DRV - (SaiNtBus) -- C:\Windows\System32\drivers\SaiBus.sys (Saitek)
    DRV - (SaiMini) -- C:\Windows\System32\drivers\SaiMini.sys (Saitek)
    DRV - (SaiK0CFA) -- C:\Windows\System32\drivers\SaiK0CFA.sys (Saitek)
    DRV - (SaiU0CFA) -- C:\Windows\System32\drivers\SaiU0CFA.sys (Saitek)
    DRV - (SCDEmu) -- C:\Windows\System32\drivers\scdemu.sys (PowerISO Computing, Inc.)
    DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.)
    DRV - (Cam5607) -- C:\Windows\System32\drivers\BisonC07.sys (Bison Electronics. Inc. )
    DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
    DRV - (L1C) -- C:\Windows\System32\drivers\L1C62x86.sys (Atheros Communications, Inc.)
    DRV - (usbfilter) -- C:\Windows\System32\drivers\usbfilter.sys (Advanced Micro Devices)
    DRV - (RSUSBSTOR) -- C:\Windows\System32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
    DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
    DRV - (AtiPcie) AMD PCI Express (3GIO) -- C:\Windows\system32\DRIVERS\AtiPcie.sys (Advanced Micro Devices Inc.)
    DRV - (wsvd) -- C:\Windows\System32\drivers\wsvd.sys (CyberLink)
    DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
    DRV - (WimFltr) -- C:\Windows\System32\drivers\WimFltr.sys (Microsoft Corporation)
    DRV - (SaiK0728) -- C:\Windows\System32\drivers\SaiK0728.sys (Saitek)
    DRV - (ACPIVPC) -- C:\Windows\System32\drivers\AcpiVpc.sys (Lenovo Corporation)
    DRV - (psadd) -- C:\Windows\System32\drivers\psadd.sys (Lenovo (United States) Inc.)
     
     
    ========== Standard Registry (SafeList) ==========
     
     
    ========== Internet Explorer ==========
     
    IE - HKLM\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
    IE - HKLM\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
    IE - HKLM\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
     
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://at.msn.com/?ocid=iehp
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-at
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 03 5B 60 61 79 69 CB 01  [binary data]
    IE - HKCU\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
     
    ========== FireFox ==========
     
    FF - prefs.js..browser.search.defaultenginename: "Yahoo"
    FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_DE Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851647&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950"
    FF - prefs.js..browser.search.selectedEngine: "Google"
    FF - prefs.js..browser.startup.homepage: "hxxp://www.google.com/ig"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=toolbar2&q="
    FF - prefs.js..network.proxy.http: "127.0.0.1"
    FF - prefs.js..network.proxy.http_port: 49798
    FF - prefs.js..network.proxy.type: 0
     
     
    FF - HKLM\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video [2011.03.13 19:28:40 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa [2011.03.13 19:28:40 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.04.28 20:56:01 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.04.28 20:55:53 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.04.28 20:56:19 | 000,000,000 | ---D | M]
     
    [2010.10.14 20:00:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Administrator\AppData\Roaming\mozilla\Extensions
    [2011.06.27 19:16:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\0q27vfov.default\extensions
    [2011.05.22 20:40:15 | 000,000,000 | ---D | M] (IE Tab 2 (FF 3.6+)) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\0q27vfov.default\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB}
    [2011.06.23 13:09:09 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\0q27vfov.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    [2011.05.07 08:23:55 | 000,000,000 | ---D | M] (Battlefield Play4Free) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\0q27vfov.default\extensions\battlefieldplay4free@ea.com
    [2010.12.16 13:56:14 | 000,000,931 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\0q27vfov.default\searchplugins\conduit.xml
    [2010.10.14 20:01:12 | 000,010,017 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\0q27vfov.default\searchplugins\mywebsearch.xml
    [2011.05.20 21:44:33 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
    [2010.07.02 16:36:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010.09.02 17:21:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010.12.16 14:31:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    [2011.04.26 18:15:44 | 000,000,000 | ---D | M] ("Babylon Spelling and Proofreading") -- C:\Programme\Mozilla Firefox\extensions\adapter@babylontc.com
    File not found (No name found) -- 
    [2010.07.02 16:36:38 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010.09.02 17:21:39 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010.12.16 14:31:09 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    [2011.04.26 18:15:44 | 000,000,000 | ---D | M] ("Babylon Spelling and Proofreading") -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\ADAPTER@BABYLONTC.COM
    [2011.04.28 20:56:01 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMDATA\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
    () (No name found) -- C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0Q27VFOV.DEFAULT\EXTENSIONS\{20A82645-C095-46ED-80E3-08825760534B}.XPI
    () (No name found) -- C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0Q27VFOV.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
    () (No name found) -- C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0Q27VFOV.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM.XPI
    [2011.03.18 19:56:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
    [2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
    [2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
    [2011.04.26 18:13:26 | 000,002,226 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
    [2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
    [2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
    [2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
    [2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
    [2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
     
    Hosts file not found
    O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
    O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
    O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)
    O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
    O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
    O2 - BHO: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
    O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
    O2 - BHO: (Windows Live Messenger Companion Helper) - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Programme\Windows Live\Companion\companioncore.dll (Microsoft Corporation)
    O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
    O2 - BHO: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
    O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
    O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll (Microsoft Corporation)
    O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (@C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Programme\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll (Microsoft Corporation)
    O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Toolbar) - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar_DE Toolbar) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
    O4 - HKLM..\Run: [Energy Management] C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
    O4 - HKLM..\Run: [EnergyUtility] C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(Beijing)Limited)
    O4 - HKLM..\Run: [Google Quick Search Box] C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
    O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
    O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\update\realsched.exe (RealNetworks, Inc.)
    O4 - Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
    O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll (Google Inc.)
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
    O8 - Extra context menu item: Translate this web page with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
    O8 - Extra context menu item: Translate with Babylon - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
    O9 - Extra Button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Programme\Windows Live\Companion\companioncore.dll (Microsoft Corporation)
    O9 - Extra Button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
    O9 - Extra 'Tools' menuitem : @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
    O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
    O13 - gopher Prefix: missing
    O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet)
    O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
    O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Value error.)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
    O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
    O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
    O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
    O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
    O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
    O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
    O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
    O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~3\GO36F4~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
    O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
    O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
    O33 - MountPoints2\H\Shell - "" = AutoRun
    O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\SETUP.EXE
    O33 - MountPoints2\H\Shell\configure\command - "" = H:\SETUP.EXE
    O33 - MountPoints2\H\Shell\install\command - "" = H:\SETUP.EXE
    O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37 - HKLM\...com [@ = comfile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*
     
    ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
    ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
    ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
    ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
    ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
    ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
    ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
    ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
    ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
    ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
    ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
    ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
    ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
    ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
    ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
    ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
    ActiveX: {813F6F5A-6E3E-EC7C-366E-1E751DE810EB} - Internet Explorer
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
    ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
    ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
    ActiveX: {A2FF36F0-660C-4D5A-235B-606D609F11AA} - .NET Framework
    ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
    ActiveX: {D0477A63-436C-581A-D156-7E7B6074FACB} - .NET Framework
    ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
    ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
    ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
    ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
    ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
     
    NetSvcs: FastUserSwitchingCompatibility -  File not found
    NetSvcs: Ias -  File not found
    NetSvcs: Nla -  File not found
    NetSvcs: Ntmssvc -  File not found
    NetSvcs: NWCWorkstation -  File not found
    NetSvcs: Nwsapagent -  File not found
    NetSvcs: SRService -  File not found
    NetSvcs: WmdmPmSp -  File not found
    NetSvcs: LogonHours -  File not found
    NetSvcs: PCAudit -  File not found
    NetSvcs: helpsvc -  File not found
    NetSvcs: uploadmgr -  File not found
     
    MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SRS AudioFusion.lnk - C:\Programme\SRS Labs\SRS AudioFusion\srspremiumpanel.exe - (SRS Labs, Inc.)
    MsConfig - StartUpFolder: C:^Users^Administrator^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^CurseClientStartup.ccip - C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip - ()
    MsConfig - StartUpFolder: C:^Users^Dennis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RocketDock (2).lnk - C:\Programme\RocketDock\RocketDock.exe - ()
    MsConfig - StartUpFolder: C:^Users^Dennis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Xfire.lnk - C:\Programme\Xfire\Xfire.exe - (Xfire Inc.)
    MsConfig - StartUpReg: AcWin7Hlpr - hkey= - key= - C:\Programme\Lenovo\Access Connections\AcTBenabler.exe (Lenovo)
    MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
    MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
    MsConfig - StartUpReg: AppleSyncNotifier - hkey= - key= - C:\Programme\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
    MsConfig - StartUpReg: avgnt - hkey= - key= - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
    MsConfig - StartUpReg: cAudioFilterAgent - hkey= - key= - C:\Programme\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe (Conexant Systems, Inc.)
    MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
    MsConfig - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
    MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Program Files\iTunes\iTunesHelper.exe (Apple Inc.)
    MsConfig - StartUpReg: ProfilerU - hkey= - key= - C:\Programme\Saitek\SD6\Software\ProfilerU.exe (Saitek)
    MsConfig - StartUpReg: PWRISOVM.EXE - hkey= - key= - C:\Programme\PowerISO\PWRISOVM.EXE (PowerISO Computing, Inc.)
    MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Program Files\QuickTime\QTTask.exe (Apple Inc.)
    MsConfig - StartUpReg: SaiMfd - hkey= - key= - C:\Programme\Saitek\SD6\Software\SaiMfd.exe (Saitek)
    MsConfig - StartUpReg: SaiVolume - hkey= - key= - C:\Programme\Saitek\CyborgKeyboard\SaiVolume.exe (Saitek)
    MsConfig - StartUpReg: SmartAudio - hkey= - key= - C:\Program Files\CONEXANT\SAII\SAIICpl.exe ()
    MsConfig - StartUpReg: SSDMonitor - hkey= - key= - C:\Programme\Common Files\PC Tools\sMonitor\SSDMonitor.exe (PC Tools)
    MsConfig - StartUpReg: StartCCC - hkey= - key= - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
    MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Program Files\Common Files\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
    MsConfig - StartUpReg: VirusKeeper - hkey= - key= -  File not found
    MsConfig - State: "services" - 2
    MsConfig - State: "startup" - 1
    
     
    ========== Files/Folders - Created Within 30 Days ==========
     
    [2011.06.27 19:18:41 | 001,904,128 | ---- | C] (AVAST Software) -- C:\Users\Administrator\Desktop\aswMBR.exe
    [2011.06.27 19:12:05 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Local\Conduit
    [2011.06.27 13:22:09 | 000,000,000 | ---D | C] -- C:\Users\Administrator\Desktop\RealUI 0612
    [2011.06.27 12:09:11 | 000,579,072 | ---- | C] (OldTimer Tools) -- C:\Users\Administrator\Desktop\OTL.exe
    [2011.06.26 22:50:35 | 000,000,000 | -H-D | C] -- C:\Windows\PIF
    [2011.06.26 21:29:44 | 000,000,000 | ---D | C] -- C:\ProgramData\bL28601DaMcK28601
    [2011.06.24 10:38:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth
    [2011.06.22 19:34:53 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\RIFT
    [2011.06.22 19:34:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RIFT
    [2011.06.22 19:34:45 | 000,000,000 | ---D | C] -- C:\Programme\RIFT Game
    [2011.06.22 07:50:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
    [2011.06.20 19:16:22 | 000,000,000 | ---D | C] -- C:\Users\Administrator\Desktop\LeilaUI 3.13
    [2011.06.18 09:43:48 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
    [2011.06.16 13:23:54 | 000,000,000 | ---D | C] -- C:\Users\Administrator\dwhelper
    [2011.06.11 22:47:19 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Malwarebytes
    [2011.06.11 22:46:37 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
    [2011.06.11 22:46:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
    [2011.06.11 22:46:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
    [2011.06.11 22:46:31 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
    [2011.06.11 22:46:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
    [2011.06.10 21:15:42 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\chessimo
    [2011.06.10 21:15:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\chessimo
    [2011.06.10 21:15:26 | 000,000,000 | ---D | C] -- C:\Programme\chessimo
    [2011.06.10 21:15:26 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\8 x 8 Media AG
    [2011.06.10 21:15:25 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
    [2011.06.07 13:06:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpywareBlaster
    [2011.06.07 12:56:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    [2011.05.30 14:47:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo
    [3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2 C:\*.tmp files -> C:\*.tmp -> ]
    [1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
     
    ========== Files - Modified Within 30 Days ==========
     
    [2011.06.27 19:57:47 | 000,000,512 | ---- | M] () -- C:\Users\Administrator\Desktop\MBR.dat
    [2011.06.27 19:19:04 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
    [2011.06.27 19:19:02 | 001,904,128 | ---- | M] (AVAST Software) -- C:\Users\Administrator\Desktop\aswMBR.exe
    [2011.06.27 19:11:53 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
    [2011.06.27 19:09:00 | 000,001,122 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1140944107-3424129360-3757389648-1000UA.job
    [2011.06.27 19:02:25 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
    [2011.06.27 19:02:24 | 000,000,398 | ---- | M] () -- C:\Windows\tasks\AutoSmartDefrag.job
    [2011.06.27 18:55:26 | 000,015,008 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    [2011.06.27 18:55:26 | 000,015,008 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    [2011.06.27 18:48:07 | 000,000,326 | -HS- | M] () -- C:\Windows\tasks\YUGMFTV.job
    [2011.06.27 18:48:07 | 000,000,304 | ---- | M] () -- C:\Windows\tasks\BearShareNAG.job
    [2011.06.27 18:48:02 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
    [2011.06.27 18:47:55 | 1406,300,160 | -HS- | M] () -- C:\hiberfil.sys
    [2011.06.27 15:00:11 | 000,000,400 | ---- | M] () -- C:\Windows\tasks\SmartDefrag.job
    [2011.06.27 13:32:01 | 000,000,728 | ---- | M] () -- C:\Users\Public\Desktop\World of Warcraft.lnk
    [2011.06.27 13:13:38 | 000,027,484 | ---- | M] () -- C:\Users\Administrator\Desktop\Logfiles.zip
    [2011.06.27 12:33:26 | 000,302,592 | ---- | M] () -- C:\Users\Administrator\Desktop\c06dgghb.exe
    [2011.06.27 12:09:21 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Users\Administrator\Desktop\OTL.exe
    [2011.06.27 12:05:08 | 000,000,020 | ---- | M] () -- C:\Users\Administrator\defogger_reenable
    [2011.06.27 12:03:04 | 000,050,477 | ---- | M] () -- C:\Users\Administrator\Desktop\Defogger.exe
    [2011.06.26 23:15:41 | 000,000,150 | ---- | M] () -- C:\Users\Administrator\Desktop\rk-proxy.reg
    [2011.06.26 23:12:02 | 001,007,120 | ---- | M] () -- C:\Users\Administrator\Desktop\duadas.exe
    [2011.06.26 23:01:29 | 000,005,996 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\DACE.97A
    [2011.06.26 20:09:00 | 000,001,070 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1140944107-3424129360-3757389648-1000Core.job
    [2011.06.26 10:05:41 | 000,518,050 | ---- | M] () -- C:\Users\Administrator\Desktop\Unbenannt.PNG
    [2011.06.24 10:38:56 | 000,002,170 | ---- | M] () -- C:\Users\Public\Desktop\Google Earth.lnk
    [2011.06.22 07:50:33 | 000,002,503 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
    [2011.06.20 19:12:48 | 000,095,049 | ---- | M] () -- C:\Users\Administrator\Desktop\IceHUD_RealUI.lua
    [2011.06.20 14:12:59 | 000,949,916 | ---- | M] () -- C:\Windows\System32\perfh007.dat
    [2011.06.20 14:12:59 | 000,704,552 | ---- | M] () -- C:\Windows\System32\perfh009.dat
    [2011.06.20 14:12:59 | 000,222,136 | ---- | M] () -- C:\Windows\System32\perfc007.dat
    [2011.06.20 14:12:59 | 000,189,032 | ---- | M] () -- C:\Windows\System32\perfc009.dat
    [2011.06.11 22:03:34 | 000,015,068 | -HS- | M] () -- C:\Users\Administrator\AppData\Local\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
    [2011.06.11 22:03:34 | 000,015,068 | -HS- | M] () -- C:\ProgramData\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
    [2011.06.11 18:58:04 | 000,004,107 | ---- | M] () -- C:\Windows\wininit.ini
    [2011.06.11 14:11:05 | 000,001,246 | ---- | M] () -- C:\Users\Administrator\Desktop\Spybot - Search & Destroy.lnk
    [2011.06.11 13:32:32 | 000,449,928 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
    [2011.06.11 10:49:21 | 000,166,400 | RHS- | M] () -- C:\Windows\System32\KBDINMALV.dll
    [2011.06.11 10:45:29 | 000,000,152 | ---- | M] () -- C:\Windows\System32\sysplog2.dll
    [2011.06.11 10:45:29 | 000,000,152 | ---- | M] () -- C:\Windows\System32\sysplog.dll
    [2011.06.10 21:15:42 | 000,000,997 | ---- | M] () -- C:\Users\Public\Desktop\chessimo.lnk
    [2011.06.10 19:08:58 | 000,000,129 | ---- | M] () -- C:\Users\Administrator\jagex_runescape_preferences2.dat
    [2011.06.10 19:07:59 | 000,000,034 | ---- | M] () -- C:\Users\Administrator\jagex_runescape_preferences.dat
    [2011.06.07 13:06:07 | 000,000,973 | ---- | M] () -- C:\Users\Administrator\Desktop\SpywareBlaster.lnk
    [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
    [2011.05.29 09:11:20 | 000,022,712 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
    [3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2 C:\*.tmp files -> C:\*.tmp -> ]
    [1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
     
    ========== Files Created - No Company Name ==========
     
    [2011.06.27 19:57:47 | 000,000,512 | ---- | C] () -- C:\Users\Administrator\Desktop\MBR.dat
    [2011.06.27 13:13:38 | 000,027,484 | ---- | C] () -- C:\Users\Administrator\Desktop\Logfiles.zip
    [2011.06.27 12:33:18 | 000,302,592 | ---- | C] () -- C:\Users\Administrator\Desktop\c06dgghb.exe
    [2011.06.27 12:04:42 | 000,000,020 | ---- | C] () -- C:\Users\Administrator\defogger_reenable
    [2011.06.27 12:03:02 | 000,050,477 | ---- | C] () -- C:\Users\Administrator\Desktop\Defogger.exe
    [2011.06.26 23:15:41 | 000,000,150 | ---- | C] () -- C:\Users\Administrator\Desktop\rk-proxy.reg
    [2011.06.26 23:11:45 | 001,007,120 | ---- | C] () -- C:\Users\Administrator\Desktop\duadas.exe
    [2011.06.26 21:33:00 | 000,005,996 | ---- | C] () -- C:\Users\Administrator\AppData\Roaming\DACE.97A
    [2011.06.26 09:56:45 | 000,095,049 | ---- | C] () -- C:\Users\Administrator\Desktop\IceHUD_RealUI.lua
    [2011.06.24 10:38:56 | 000,002,170 | ---- | C] () -- C:\Users\Public\Desktop\Google Earth.lnk
    [2011.06.22 07:50:33 | 000,002,503 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
    [2011.06.13 12:57:16 | 000,000,044 | ---- | C] () -- C:\Users\Administrator\Desktop\Track05.cda
    [2011.06.13 12:57:16 | 000,000,044 | ---- | C] () -- C:\Users\Administrator\Desktop\Track04.cda
    [2011.06.13 12:57:16 | 000,000,044 | ---- | C] () -- C:\Users\Administrator\Desktop\Track03.cda
    [2011.06.13 12:57:16 | 000,000,044 | ---- | C] () -- C:\Users\Administrator\Desktop\Track02.cda
    [2011.06.13 12:57:16 | 000,000,044 | ---- | C] () -- C:\Users\Administrator\Desktop\Track01.cda
    [2011.06.11 20:32:30 | 000,015,068 | -HS- | C] () -- C:\Users\Administrator\AppData\Local\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
    [2011.06.11 20:32:30 | 000,015,068 | -HS- | C] () -- C:\ProgramData\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
    [2011.06.11 14:33:23 | 000,004,107 | ---- | C] () -- C:\Windows\wininit.ini
    [2011.06.11 10:49:21 | 000,166,400 | RHS- | C] () -- C:\Windows\System32\KBDINMALV.dll
    [2011.06.11 10:49:21 | 000,000,326 | -HS- | C] () -- C:\Windows\tasks\YUGMFTV.job
    [2011.06.10 21:16:36 | 000,000,152 | ---- | C] () -- C:\Windows\System32\sysplog2.dll
    [2011.06.10 21:16:28 | 000,000,152 | ---- | C] () -- C:\Windows\System32\sysplog.dll
    [2011.06.10 21:15:42 | 000,000,997 | ---- | C] () -- C:\Users\Public\Desktop\chessimo.lnk
    [2011.06.07 13:06:07 | 000,000,973 | ---- | C] () -- C:\Users\Administrator\Desktop\SpywareBlaster.lnk
    [2011.06.07 12:56:17 | 000,001,246 | ---- | C] () -- C:\Users\Administrator\Desktop\Spybot - Search & Destroy.lnk
    [2011.05.31 15:51:36 | 013,322,449 | ---- | C] () -- C:\Users\Administrator\Desktop\wowszene.de_Hoerspiel-Pinkcraft_01.mp3
    [2011.05.29 20:20:41 | 029,118,798 | ---- | C] () -- C:\Users\Administrator\Desktop\AllimaniaDNG2.mp3
    [2011.05.29 20:20:22 | 029,564,761 | ---- | C] () -- C:\Users\Administrator\Desktop\justnetwork.eu_AllimaniaDNG1.mp3
    [2011.05.07 12:12:25 | 000,138,264 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
    [2011.05.07 12:12:24 | 000,138,056 | ---- | C] () -- C:\Users\Administrator\AppData\Roaming\PnkBstrK.sys
    [2011.05.07 12:11:54 | 000,234,768 | ---- | C] () -- C:\Windows\System32\PnkBstrB.exe
    [2011.05.07 12:11:18 | 000,075,136 | ---- | C] () -- C:\Windows\System32\PnkBstrA.exe
    [2011.03.13 20:14:06 | 000,390,944 | ---- | C] () -- C:\Windows\System32\drivers\SRS_AudioFusion_i386.sys
    [2010.12.01 10:06:58 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
    [2010.10.14 20:58:05 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
    [2010.10.14 20:00:49 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
    [2010.07.09 21:04:40 | 000,041,872 | ---- | C] () -- C:\Windows\System32\xfcodec.dll
    [2010.07.01 20:16:11 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
    [2010.07.01 20:10:06 | 000,015,190 | ---- | C] () -- C:\Windows\M3000Twn.ini
    [2010.07.01 20:02:18 | 000,006,088 | ---- | C] () -- C:\Windows\System32\drivers\CDConfig.bin
    [2009.10.22 17:59:00 | 000,196,565 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
    [2009.07.14 10:47:43 | 000,949,916 | ---- | C] () -- C:\Windows\System32\perfh007.dat
    [2009.07.14 10:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
    [2009.07.14 10:47:43 | 000,222,136 | ---- | C] () -- C:\Windows\System32\perfc007.dat
    [2009.07.14 10:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
    [2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
    [2009.07.14 06:33:53 | 000,449,928 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
    [2009.07.14 04:05:48 | 000,704,552 | ---- | C] () -- C:\Windows\System32\perfh009.dat
    [2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
    [2009.07.14 04:05:48 | 000,189,032 | ---- | C] () -- C:\Windows\System32\perfc009.dat
    [2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
    [2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
    [2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
    [2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
    [2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
    [2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
    [2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
    [2009.06.09 10:55:58 | 000,057,904 | ---- | C] () -- C:\Windows\System32\wbload.dll
    [2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\Windows\System32\qt-dx331.dll
     
    ========== LOP Check ==========
     
    [2011.05.13 22:05:16 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\.minecraft
    [2011.06.10 21:15:26 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\8 x 8 Media AG
    [2011.04.26 22:48:06 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Babylon
    [2011.02.20 03:10:05 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\CheckPoint
    [2011.06.06 09:17:09 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\IObit
    [2011.03.12 09:11:04 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Notepad++
    [2011.03.13 19:55:04 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Pegasys Inc
    [2011.06.22 19:36:30 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\RIFT
    [2011.01.25 03:16:54 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\SC2Builds
    [2011.05.20 22:40:41 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\TS3Client
    [2011.02.17 16:58:22 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Unity
    [2011.05.09 15:40:30 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\USM
    [2011.06.27 19:09:42 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\uTorrent
    [2011.03.17 14:31:30 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\Webocton - Scriptly
    [2011.06.12 08:31:13 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\WinPump
    [2011.06.27 19:02:24 | 000,000,398 | ---- | M] () -- C:\Windows\Tasks\AutoSmartDefrag.job
    [2011.06.27 18:48:07 | 000,000,304 | ---- | M] () -- C:\Windows\Tasks\BearShareNAG.job
    [2011.05.01 20:10:36 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
    [2011.06.27 15:00:11 | 000,000,400 | ---- | M] () -- C:\Windows\Tasks\SmartDefrag.job
    [2011.06.27 18:48:07 | 000,000,326 | -HS- | M] () -- C:\Windows\Tasks\YUGMFTV.job
     
    ========== Purity Check ==========
     
     
     
    ========== Custom Scans ==========
     
     
    < %SYSTEMDRIVE%\*. >
    [2010.09.28 21:26:50 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
    [2010.07.02 16:37:17 | 000,000,000 | ---D | M] -- C:\.jagex_cache_32
    [2010.10.03 18:06:14 | 000,000,000 | ---D | M] -- C:\c4294f6df585566ab7b86a3731
    [2011.06.27 19:10:56 | 000,000,000 | -H-D | M] -- C:\Config.Msi
    [2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
    [2010.07.01 19:32:23 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
    [2011.03.31 20:53:18 | 000,000,000 | ---D | M] -- C:\Drivers
    [2010.11.28 21:25:19 | 000,000,000 | ---D | M] -- C:\Games
    [2011.05.10 16:56:07 | 000,000,000 | ---D | M] -- C:\Goldfinger 8 XD
    [2010.07.02 15:58:34 | 000,000,000 | ---D | M] -- C:\IExp0.tmp
    [2010.07.02 15:58:44 | 000,000,000 | ---D | M] -- C:\IExp1.tmp
    [2010.10.19 23:12:35 | 000,000,000 | ---D | M] -- C:\Modelview
    [2010.09.12 13:55:04 | 000,000,000 | RH-D | M] -- C:\MSOCache
    [2009.07.14 04:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs
    [2011.06.27 19:13:15 | 000,000,000 | R--D | M] -- C:\Programme
    [2011.06.27 19:09:07 | 000,000,000 | -H-D | M] -- C:\ProgramData
    [2010.07.01 19:32:23 | 000,000,000 | -HSD | M] -- C:\Programme
    [2011.04.25 22:32:17 | 000,000,000 | ---D | M] -- C:\PTR Installer 4.0.0.12824 enGB
    [2010.07.01 19:32:24 | 000,000,000 | -HSD | M] -- C:\Recovery
    [2010.10.06 20:41:54 | 000,000,000 | ---D | M] -- C:\Rico
    [2011.06.26 19:27:44 | 000,000,000 | -HSD | M] -- C:\System Volume Information
    [2010.09.28 21:26:34 | 000,000,000 | R--D | M] -- C:\Users
    [2010.12.01 11:11:33 | 000,000,000 | ---D | M] -- C:\WebCD
    [2011.06.26 22:50:35 | 000,000,000 | ---D | M] -- C:\Windows
    [2011.05.24 18:17:46 | 000,000,000 | ---D | M] -- C:\World of Warcraft Public Test
     
    < %PROGRAMFILES%\*.exe >
     
    < %PROGRAMFILES%\*. >
    [2010.07.21 13:15:59 | 000,000,000 | ---D | M] -- C:\Programme\7zip2
    [2011.03.31 20:40:00 | 000,000,000 | ---D | M] -- C:\Programme\Adobe
    [2011.04.28 20:59:32 | 000,000,000 | ---D | M] -- C:\Programme\Alwil Software
    [2010.07.01 20:01:41 | 000,000,000 | ---D | M] -- C:\Programme\AMD
    [2010.07.01 20:09:30 | 000,000,000 | ---D | M] -- C:\Programme\Apoint2K
    [2010.11.21 15:38:21 | 000,000,000 | ---D | M] -- C:\Programme\Apple Software Update
    [2011.02.19 10:39:15 | 000,000,000 | ---D | M] -- C:\Programme\Atari
    [2010.07.01 19:56:40 | 000,000,000 | ---D | M] -- C:\Programme\ATI
    [2010.07.01 20:01:26 | 000,000,000 | ---D | M] -- C:\Programme\ATI Technologies
    [2011.03.28 13:48:27 | 000,000,000 | ---D | M] -- C:\Programme\Avira
    [2011.03.27 22:23:57 | 000,000,000 | ---D | M] -- C:\Programme\AxBx
    [2011.04.26 18:15:35 | 000,000,000 | ---D | M] -- C:\Programme\Babylon
    [2011.05.16 00:09:21 | 000,000,000 | ---D | M] -- C:\Programme\Bing Bar Installer
    [2010.07.01 20:10:05 | 000,000,000 | ---D | M] -- C:\Programme\BisonCam
    [2010.11.21 15:37:30 | 000,000,000 | ---D | M] -- C:\Programme\Bonjour
    [2011.05.27 15:44:28 | 000,000,000 | ---D | M] -- C:\Programme\Cabal
    [2010.09.25 22:01:25 | 000,000,000 | ---D | M] -- C:\Programme\capella-software
    [2011.03.28 13:47:06 | 000,000,000 | ---D | M] -- C:\Programme\CheckPoint
    [2011.06.10 21:15:37 | 000,000,000 | ---D | M] -- C:\Programme\chessimo
    [2011.06.22 07:50:19 | 000,000,000 | ---D | M] -- C:\Programme\Common Files
    [2010.07.03 23:31:55 | 000,000,000 | ---D | M] -- C:\Programme\Conduit
    [2011.06.27 19:12:08 | 000,000,000 | ---D | M] -- C:\Programme\ConduitEngine
    [2010.07.01 20:03:05 | 000,000,000 | ---D | M] -- C:\Programme\CONEXANT
    [2010.08.20 15:01:57 | 000,000,000 | ---D | M] -- C:\Programme\DAEMON Tools Pro
    [2011.03.28 17:02:27 | 000,000,000 | ---D | M] -- C:\Programme\Der Schreibtrainer
    [2010.07.01 20:01:43 | 000,000,000 | ---D | M] -- C:\Programme\DIFX
    [2011.03.13 19:53:59 | 000,000,000 | ---D | M] -- C:\Programme\DivX
    [2011.03.19 22:35:21 | 000,000,000 | ---D | M] -- C:\Programme\Driver Whiz
    [2009.07.14 10:56:54 | 000,000,000 | ---D | M] -- C:\Programme\DVD Maker
    [2010.07.03 23:37:51 | 000,000,000 | ---D | M] -- C:\Programme\DVDVideoSoft
    [2011.05.07 08:24:32 | 000,000,000 | ---D | M] -- C:\Programme\EA Games
    [2011.01.13 15:36:46 | 000,000,000 | ---D | M] -- C:\Programme\FreeApps
    [2010.07.11 23:00:25 | 000,000,000 | ---D | M] -- C:\Programme\Game_Maker8
    [2010.07.01 19:32:23 | 000,000,000 | -HSD | M] -- C:\Programme\Gemeinsame Dateien
    [2011.06.23 23:27:48 | 000,000,000 | ---D | M] -- C:\Programme\Google
    [2011.06.22 19:34:49 | 000,000,000 | -H-D | M] -- C:\Programme\InstallShield Installation Information
    [2011.06.18 09:56:04 | 000,000,000 | ---D | M] -- C:\Programme\Internet Explorer
    [2011.01.15 14:42:05 | 000,000,000 | ---D | M] -- C:\Programme\IObit
    [2010.12.19 20:44:19 | 000,000,000 | ---D | M] -- C:\Programme\iPod
    [2010.12.19 20:45:13 | 000,000,000 | ---D | M] -- C:\Programme\iTunes
    [2010.12.16 14:30:53 | 000,000,000 | ---D | M] -- C:\Programme\Java
    [2011.01.23 20:39:20 | 000,000,000 | ---D | M] -- C:\Programme\Lavalys
    [2011.05.30 14:47:09 | 000,000,000 | ---D | M] -- C:\Programme\Lenovo
    [2011.06.11 22:47:15 | 000,000,000 | ---D | M] -- C:\Programme\Malwarebytes' Anti-Malware
    [2011.05.16 00:08:59 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft
    [2011.04.27 22:38:47 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Analysis Services
    [2009.07.14 10:56:50 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Games
    [2011.04.27 22:49:34 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Office
    [2011.06.19 16:30:26 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Silverlight
    [2011.05.16 00:16:19 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft SQL Server Compact Edition
    [2011.04.27 22:49:55 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Visual Studio
    [2010.09.12 13:57:03 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Visual Studio 8
    [2011.04.27 22:49:30 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Works
    [2011.04.27 22:49:29 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft.NET
    [2011.04.28 00:30:19 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox
    [2011.04.27 22:49:55 | 000,000,000 | ---D | M] -- C:\Programme\MSBuild
    [2011.05.16 00:08:53 | 000,000,000 | ---D | M] -- C:\Programme\MSN Toolbar
    [2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\Notepad++
    [2011.02.19 10:21:04 | 000,000,000 | ---D | M] -- C:\Programme\PowerISO
    [2010.12.19 20:38:37 | 000,000,000 | ---D | M] -- C:\Programme\QuickTime
    [2011.04.28 20:09:31 | 000,000,000 | ---D | M] -- C:\Programme\RAR Password Cracker
    [2011.04.04 16:27:10 | 000,000,000 | ---D | M] -- C:\Programme\Razer
    [2011.04.28 20:56:09 | 000,000,000 | ---D | M] -- C:\Programme\Real
    [2010.07.01 20:06:04 | 000,000,000 | ---D | M] -- C:\Programme\Realtek
    [2009.07.14 06:52:30 | 000,000,000 | ---D | M] -- C:\Programme\Reference Assemblies
    [2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\Registry Mechanic
    [2011.06.22 19:37:37 | 000,000,000 | ---D | M] -- C:\Programme\RIFT Game
    [2010.08.19 00:13:39 | 000,000,000 | ---D | M] -- C:\Programme\RocketDock
    [2010.12.19 20:39:51 | 000,000,000 | ---D | M] -- C:\Programme\Safari
    [2011.03.28 13:47:20 | 000,000,000 | ---D | M] -- C:\Programme\Saitek
    [2011.01.16 16:45:20 | 000,000,000 | ---D | M] -- C:\Programme\SC2 Replay Catcher
    [2011.06.22 07:50:33 | 000,000,000 | R--D | M] -- C:\Programme\Skype
    [2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\softonic-de3
    [2010.07.02 16:18:21 | 000,000,000 | ---D | M] -- C:\Programme\Sony
    [2011.06.07 12:59:56 | 000,000,000 | ---D | M] -- C:\Programme\Spybot - Search & Destroy
    [2011.06.07 13:08:11 | 000,000,000 | ---D | M] -- C:\Programme\SpywareBlaster
    [2011.03.13 20:13:52 | 000,000,000 | ---D | M] -- C:\Programme\SRS Labs
    [2010.07.05 12:56:38 | 000,000,000 | ---D | M] -- C:\Programme\Stardock
    [2011.02.19 14:24:21 | 000,000,000 | ---D | M] -- C:\Programme\Steam
    [2011.04.10 14:47:41 | 000,000,000 | ---D | M] -- C:\Programme\SW-Tukupdater
    [2011.05.20 21:47:18 | 000,000,000 | ---D | M] -- C:\Programme\TeamSpeak 3 Client
    [2010.08.12 01:11:39 | 000,000,000 | ---D | M] -- C:\Programme\TechSmith
    [2009.07.14 06:53:23 | 000,000,000 | -H-D | M] -- C:\Programme\Uninstall Information
    [2011.05.09 15:26:35 | 000,000,000 | ---D | M] -- C:\Programme\USM
    [2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\uTorrentBar_DE
    [2010.12.01 10:07:05 | 000,000,000 | ---D | M] -- C:\Programme\Ventrilo
    [2011.01.06 02:14:46 | 000,000,000 | ---D | M] -- C:\Programme\VentSrv
    [2011.03.17 14:31:34 | 000,000,000 | ---D | M] -- C:\Programme\Webocton - Scriptly
    [2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Defender
    [2009.07.14 10:56:53 | 000,000,000 | ---D | M] -- C:\Programme\Windows Journal
    [2011.05.16 00:23:28 | 000,000,000 | ---D | M] -- C:\Programme\Windows Live
    [2010.12.16 14:47:14 | 000,000,000 | ---D | M] -- C:\Programme\Windows Mail
    [2010.10.14 19:57:14 | 000,000,000 | ---D | M] -- C:\Programme\Windows Media Player
    [2010.07.02 15:58:24 | 000,000,000 | ---D | M] -- C:\Programme\Windows Media-Komponenten
    [2010.07.01 19:32:23 | 000,000,000 | ---D | M] -- C:\Programme\Windows NT
    [2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Photo Viewer
    [2009.07.14 06:52:32 | 000,000,000 | ---D | M] -- C:\Programme\Windows Portable Devices
    [2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Sidebar
    [2010.08.09 11:27:23 | 000,000,000 | ---D | M] -- C:\Programme\WinRAR
    [2011.05.24 19:42:35 | 000,000,000 | ---D | M] -- C:\Programme\World of Warcraft
    [2011.03.28 13:48:17 | 000,000,000 | ---D | M] -- C:\Programme\WoW Leveling AddOns Downloader
    [2011.01.15 14:56:26 | 000,000,000 | ---D | M] -- C:\Programme\Xenocode
    [2010.09.25 07:52:58 | 000,000,000 | ---D | M] -- C:\Programme\Xfire
    [2011.03.28 13:48:16 | 000,000,000 | ---D | M] -- C:\Programme\xp-AntiSpy
    [2011.06.23 22:48:53 | 000,000,000 | ---D | M] -- C:\Programme\YABOT Editor
    [2011.03.28 13:48:49 | 000,000,000 | ---D | M] -- C:\Programme\ZoneAlarm_Security
     
    < %LOCALAPPDATA%\*.exe >
     
    < %systemroot%\*. /mp /s >
     
     
    < MD5 for: ATAPI.SYS  >
    [2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys
    [2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
    [2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys
    [2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_df3f92057fcbe7a7\atapi.sys
     
    < MD5 for: EXPLORER.EXE  >
    [2011.02.26 07:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe
    [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
    [2011.02.26 07:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_525b5180f3f95373\explorer.exe
    [2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
    [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\explorer.exe
    [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe
    [2011.01.16 16:55:21 | 000,255,488 | ---- | M] () MD5=3C33B26F2F7FA61D882515F2D6078691 -- C:\Users\Administrator\AppData\Local\Temp\RarSFX0\procs\explorer.exe
    [2011.01.16 16:55:21 | 000,255,488 | ---- | M] () MD5=3C33B26F2F7FA61D882515F2D6078691 -- C:\Users\Administrator\AppData\Local\Temp\RarSFX1\procs\explorer.exe
    [2011.01.16 16:55:21 | 000,255,488 | ---- | M] () MD5=3C33B26F2F7FA61D882515F2D6078691 -- C:\Users\Administrator\AppData\Local\Temp\RarSFX2\procs\explorer.exe
    [2011.01.16 16:55:21 | 000,255,488 | ---- | M] () MD5=3C33B26F2F7FA61D882515F2D6078691 -- C:\Users\Administrator\AppData\Local\Temp\RarSFX3\procs\explorer.exe
    [2011.01.16 16:55:21 | 000,255,488 | ---- | M] () MD5=3C33B26F2F7FA61D882515F2D6078691 -- C:\Users\Administrator\AppData\Local\Temp\RarSFX4\procs\explorer.exe
    [2010.11.20 14:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\SoftwareDistribution\Download\18e2c83e42cc8f0cc17b5dbfaf982690\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe
    [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe
    [2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
    [2005.08.16 02:54:58 | 000,001,536 | ---- | M] () MD5=ABC6379205DE2618851C4FCBF72112EB -- C:\Users\Administrator\AppData\Local\Temp\RarSFX0\h\explorer.exe
    [2005.08.16 02:54:58 | 000,001,536 | ---- | M] () MD5=ABC6379205DE2618851C4FCBF72112EB -- C:\Users\Administrator\AppData\Local\Temp\RarSFX1\h\explorer.exe
    [2005.08.16 02:54:58 | 000,001,536 | ---- | M] () MD5=ABC6379205DE2618851C4FCBF72112EB -- C:\Users\Administrator\AppData\Local\Temp\RarSFX2\h\explorer.exe
    [2005.08.16 02:54:58 | 000,001,536 | ---- | M] () MD5=ABC6379205DE2618851C4FCBF72112EB -- C:\Users\Administrator\AppData\Local\Temp\RarSFX3\h\explorer.exe
    [2005.08.16 02:54:58 | 000,001,536 | ---- | M] () MD5=ABC6379205DE2618851C4FCBF72112EB -- C:\Users\Administrator\AppData\Local\Temp\RarSFX4\h\explorer.exe
    [2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
    [2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
    [2011.06.26 22:48:26 | 000,000,000 | ---- | M] () MD5=D41D8CD98F00B204E9800998ECF8427E -- C:\Users\Administrator\Downloads\eXplorer.exe
     
    < MD5 for: REGEDIT.EXE  >
    [2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe
    [2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_f4050b883d2c3c08\regedit.exe
     
    < MD5 for: SVCHOST.EXE  >
    [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\System32\svchost.exe
    [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe
     
    < MD5 for: USERINIT.EXE  >
    [2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SoftwareDistribution\Download\18e2c83e42cc8f0cc17b5dbfaf982690\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe
    [2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe
    [2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX0\userinit.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX1\userinit.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX2\userinit.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX3\userinit.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX4\userinit.exe
     
    < MD5 for: VOLSNAP.SYS  >
    [2009.07.14 03:19:10 | 000,245,328 | ---- | M] (Microsoft Corporation) MD5=58DF9D2481A56EDDE167E51B334D44FD -- C:\Windows\System32\drivers\volsnap.sys
    [2009.07.14 03:19:10 | 000,245,328 | ---- | M] (Microsoft Corporation) MD5=58DF9D2481A56EDDE167E51B334D44FD -- C:\Windows\System32\DriverStore\FileRepository\volume.inf_x86_neutral_29364d30156a24ca\volsnap.sys
    [2009.07.14 03:19:10 | 000,245,328 | ---- | M] (Microsoft Corporation) MD5=58DF9D2481A56EDDE167E51B334D44FD -- C:\Windows\winsxs\x86_volume.inf_31bf3856ad364e35_6.1.7600.16385_none_158d0da45d68903e\volsnap.sys
    [2010.11.20 14:30:16 | 000,245,632 | ---- | M] (Microsoft Corporation) MD5=F497F67932C6FA693D7DE2780631CFE7 -- C:\Windows\SoftwareDistribution\Download\18e2c83e42cc8f0cc17b5dbfaf982690\x86_volume.inf_31bf3856ad364e35_6.1.7601.17514_none_17be216c5a5713d8\volsnap.sys
     
    < MD5 for: WININIT.EXE  >
    [2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
    [2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
     
    < MD5 for: WINLOGON.EXE  >
    [2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
    [2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
    [2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
    [2010.11.20 14:17:54 | 000,286,720 | ---- | M] (Microsoft Corporation) MD5=6D13E1406F50C66E2A95D97F22C47560 -- C:\Windows\SoftwareDistribution\Download\18e2c83e42cc8f0cc17b5dbfaf982690\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_71ca6b0233339500\winlogon.exe
    [2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX0\winlogon.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX1\winlogon.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX2\winlogon.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX3\winlogon.exe
    [2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Users\Administrator\AppData\Local\Temp\RarSFX4\winlogon.exe
     
    < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
     
    < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-27 01:00:26
     
    ========== Alternate Data Streams ==========
     
    @Alternate Data Stream - 95 bytes -> C:\ProgramData\Temp:5C321E34
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:D1B5B4F1
    
    < End of report >
             

Danke nochmals für deine bisherige Hilfe und ich hoffe wieder auf eine schnelle Antwort
Mfg, Deathkid

Alt 27.06.2011, 19:48   #5
M-K-D-B
/// TB-Ausbilder
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo Deathkid,






Schritt # 1: Software mit Revo Uninstaller deinstallieren
Downloade Dir bitte den Revo Uninstaller
  • Doppelklick auf die revosetup.exe.
  • Installiere das Tool in den vorgegebenen Pfad.
  • Doppelklick auf das Revo Uninstall Icon.
  • Suche Dir nun folgende Software aus der Code-Box.
    Code:
    ATTFilter
    softonic-de3 Toolbar
    uTorrentBar_DE Toolbar
    Conduit Engine
    ZoneAlarm_Security
             
    Klicke darauf und bestätige mit Ja.
  • Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
  • Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
  • Klick auf den Markiere alle Button und klick auf löschen und bestätige mit Ja.
Bebilderte Anleitung

Starte den Rechner neu auf.






Schritt # 2: Fix mit OTL
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
IE - HKLM\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_DE Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851647&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=toolbar2&q="
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 49798
FF - prefs.js..network.proxy.type: 0
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
O2 - BHO: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar_DE Toolbar) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Toolbar) - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} - C:\Programme\ZoneAlarm_Security\tbZone.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar_DE Toolbar) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - C:\Programme\uTorrentBar_DE\tbuTo1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\tbsoft.dll (Conduit Ltd.)
MsConfig - StartUpReg: VirusKeeper - hkey= - key= -  File not found
[2011.06.27 19:12:05 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Local\Conduit
[2011.06.26 21:29:44 | 000,000,000 | ---D | C] -- C:\ProgramData\bL28601DaMcK28601
[2011.06.27 18:48:07 | 000,000,326 | -HS- | M] () -- C:\Windows\tasks\YUGMFTV.job
[2011.06.27 18:48:07 | 000,000,304 | ---- | M] () -- C:\Windows\tasks\BearShareNAG.job
[2011.06.11 22:03:34 | 000,015,068 | -HS- | M] () -- C:\Users\Administrator\AppData\Local\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
[2011.06.11 22:03:34 | 000,015,068 | -HS- | M] () -- C:\ProgramData\rj4sm7u3557mt40c3381ck7fynf7xuq55mfmt
[2011.06.26 21:33:00 | 000,005,996 | ---- | C] () -- C:\Users\Administrator\AppData\Roaming\DACE.97A
[2011.06.27 19:09:42 | 000,000,000 | ---D | M] -- C:\Users\Administrator\AppData\Roaming\uTorrent
[2011.06.27 15:00:11 | 000,000,400 | ---- | M] () -- C:\Windows\Tasks\SmartDefrag.job
[2010.07.03 23:31:55 | 000,000,000 | ---D | M] -- C:\Programme\Conduit
[2011.06.27 19:12:08 | 000,000,000 | ---D | M] -- C:\Programme\ConduitEngine
[2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\softonic-de3
[2011.02.13 14:13:11 | 000,000,000 | ---D | M] -- C:\Programme\uTorrentBar_DE
[2011.03.28 13:48:49 | 000,000,000 | ---D | M] -- C:\Programme\ZoneAlarm_Security
@Alternate Data Stream - 95 bytes -> C:\ProgramData\Temp:5C321E34
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:D1B5B4F1

:commands
[Purity]
[ResetHosts]
[Emptytemp]
         
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread




Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.




Schritt # 4: Systemscan mit OTL
  • Starte bitte OTL.exe.
  • Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
  • Poste die OTL.txt und die Extras.txt hier in deinen Thread.




Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung bezüglich der Deinstallationen mit Revo Uninstaller,
  • das Logfile des OTL-Fix,
  • das Logfile von MBAM und
  • die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).


Alt 27.06.2011, 20:25   #6
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo M-K-D-B,
Also folgendes:
  1. Alles Deinstalliert, ausser ZoneAlarm_Security, das es nicht in der Liste stand, auch Such-Funktion half nichts
  2. So, wenn unten in der "Textbox" steht "[Emptytemp]" bleibt das Programm hängen und stürzt ab
Soll ich solange einfach die nächsten Schritte machen?
Vielen Dank im vornhinein für deine Antwort,
Deathkid

Alt 05.07.2011, 22:56   #7
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo Larusso,
Kurz und schnell: Nein.
Gruß,
Deathkid

Alt 06.07.2011, 14:31   #8
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo,
Ich habe gerade eine Meldung von Firefox bekommen, dass etwas versuchen will, es zu einem unsicheren Update zu zwingen. Ist das normal?(wohl eher nicht )
MFG,
Deathkid

Geändert von Deathkid535 (06.07.2011 um 15:24 Uhr)

Alt 06.07.2011, 16:03   #9
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo zum 3ten mal in Folge ,
also nach einiger Überlegung denke ich, es wäre einfacher den Computer neu aufzusetzen oder? Nur leider habe ich keine Win7 CD.
Meine Frage: Gibts die Gratis oder muss man die kaufen?
Also ich bin noch Minderjährig und daher wäre kaufen die unangenehmere Alternative
Greetz,
Deathkid

Alt 06.07.2011, 16:13   #10
M-K-D-B
/// TB-Ausbilder
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo Deathkid,



Zitat:
Zitat von Deathkid535 Beitrag anzeigen
Ich habe gerade eine Meldung von Firefox bekommen, dass etwas versuchen will, es zu einem unsicheren Update zu zwingen. Ist das normal?(wohl eher nicht )
Nein, normal ist das nicht.
Du hast nicht zufällig einen Screenshot davon gemacht, oder?
Was hast du nach der Meldung gemacht bzw. was ist dann passiert? Gibt andere Auffälligkeiten auf deinem Rechner?
Du hast weiterhin das Problem, dass du im normalen Modus mit dem IE und FF umgeleitet wirst, im abgesicherten Modus jedoch nicht. Verstehe ich das richtig?


Besuche bitte die Seite utrace.de und berichte, welche IP-Adresse dir dort angezeigt wird. Passt der dort gezeigte Standort auch zu deinem momentanen Aufenthaltsort?



Als nächtes deinstallieren wir zuerst ComboFix und versuchen es noch einmal. Sollte ComboFix wieder nicht weiter laufen, so warte ca. 10-15 Minuten und starte - während CF noch aktiv ist - den Taskmanager (Strg + Alt + Entf) und berichte, welcher Prozess dort hängt bzw. eine hohe Auslastung aufweist.




Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
         


Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: ComboFix ausführen
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen und
  • das Logfile von ComboFix.

Alt 06.07.2011, 16:50   #11
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo M-K-D-B,
Zitat:
Du hast nicht zufällig einen Screenshot davon gemacht, oder?
Leider nein.
Zitat:
Was hast du nach der Meldung gemacht bzw. was ist dann passiert? Gibt andere Auffälligkeiten auf deinem Rechner?
Ich habe auf X gedrückt, da es sonst nur zulassen gab, was ich nicht wollte. Danach ist nichts auffälliges passiert. Hm, auffäligkeiten fallen mir keine wirklich auf.
Zitat:
Du hast weiterhin das Problem, dass du im normalen Modus mit dem IE und FF umgeleitet wirst, im abgesicherten Modus jedoch nicht. Verstehe ich das richtig?
Jo
Zitat:
berichte, welcher Prozess dort hängt bzw. eine hohe Auslastung aufweist.
Ein gewisser "Leerlaufprozess" benötigt während CF läuft zwischen 80 und 90% meines CPU speichers.
Zitat:
Besuche bitte die Seite utrace.de und berichte, welche IP-Adresse dir dort angezeigt wird. Passt der dort gezeigte Standort auch zu deinem momentanen Aufenthaltsort?
Ja, da stimmt alles

Geändert von Deathkid535 (06.07.2011 um 17:34 Uhr)

Alt 06.07.2011, 20:39   #12
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo M-K-D-B,
Ich habe ComboFix nochmal gestartet, dasselbe ausprobiert, aber der Bildschirm hängt einfach, ich konnte nichts bewegen, und ich musste Manuell starten..
MFG,
Deathkid

Alt 10.07.2011, 10:24   #13
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo M-K-D-B,
Zitat:
der Dienst ist wieder deaktiviert.
Hä?, das muss ich nicht verstehen oder?
Zitat:
Ich kläre das intern im Team ab. Am Freitag gehts damit und mit der Entfernung aller Tools inklusive ein paar Tipps weiter.
Ok, dann bis Freitag
MFG,
Deathkid

Alt 10.07.2011, 16:44   #14
M-K-D-B
/// TB-Ausbilder
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo Deathkid,




Zitat:
Zitat von Deathkid535 Beitrag anzeigen
Hä?, das muss ich nicht verstehen oder?
Nein, nicht unbedingt. Aber ich versuche, es dir zu erklären:
Laut dem ausgeführten Fix mit der Batch Datei sollte der Dienst des Windows-Sicherheitscenters wieder laufen:
Zitat:
[SC] ChangeServiceConfig ERFOLG
Eine Überprüfung ergab allerdings, dass der Wert nicht wie geünscht geändert wurde. Daher versuchen wir folgendes:




Schritt # 1: Fix mit OTL
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000002

:commands
[reboot]
         
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread




Schritt # 2: Batch Datei ausführen
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
cd \
set log=%userprofile%\Desktop\ergebnis.txt
if exist %log% del %log%
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /s >> "%userprofile%\Desktop\ergebnis.txt"
notepad "%userprofile%\Desktop\ergebnis.txt"
del %0
         
  • Wähle Datei --> Speichern unter
  • Dateiname: suche.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.
    Es sollte nun ungefähr so aussehen
  • Starte die suche.bat.
    Vista und Win7 User: Mit Rechtsklick "als Administrator starten"
  • Es öffnet sich die Textdatei ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile des OTL-Fix und
  • das Ergebnis der Batch Datei.

Alt 15.07.2011, 21:47   #15
Deathkid535
/// Malwareteam
 
MS removal Tool vollständig entfernen - Standard

MS removal Tool vollständig entfernen



Hallo M-K-D-B,
Bin wieder zurück aus dem Urlaub ,
So, jetzt gehts aber wieder an die Arbeit:
OTL-FixLog:
Code:
ATTFilter
========== OTL ==========
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\\"Start"|dword:00000002 /E : value set successfully!
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.24.1 log created on 07152011_224007
         
Das Ergebnis der .bat Datei:
Code:
ATTFilter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    Type    REG_DWORD    0x20
    Start    REG_DWORD    0x4
    ErrorControl    REG_DWORD    0x1
    ImagePath    REG_EXPAND_SZ    %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted
    DependOnService    REG_MULTI_SZ    RpcSs\0winmgmt
    ObjectName    REG_SZ    NT AUTHORITY\LocalService
    RequiredPrivileges    REG_MULTI_SZ    SeChangeNotifyPrivilege\0SeImpersonatePrivilege
    DelayedAutoStart    REG_DWORD    0x1
    FailureActions    REG_BINARY    805101000000000000000000030000001400000001000000C0D4010001000000E09304000000000000000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum
    0    REG_SZ    Root\LEGACY_WSCSVC\0000
    Count    REG_DWORD    0x1
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters
    ServiceDll    REG_EXPAND_SZ    %SYSTEMROOT%\system32\wscsvc.dll
         
Gruß,
Deathkid

Antwort

Themen zu MS removal Tool vollständig entfernen
entferne, entfernen, ms removal tool, problem, removal, titel, tool, vollständig, vollständig entfernen, überprüfe, überprüfen




Ähnliche Themen: MS removal Tool vollständig entfernen


  1. pup.babylon.a, vollständig entferne, junkware removal tool
    Log-Analyse und Auswertung - 23.09.2013 (11)
  2. Ms Removal tool
    Plagegeister aller Art und deren Bekämpfung - 22.05.2011 (1)
  3. Backup nach MS Removal Tool
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (4)
  4. MS Removal Tool - dwn.exe + csrss.exe
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (11)
  5. Befall mit MS Removal Tool
    Log-Analyse und Auswertung - 26.04.2011 (18)
  6. Endgültige Beseitigung von MS Removal Tool
    Log-Analyse und Auswertung - 20.04.2011 (1)
  7. MS Removal Tool auf Vista
    Log-Analyse und Auswertung - 17.04.2011 (19)
  8. MS Removal Tool wehrt sich -.-
    Plagegeister aller Art und deren Bekämpfung - 15.04.2011 (5)
  9. MS Removal Tool
    Plagegeister aller Art und deren Bekämpfung - 13.04.2011 (23)
  10. MS Removal Tool entfernen
    Anleitungen, FAQs & Links - 27.03.2011 (2)
  11. BitDefender-Stuxnet-Removal-Tool.exe
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (15)
  12. security tool lässt sich nicht vollständig entfernen, ändert browser startseite
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (1)
  13. Conficker/ cleanup tool oder removal tool ?
    Plagegeister aller Art und deren Bekämpfung - 23.04.2009 (0)
  14. boot - removal tool
    Plagegeister aller Art und deren Bekämpfung - 31.01.2007 (4)
  15. Removal Tool zum Entfernen des 1&1 Trojaners ist da!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2007 (1)

Zum Thema MS removal Tool vollständig entfernen - Wie der Titel schon sagt, hatte ich kürzlich dieses Problem, und möchte es noch sicherehitshalber überprüfen lassen - MS removal Tool vollständig entfernen...

Alle Zeitangaben in WEZ +1. Es ist jetzt 07:06 Uhr.


Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: MS removal Tool vollständig entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.