Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Plagegeister aller Art und deren Bekämpfung: desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 11.01.2012, 15:16   #1
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Hallo,

ich habe auf meinen Windows XP-System SP3 in letzter Zeit mit einigen Anwendungen Probleme gehabt und daraufhin mal mit der Boot-CD desinfec't der Zeitschrift c't den PC untersucht. Folgende Sachen wurden gefunden:

Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen

Daraufhin habe ich nach Anleitung mit OTL und GMER geprüft, anbei die Logs.

Würde mich freuen, wenn sich ein Kompetenzler der Sache annimmt.

Vielen Dank
wesselow

Alt 11.01.2012, 15:41   #2
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


hi,
1. welche probleme gabs?
2. wo sind die fundmeldungen die avira gemacht hatt?
3. würde ich mir gern die logs von otl und GMER ansehen, wenn sie denn da währen :-)
__________________

__________________
Alt 11.01.2012, 17:56   #3
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Hallo,

die Logs folgen noch (spätestens morgen um 7 Uhr), da GMER noch scannt.

Folgende Fehler traten auf:

Mein ftp-Client WinSCP wurde von mir gestartet, ich wähle einen Server aus und gebe die Logindaten ein, danach minimiert das Programm so das man es nur noch im Taskmanager unter Prozesse finden.

Mein Mailprogramm Thunderbird macht öfter mal "Denkpausen" von bis zu 40-50 Sekunden (man kann es dann nicht nutzen, es ist wie eingefroren).

Diverse Programme starten nur noch minimiert (z.B. wenn ich mit einem Editor eine Datei öffne).

Die Logs der 4 Virenscanner aus Desinfec't habe ich leider nicht kopiert, da das System von CD bootet und ich vergessen habe sie zu sichern. Wenn die sehr wichtig sind, scanne ich morgen nochmal. Die infizierten Dateien lagen aber alle im System Volume Information-Ordner.

VG
wesselow
__________________
Alt 11.01.2012, 20:04   #4
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


nein, wir schaun erst mal so :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2012, 07:23   #5
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Hier nun die Logs.

OTL:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 11.01.2012 13:16:50 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = F:\#Daten\ANTIVIRUS
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,65% Memory free
3,85 Gb Paging File | 3,43 Gb Available in Paging File | 89,27% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: NTFS
Drive D: | 135,23 Gb Total Space | 32,51 Gb Free Space | 24,04% Space Free | Partition Type: NTFS
Drive F: | 14,91 Gb Total Space | 10,07 Gb Free Space | 67,56% Space Free | Partition Type: FAT32
Drive N: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: *NT5CSC
 
Computer Name: EPUBSHK03 | User Name: wehserro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.01.11 09:36:44 | 000,584,192 | ---- | M] (OldTimer Tools) -- F:\#Daten\ANTIVIRUS\OTL.exe
PRC - [2011.12.24 17:50:18 | 000,652,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.12.05 20:17:44 | 024,242,056 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe
PRC - [2011.12.02 10:37:41 | 002,923,392 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2011.08.16 20:07:00 | 000,148,520 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe
PRC - [2011.08.16 20:07:00 | 000,124,224 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\shstat.exe
PRC - [2011.08.03 12:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.05.10 20:07:00 | 000,150,032 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
PRC - [2011.02.04 19:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
PRC - [2011.02.04 19:07:00 | 000,027,960 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe
PRC - [2011.02.04 19:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe
PRC - [2010.08.14 06:38:14 | 000,057,344 | ---- | M] (Uwe A. Ruttkamp) -- C:\TEMP\DHCP\dhcpsrv.exe
PRC - [2010.07.04 10:49:14 | 000,075,496 | ---- | M] (tzuk) -- C:\Programme\Sandboxie\SbieSvc.exe
PRC - [2010.06.21 10:03:43 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2009.08.25 15:00:00 | 000,226,624 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe
PRC - [2009.08.25 15:00:00 | 000,136,512 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\UdaterUI.exe
PRC - [2009.08.25 15:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe
PRC - [2009.08.25 15:00:00 | 000,091,456 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\McTray.exe
PRC - [2008.10.14 21:38:56 | 000,623,992 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
PRC - [2008.09.10 12:31:36 | 000,114,688 | ---- | M] (NVIDIA) -- C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.25 14:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.03.17 00:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
MOD - [2010.03.25 19:07:00 | 000,148,800 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\vsevntui.dll
MOD - [2009.08.25 15:00:00 | 000,057,344 | ---- | M] () -- C:\Programme\McAfee\Common Framework\boost_thread-vc71-mt-1_32.dll
MOD - [2009.02.27 15:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2007.05.11 01:31:33 | 000,921,600 | ---- | M] () -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdistRes.DEU
MOD - [2005.08.22 15:38:16 | 003,264,512 | ---- | M] () -- C:\Programme\McAfee\Common Framework\cryptocme2.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (metasploitPostgreSQL)
SRV - [2011.12.24 17:50:18 | 000,652,872 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.12.02 10:37:41 | 002,923,392 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2011.08.16 20:07:00 | 000,148,520 | ---- | M] (McAfee, Inc.) [Unknown | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2011.08.03 12:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2011.06.12 11:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2011.05.10 20:07:00 | 000,150,032 | ---- | M] (McAfee, Inc.) [Auto | Paused] -- C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe -- (McShield)
SRV - [2011.02.04 19:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe -- (McTaskManager)
SRV - [2011.02.04 19:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\engineserver.exe -- (McAfeeEngineService)
SRV - [2010.08.14 06:38:14 | 000,057,344 | ---- | M] (Uwe A. Ruttkamp) [Auto | Running] -- C:\TEMP\DHCP\dhcpsrv.exe -- (DHCPServer)
SRV - [2010.07.04 10:49:14 | 000,075,496 | ---- | M] (tzuk) [Auto | Running] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc)
SRV - [2010.06.21 10:03:43 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.08.25 15:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2008.09.10 12:31:36 | 000,114,688 | ---- | M] (NVIDIA) [Auto | Running] -- C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe -- (UpdateCenterService)
SRV - [2007.07.25 14:50:26 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.06.01 09:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012.01.09 14:55:06 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.11.04 13:42:02 | 000,158,512 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxDrv.sys -- (VBoxDrv)
DRV - [2011.11.04 13:42:02 | 000,116,016 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - [2011.11.04 13:42:02 | 000,104,752 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
DRV - [2011.11.04 13:42:02 | 000,091,440 | ---- | M] (Oracle Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VBoxUSBMon.sys -- (VBoxUSBMon)
DRV - [2011.08.16 20:07:00 | 000,461,864 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2011.08.16 20:07:00 | 000,180,072 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2011.08.16 20:07:00 | 000,119,808 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2011.08.16 20:07:00 | 000,089,624 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Running] -- C:\WINDOWS\system32\drivers\mfetdi2k.sys -- (mfetdi2k)
DRV - [2011.08.16 20:07:00 | 000,087,808 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2011.08.16 20:07:00 | 000,059,288 | ---- | M] (McAfee, Inc.) [Kernel | Unknown | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2011.06.15 09:23:56 | 000,060,156 | ---- | M] (PowerISO Computing, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\scdemu.sys -- (SCDEmu)
DRV - [2011.02.17 17:06:10 | 000,033,712 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxUSB.sys -- (VBoxUSB)
DRV - [2011.02.04 19:07:00 | 000,065,960 | ---- | M] (McAfee, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2010.12.03 07:26:46 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901)
DRV - [2010.11.09 14:35:30 | 000,021,992 | ---- | M] (CPUID) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz135_x32.sys -- (cpuz135)
DRV - [2010.07.27 09:15:20 | 000,023,904 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2010.07.27 09:14:58 | 006,842,464 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech QuickCam Pro 9000(UVC)
DRV - [2010.07.27 09:12:50 | 000,282,336 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2010.07.04 10:49:10 | 000,119,016 | ---- | M] (tzuk) [Kernel | On_Demand | Running] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - [2010.04.18 10:07:57 | 000,093,848 | ---- | M] (SysProgs.org) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BazisVirtualCDBus.sys -- (BazisVirtualCDBus)
DRV - [2010.01.25 13:56:26 | 000,115,712 | ---- | M] (HID Global Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cxbu0wdm.sys -- (cxbu0wdm)
DRV - [2009.08.04 09:28:18 | 000,011,296 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2009.07.06 09:48:02 | 000,011,448 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsUpIO.sys -- (AsUpIO)
DRV - [2009.06.17 17:56:32 | 000,028,560 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2009.06.17 17:56:16 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2009.06.17 17:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008.09.10 12:28:48 | 000,036,896 | ---- | M] (NVidia Corp.) [Kernel | Auto | Running] -- C:\WINDOWS\nvflash.sys -- (NVR0FLASHDev)
DRV - [2007.04.16 20:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2006.12.14 19:04:52 | 000,013,056 | ---- | M] (Ray Hinchliffe) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SIVX32.sys -- (SIVDRIVER)
DRV - [2006.11.10 14:08:50 | 000,024,064 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ATITool.sys -- (ATITool)
DRV - [2006.09.11 12:45:38 | 000,019,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.09.11 12:45:36 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.08.21 11:24:28 | 000,105,344 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2006.03.17 17:18:58 | 000,392,960 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2004.08.13 03:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2003.09.04 11:32:48 | 000,009,886 | ---- | M] (SONIX Technology Co., LTD) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UAFilter.sys -- (uafilter)
DRV - [2003.08.13 13:33:54 | 000,404,736 | ---- | M] (Sensaura Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ausens.sys -- (ausens)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B6 68 31 04 E5 42 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = wordswile.tk:80
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
FF - prefs.js..extensions.enabledItems: {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}:7.1.1.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.3
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.31 14:57:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.28 11:05:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.19 08:00:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.08.02 10:50:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Extensions
[2010.06.21 11:58:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.12.12 09:57:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\extensions
[2011.12.09 10:21:07 | 000,000,000 | ---D | M] (Zotero) -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\extensions\zotero@chnm.gmu.edu
[2011.11.10 13:03:02 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.03 16:04:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.31 11:29:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.06.06 13:13:21 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}
[2011.06.14 09:25:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.11.10 13:03:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\WEHSERRO.CMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\P1YADXAG.DEFAULT\EXTENSIONS\FIREBUG@SOFTWARE.JOEHEWITT.COM.XPI
[2011.06.06 13:12:43 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.06.17 14:07:41 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.10.31 14:57:32 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.02.04 19:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\mozilla firefox\components\Scriptff.dll
[2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.31 14:57:29 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.31 14:57:29 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.31 14:57:29 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.31 14:57:29 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.31 14:57:29 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.31 14:57:29 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\16.0.912.75\pdf.dll
CHR - plugin: Foxit Reader Plugin for Mozilla (Enabled) = C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.71\npGoogleUpdate3.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.3_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.16_0\
CHR - Extension: TinEye Reverse Image Search = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl\1.1.1_0\
CHR - Extension: Download Assistant = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\mfjkgbjaikamkkojmakjclmkianficch\5.0.2_0\
CHR - Extension: BitDefender QuickScan = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pdnkcidphdcakpkheohlhocaicfamjie\0.9.9.103_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2010.08.18 10:01:27 | 000,416,705 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14381 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\udaterui.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Biet-O-Matic.lnk = D:\privat\Biet-O-Matic\Biet-O-Matic.exe (www.bid-o-matic.org)
O4 - Startup: C:\Dokumente und Einstellungen\wehserro.CMS\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = B1 00 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 1
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1276776350654 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1277112159968 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cms.hu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3D8B9D76-4ED5-4DE6-A6E4-C62D1A12AFA8}: NameServer = 141.20.1.3,141.1.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.17 11:55:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.01.20 10:42:35 | 000,000,000 | ---D | M] - N:\autosave.win -- [ *NT5CSC ]
O33 - MountPoints2\{1e35d53b-8284-11df-91ac-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe
O33 - MountPoints2\{1e35d53d-8284-11df-91ac-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell - "" = AutoRun
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8ec2c90f-98c3-11e0-9207-001e8cbfdb93}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - Microsoft NetShow Player
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: AutorunsDisabled - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe - (Adobe Systems Incorporated)
MsConfig - StartUpReg: Acrobat Assistant 8.0 - hkey= - key= - C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: ASUS Update Checker - hkey= - key= -  File not found
MsConfig - StartUpReg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
MsConfig - StartUpReg: Free Download Manager - hkey= - key= - C:\Programme\Free Download Manager\fdm.exe (FreeDownloadManager.ORG)
MsConfig - StartUpReg: Google Update - hkey= - key= - C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe (Google Inc.)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= -  File not found
MsConfig - StartUpReg: NvMediaCenter - hkey= - key= -  File not found
MsConfig - StartUpReg: SandboxieControl - hkey= - key= - C:\Programme\Sandboxie\SbieCtrl.exe (tzuk)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: ttecx_hdd_led_win_xp - hkey= - key= - C:\Programme\TtecX.com\Keyboard-HDD-LED\ttecx_hdd_led_win_xp.exe (TtecX.com)
MsConfig - StartUpReg: Tweak UI 1.33 deutsch - hkey= - key= -  File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.09 15:03:20 | 000,205,072 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2012.01.09 14:54:51 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.01.09 14:54:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.01.09 14:54:40 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.01.09 14:54:39 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.01.09 10:19:01 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\wehserro.CMS\Recent
[2011.12.23 08:36:24 | 000,000,000 | ---D | C] -- C:\Programme\Accessdiver
[2011.12.23 08:36:11 | 002,103,406 | ---- | C] (Jean Fages                                                  ) -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\ad4.281.installer.exe
[2011.12.15 10:13:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.12.15 10:10:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2011.12.14 10:05:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.11 13:14:43 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\defogger_reenable
[2012.01.11 13:11:26 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.01.11 13:11:25 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.01.11 13:10:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.01.11 13:10:29 | 2145,898,496 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.10 13:42:12 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\winscp.rnd
[2012.01.10 13:32:00 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.01.10 13:00:00 | 000,001,230 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531UA.job
[2012.01.10 12:53:00 | 000,001,220 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003UA.job
[2012.01.10 12:00:00 | 000,001,178 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531Core.job
[2012.01.09 15:03:18 | 000,205,072 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2012.01.09 14:55:06 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.01.09 14:53:00 | 000,001,168 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003Core.job
[2012.01.09 09:38:49 | 000,001,476 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\WinSCP.lnk
[2012.01.09 08:16:26 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.01.06 13:17:37 | 002,178,283 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\open-access-report-2011_en.pdf
[2012.01.06 11:40:44 | 000,517,154 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.01.06 11:40:44 | 000,472,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.01.06 11:40:44 | 000,100,782 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.01.06 11:40:44 | 000,075,988 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.01.06 07:17:49 | 000,246,312 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.01.05 12:30:53 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\4kcfkz1r.exe
[2011.12.23 08:36:25 | 000,001,532 | ---- | M] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\AccessDiver.lnk
[2011.12.23 08:36:12 | 002,103,406 | ---- | M] (Jean Fages                                                  ) -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\ad4.281.installer.exe
[2011.12.19 13:43:23 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.12.15 12:59:07 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.12.14 10:08:03 | 000,002,676 | ---- | M] () -- C:\WINDOWS\Sandboxie.ini
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.01.11 13:14:43 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\defogger_reenable
[2012.01.09 09:51:34 | 2145,898,496 | -HS- | C] () -- C:\hiberfil.sys
[2012.01.06 13:17:37 | 002,178,283 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\open-access-report-2011_en.pdf
[2012.01.05 12:30:57 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\4kcfkz1r.exe
[2011.12.23 08:36:25 | 000,001,538 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Startmenü\Programme\AccessDiver.lnk
[2011.12.23 08:36:25 | 000,001,532 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Desktop\AccessDiver.lnk
[2011.12.08 10:37:45 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011.10.28 10:49:17 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\MSIMHELP.DLL
[2011.09.19 09:36:26 | 002,128,778 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2011.06.23 15:04:01 | 003,774,976 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WSCAD55Demo.msi
[2011.04.06 10:43:15 | 000,280,900 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.04.06 10:34:37 | 000,280,900 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.04.06 10:34:37 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.03.21 15:38:46 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011.03.17 12:02:49 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2011.01.26 09:55:52 | 000,438,272 | ---- | C] () -- C:\WINDOWS\System32\PaintX.dll
[2010.11.02 10:55:28 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2010.07.28 09:36:28 | 000,002,676 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2010.07.27 09:03:20 | 010,829,656 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2010.07.27 09:03:20 | 000,102,744 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2010.07.27 09:03:18 | 000,290,648 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010.07.27 08:56:04 | 000,090,411 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010.07.16 10:15:27 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Settings.ini
[2010.07.15 13:28:38 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.12 07:22:08 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.02 10:17:14 | 000,045,920 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.06.24 13:29:13 | 000,000,529 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2010.06.22 08:59:51 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\winscp.rnd
[2010.06.21 10:15:39 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.06.17 14:45:38 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2010.06.17 14:45:38 | 000,011,448 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsUpIO.sys
[2010.06.17 14:45:38 | 000,011,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2010.06.17 12:50:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.06.17 12:40:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.06.17 12:39:09 | 000,246,312 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.17 12:29:36 | 000,001,428 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2010.06.17 12:29:15 | 000,000,804 | R--- | C] () -- C:\WINDOWS\System32\AsusSetup.ini
[2010.06.17 12:29:15 | 000,000,396 | R--- | C] () -- C:\WINDOWS\System32\raidmgmt.ini
[2010.06.17 12:29:06 | 000,032,861 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2010.06.17 12:29:05 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2010.06.17 12:28:52 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2010.06.17 11:56:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.06.17 11:53:26 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.04.03 21:55:32 | 002,292,678 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008.05.26 21:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 21:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 21:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 20:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 20:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.06.28 17:43:00 | 001,018,772 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin
[2007.06.28 17:43:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.11.10 14:08:50 | 000,024,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\ATITool.sys
[2004.08.04 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 13:00:00 | 000,517,154 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 13:00:00 | 000,472,894 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 13:00:00 | 000,100,782 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 13:00:00 | 000,075,988 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 13:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[1999.08.11 23:00:00 | 001,708,032 | ---- | C] () -- C:\WINDOWS\System32\MSO97V.DLL
[1999.08.11 23:00:00 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1999.08.11 23:00:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\MSORFS.DLL
[1999.08.11 23:00:00 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
 
========== LOP Check ==========
 
[2011.12.15 10:13:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.11.29 09:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
[2010.06.30 13:12:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2011.12.15 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2011.06.20 11:38:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2011.12.05 07:43:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp
[2010.07.01 13:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers
[2010.07.26 13:30:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\aicon
[2011.08.19 09:46:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Amazon
[2011.09.20 17:02:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin
[2011.04.06 11:41:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Braid
[2010.07.12 11:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\clickEXE
[2011.09.16 11:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\CPUTempWatch
[2011.03.17 13:35:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Diercke Globus Online
[2012.01.11 13:15:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox
[2011.10.26 09:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\DVDVideoSoft
[2011.10.26 10:39:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.07.01 13:58:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\EndNote
[2012.01.09 10:19:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Free Download Manager
[2010.06.24 13:28:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\GHISLER
[2010.10.29 09:17:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\HeidiSQL
[2010.09.01 13:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\jah
[2011.05.04 11:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\KeePass
[2010.07.09 09:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\MySQL
[2010.07.26 09:49:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Notepad++
[2010.07.06 09:09:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\OpenOffice.org
[2010.07.28 11:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Opera
[2011.08.02 09:25:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong
[2010.07.16 08:39:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Processing
[2011.12.08 10:31:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\QuickScan
[2011.03.01 13:53:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\STRATO
[2011.10.21 09:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Subversion
[2011.12.08 15:26:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\TeamViewer
[2010.06.21 11:57:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird
[2011.12.08 15:10:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\uTorrent
[2011.11.21 11:42:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Windows Search
[2010.09.23 11:55:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Wireshark
[2011.06.23 15:08:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\WSCAD
[2011.08.05 08:18:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\yWorks
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.06.17 13:52:12 | 000,000,000 | ---D | M] -- C:\970e7e59fb56a0b62677151830acf282
[2011.01.07 13:00:21 | 000,000,000 | ---D | M] -- C:\backup
[2011.12.08 14:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.10.26 09:43:22 | 000,000,000 | ---D | M] -- C:\Downloads
[2012.01.09 15:20:46 | 000,000,000 | R--D | M] -- C:\Dropbox
[2011.08.22 15:12:58 | 000,000,000 | ---D | M] -- C:\Elcom
[2011.02.16 13:34:28 | 000,000,000 | ---D | M] -- C:\jahrbuch-fuer-brandenburgische-landesgeschichte
[2011.11.08 10:52:03 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011.09.19 11:01:44 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2010.07.28 13:49:19 | 000,000,000 | ---D | M] -- C:\pcwIconExtractor-Icons
[2010.06.21 14:04:52 | 000,000,000 | ---D | M] -- C:\php_video_kurs_old
[2012.01.09 14:54:39 | 000,000,000 | R--D | M] -- C:\Programme
[2011.12.23 08:43:18 | 000,000,000 | ---D | M] -- C:\QUARANTINE
[2010.06.21 10:54:42 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010.07.28 09:38:02 | 000,000,000 | R--D | M] -- C:\Sandbox
[2010.06.17 11:59:17 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.01.10 10:55:03 | 000,000,000 | ---D | M] -- C:\TEMP
[2012.01.09 10:28:47 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2011.03.29 13:38:16 | 000,000,000 | ---D | M] -- C:\xampp
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: AFD.SYS  >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.13 23:49:24 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB951748$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.08.14 11:34:26 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=4D43E74F2A1239D53929B82600F1971C -- C:\WINDOWS\$hf_mig$\KB956803\SP3QFE\afd.sys
[2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\Programme\pebuilder3110a\BartPE\i386\system32\drivers\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2008.08.14 11:04:36 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7E775010EF291DA96AD17CA4B17137D7 -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2008.06.20 12:48:03 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=D6EE6014241D034E63C49A50CB2B442A -- C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\afd.sys
[2008.06.20 12:40:08 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=E3049B90FE06F3F740B7CFDA44995E2C -- C:\WINDOWS\$NtUninstallKB956803$\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IPSEC.SYS  >
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.13 23:49:44 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys
[2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\drivers\ipsec.sys
 
< MD5 for: REGEDIT.EXE  >
[2005.03.24 17:47:00 | 000,154,624 | ---- | M] (Microsoft Corporation) MD5=7393BDCE563435702471334473308A51 -- C:\Programme\pebuilder3110a\i386\regedit.exe
[2006.02.28 13:00:00 | 000,153,600 | R--- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\Programme\pebuilder3110a\BartPE\i386\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.11.23 15:40:13 | 001,859,712 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-06 10:41:12

< End of report >
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 11.01.2012 13:16:55 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = F:\#Daten\ANTIVIRUS
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 67,65% Memory free
3,85 Gb Paging File | 3,43 Gb Available in Paging File | 89,27% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: NTFS
Drive D: | 135,23 Gb Total Space | 32,51 Gb Free Space | 24,04% Space Free | Partition Type: NTFS
Drive F: | 14,91 Gb Total Space | 10,07 Gb Free Space | 67,56% Space Free | Partition Type: FAT32
Drive N: | 97,65 Gb Total Space | 30,53 Gb Free Space | 31,27% Space Free | Partition Type: *NT5CSC
 
Computer Name: EPUBSHK03 | User Name: wehserro | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\XAMPP\xampp\apache\bin\httpd.exe" = C:\XAMPP\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server
"C:\XAMPP\xampp\mysql\bin\mysqld.exe" = C:\XAMPP\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server
"C:\XAMPP\mysql\bin\mysqld.exe" = C:\XAMPP\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- ()
"C:\XAMPP\apache\bin\httpd.exe" = C:\XAMPP\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\totalcmd\TOTALCMD.EXE" = C:\Programme\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit -- (Ghisler Software GmbH)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Temp\RarSFX0\Tvants.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Lokale Einstellungen\Temp\RarSFX0\Tvants.exe:*:Enabled:TVAnts
"C:\XAMPP\MercuryMail\mercury.exe" = C:\XAMPP\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.72 -- (David Harris)
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\STRATO AG\STRATO HiDrive\openVPN\openvpn.exe" = C:\Programme\STRATO AG\STRATO HiDrive\openVPN\openvpn.exe:*:Enabled:openvpn
"C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\cygwin\bin\perl.exe" = C:\cygwin\bin\perl.exe:*:Enabled:perl
"C:\Elcom\5.1\Apps\rteng9.exe" = C:\Elcom\5.1\Apps\rteng9.exe:*:Enabled:Adaptive Server Anywhere Network Server
"C:\Elcom\Magnet\Apps\rteng9.exe" = C:\Elcom\Magnet\Apps\rteng9.exe:*:Enabled:Adaptive Server Anywhere Network Server
"C:\Programme\yWorks\yEd\yEd.exe" = C:\Programme\yWorks\yEd\yEd.exe:*:Disabled:yEd Graph Editor -- (yWorks GmbH)
"C:\Programme\Bitcoin\bitcoin.exe" = C:\Programme\Bitcoin\bitcoin.exe:*:Enabled:bitcoin -- ()
"D:\ctNotWin2011\WinBuilder.exe" = D:\ctNotWin2011\WinBuilder.exe:*:Enabled:WinBuilder.exe
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
"D:\privat\urlaubsfotos\left4dead2.exe" = D:\privat\urlaubsfotos\left4dead2.exe:*:Enabled:left4dead2
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"C:\Programme\Microsoft Office\Office14\GROOVE.EXE" = C:\Programme\Microsoft Office\Office14\GROOVE.EXE:*:Enabled:Microsoft SharePoint Workspace -- (Microsoft Corporation)
"C:\Programme\WinHTTrack\WinHTTrack.exe" = C:\Programme\WinHTTrack\WinHTTrack.exe:*:Enabled:WinHTTrack Website Copier, Web Site mirroring for professional and private purposes -- (HTTrack)
"C:\Programme\TeamViewer\Version7\TeamViewer.exe" = C:\Programme\TeamViewer\Version7\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
"C:\Programme\AVG\AVG2012\avgmfapx.exe" = C:\Programme\AVG\AVG2012\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\McAfee\Common Framework\FrameworkService.exe" = C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service -- (McAfee, Inc.)
"C:\XAMPP\apache\bin\httpd.exe" = C:\XAMPP\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\XAMPP\mysql\bin\mysqld.exe" = C:\XAMPP\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- ()
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Bitcoin\bitcoin.exe" = C:\Programme\Bitcoin\bitcoin.exe:*:Enabled:bitcoin -- ()
"C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{147BCE03-C0F1-4C9F-8157-6A89B6D2D973}" = McAfee VirusScan Enterprise
"{1A6A6531-08FC-47AD-BAC4-C41497E71031}" = Nero 7 Essentials
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 29
"{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2
"{32A3A4F4-B792-11D6-A78A-00B0D0160250}" = Java(TM) SE Development Kit 6 Update 25
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5AE3D9F1-9E9E-4015-8787-E22705AA32C5}" = msxml4
"{650E4124-292E-4638-944C-99A880C9D0F0}" = Oracle VM VirtualBox 4.1.6
"{6A3F9D74-BB80-4451-8CA1-4B3A857F1359}" = Apple Application Support
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6F69C969-2942-4E7B-B594-75B37664B8BA}" = NVIDIA System Update
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73EC658D-A1C6-40CA-8E86-E05821BAACE7}" = Java DB 10.6.2.1
"{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}" = SSH Secure Shell
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{86B3F2D6-AC2B-4E88-8AE1-F2F77F781B0C}" = EndNote X3
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 14
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUS_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUS_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUS_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUS_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUS_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUS_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91B174AD-82E4-430C-B0EB-AF51D1C3BD78}" = MySQL Workbench 5.1 OSS
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A106D3BA-CF1F-4E13-8161-4ACA153E2F96}" = Graphviz
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AA951B10-7089-4D60-B288-516E641F48E6}" = McAfee Agent
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.7 - Deutsch
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B395BC1D-CC06-425E-9049-4CD985EFF004}" = LightScribe  1.8.15.1
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1677F5F-20E2-4176-8F5C-B5DB6DD3669D}" = WSCAD55Demo
"{C9E14402-3631-4182-B377-6B0DFB1C0339}" = QuickTime
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"3309-7404-0599-8908" = yEd Graph Editor 3.7.0.2
"7-Zip" = 7-Zip 9.20
"8973-4025-0853-7287-3" = DbVisualizer 7.1.5
"AccessDiver v4.281_is1" = AccessDiver v4.281
"Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8.1.6 Professional
"Adobe Acrobat 8 Professional - English, Français, Deutsch_816" = Adobe Acrobat 8.1.6 - CPSID_49167
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ATITool" = ATITool Overclocking Utility
"B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"CCleaner" = CCleaner
"conduitEngine" = Conduit Engine
"CPUID CPU-Z_is1" = CPUID CPU-Z 1.58
"CPUID HWMonitor_is1" = CPUID HWMonitor 1.18
"ESET Online Scanner" = ESET Online Scanner v3
"Free Download Manager_is1" = Free Download Manager 3.0
"Free YouTube Download_is1" = Free YouTube Download version 3.0.16.923
"GetYourVid" = GetYourVid
"ie8" = Windows Internet Explorer 8
"InstallShield_{6F69C969-2942-4E7B-B594-75B37664B8BA}" = NVIDIA System Update
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.8.5
"KeePass Password Safe_is1" = KeePass Password Safe 1.19b
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"MediaCoder" = MediaCoder 0.6.0
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"nLite_is1" = nLite 1.4.9.1
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OpenLibraries" = OpenLibraries
"Opera 11.60.1185" = Opera 11.60
"PE Builder_is1" = PE Builder 3.1.10a
"PowerISO" = PowerISO
"PPTView97" = Microsoft PowerPoint Viewer 97
"PSPad editor_is1" = PSPad editor
"Python 2.3.4" = Python 2.3.4
"ResearchSoft Direct Export Helper" = ResearchSoft Direct Export Helper
"Sandboxie" = Sandboxie 3.46
"Ssrc SVG Plugin v1.9.2.8" = Ssrc SVG Plugin v1.9.2.8
"TeamViewer 7" = TeamViewer 7
"Totalcmd" = Total Commander (Remove or Repair)
"Universal Extractor_is1" = Universal Extractor 1.6.1
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"VLC media player" = VLC media player 1.1.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.44-1
"WinMerge_is1" = WinMerge 2.12.4
"winscp3_is1" = WinSCP 4.3.6
"Wireshark" = Wireshark 1.4.0
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xampp" = XAMPP 1.7.4
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Bitcoin" = Bitcoin
"Dropbox" = Dropbox
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2012 04:17:26 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 5 Sekunden neu gestartet.
 
Error - 10.01.2012 05:24:25 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 3132 (0xc3c)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158   Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe   4(0)(0)   4(0)(0)   7200(0)(0)   
7595(0)(0)   7005(0)(0)   7004(0)(0)   5006(0)(0)   5004(0)(0)  
 
Error - 10.01.2012 05:24:25 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 10 Sekunden neu gestartet.
 
Error - 10.01.2012 05:37:36 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 2160 (0x870)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158   Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe   4(0)(0)   4(0)(0)   7200(0)(0)   
7595(0)(0)   7005(0)(0)   7004(0)(0)   5006(0)(0)   5004(0)(0)  
 
Error - 10.01.2012 05:37:37 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 15 Sekunden neu gestartet.
 
Error - 10.01.2012 06:29:49 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 5051
Description = Ein Thread in Vorgang C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
 brauchte länger als 90000 ms, um eine Anfrage auszuführen.    Der Vorgang wird beendet.
Thread-ID:
 920 (0x398)    Thread-Adresse: 0x7C91E514    Thread-Nachricht:      Build VSCORE.14.1.0.593
 / 5400.1158   Object being scanned = \Device\HarddiskVolume1\Dokumente und Einstellungen\wehserro.CMS\Anwendungsdaten\Thunderbird\Profiles\ur4a95cy.default\ImapMail\mailbox.cms.hu-berlin.de\INBOX

 by C:\Programme\Mozilla Thunderbird\thunderbird.exe   4(16)(0)   4(16)(0)   7200(16)(0)

 7595(16)(0)   7005(0)(0)   7004(0)(0)   5006(0)(0)   5004(0)(0)  
 
Error - 10.01.2012 06:29:51 | Computer Name = EPUBSHK03 | Source = McLogEvent | ID = 1008
Description = Der McShield-Service wurde unerwartet beendet.    Details hierzu erhalten
 Sie in Ereignis 5019 oder 5051.  Der McShield-Service wird in 20 Sekunden neu gestartet.
 
Error - 11.01.2012 08:10:47 | Computer Name = EPUBSHK03 | Source = Userenv | ID = 1054
Description = Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt
 werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung
 hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
 
Error - 11.01.2012 08:10:48 | Computer Name = EPUBSHK03 | Source = AutoEnrollment | ID = 15
Description = Die automatische Zertifikatregistrierung für "lokaler Computer" konnte
 keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne
 ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.   Die Registrierung
 wird nicht durchgeführt.
 
Error - 11.01.2012 08:11:17 | Computer Name = EPUBSHK03 | Source = Userenv | ID = 1054
Description = Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt
 werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung
 hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.
 
[ System Events ]
Error - 09.01.2012 10:18:08 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 09.01.2012 10:20:35 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 10.01.2012 04:17:26 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 10.01.2012 05:24:26 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 2 Mal passiert.
 
Error - 10.01.2012 05:37:37 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 3 Mal passiert.
 
Error - 10.01.2012 06:29:51 | Computer Name = EPUBSHK03 | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 4 Mal passiert.
 
Error - 11.01.2012 08:10:32 | Computer Name = EPUBSHK03 | Source = SCardSvr | ID = 602
Description = Die WDM-Lesertreiberinitialisierung konnte den Leser nicht öffnen:
 Das System kann den angegebenen Pfad nicht finden.
 
Error - 11.01.2012 08:10:47 | Computer Name = EPUBSHK03 | Source = NETLOGON | ID = 5719
Description = Es steht kein Domänencontroller für die Domäne CMS aus folgendem Grund
 zur  Verfügung:   %%1311.    Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden
 ist, und  versuchen Sie es erneut. Wenden Sie sich an den Domänenadministrator, wenn
das
 Problem weiterhin besteht.
 
Error - 11.01.2012 08:10:49 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 11.01.2012 08:10:49 | Computer Name = EPUBSHK03 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
 
< End of report >
--- --- ---
Alt 12.01.2012, 07:24   #6
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


und GMER:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2012-01-12 07:18:13
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\0000007e SAMSUNG_HD250HJ rev.FH100-06
Running: bipkgrgq.exe; Driver: C:\DOKUME~1\wehserro.CMS\LOKALE~1\Temp\kwlyrpog.sys


---- System - GMER 1.0.15 ----

Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwCreateKey [0xB7E8F290]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwDeleteKey [0xB7E8F2A4]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwDeleteValueKey [0xB7E8F2D0]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwMapViewOfSection [0xB7E8F326]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwOpenKey [0xB7E8F27C]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwOpenProcess [0xB7E8F254]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwOpenThread [0xB7E8F268]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwRenameKey [0xB7E8F2BA]
Code            B8702C9C                                                                                          ZwRequestPort
Code            B8702D3C                                                                                          ZwRequestWaitReplyPort
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwSetSecurityObject [0xB7E8F2FC]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwSetValueKey [0xB7E8F2E6]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwTerminateProcess [0xB7E8F350]
Code            B8702BFC                                                                                          ZwTraceEvent
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwUnmapViewOfSection [0xB7E8F33C]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     ZwYieldExecution [0xB7E8F310]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     NtMapViewOfSection
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     NtOpenProcess
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     NtOpenThread
Code            B8702C9B                                                                                          NtRequestPort
Code            B8702D3B                                                                                          NtRequestWaitReplyPort
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)                                                     NtSetSecurityObject
Code            B8702BFB                                                                                          NtTraceEvent

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwYieldExecution                                                                     80504B08 7 Bytes  JMP B7E8F314 mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
.text           ntkrnlpa.exe!NtTraceEvent                                                                         80535156 5 Bytes  JMP B8702C00 
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                          section is writeable [0xB6E0B3A0, 0x8A1A15, 0xE8000020]
init            C:\WINDOWS\system32\drivers\Senfilt.sys                                                           entry point in "init" section [0xB44C0A00]
.text           win32k.sys!EngAcquireSemaphore + 20F0                                                             BF808304 5 Bytes  JMP B8702480 
.text           win32k.sys!EngFreeUserMem + 5BD7                                                                  BF80EE90 5 Bytes  JMP B87023E0 
.text           win32k.sys!EngSetLastError + 79AA                                                                 BF8242D6 5 Bytes  JMP B87025C0 
.text           win32k.sys!FONTOBJ_pxoGetXform + C2CF                                                             BF85198B 5 Bytes  JMP B8702A20 
.text           win32k.sys!XLATEOBJ_iXlate + 2EDD                                                                 BF85DE70 5 Bytes  JMP B8702520 
.text           win32k.sys!EngCreatePalette + 8A                                                                  BF85F814 5 Bytes  JMP B87028E0 
.text           win32k.sys!EngCopyBits + 1409                                                                     BF89A1BD 5 Bytes  JMP B8702700 
.text           win32k.sys!EngCopyBits + 4DEE                                                                     BF89DBA2 5 Bytes  JMP B8702660 
.text           win32k.sys!EngEraseSurface + A9F7                                                                 BF8C2130 5 Bytes  JMP B87027A0 
.text           win32k.sys!EngDeleteSemaphore + 3B40                                                              BF8EC299 5 Bytes  JMP B8702980 
.text           win32k.sys!EngCreateClip + 19DF                                                                   BF91348A 5 Bytes  JMP B8702AC0 
.text           win32k.sys!EngCreateClip + 1F6F                                                                   BF913A1A 5 Bytes  JMP B8702B60 
.text           win32k.sys!EngCreateClip + 25B5                                                                   BF914060 5 Bytes  JMP B8702840 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtCreateFile                     7C91D0AE 5 Bytes  JMP 00EC0FEF 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtCreateProcess                  7C91D14E 5 Bytes  JMP 00EC0FCA 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ntdll.dll!NtProtectVirtualMemory           7C91D6EE 5 Bytes  JMP 00EC0000 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateFileA                   7C801A28 5 Bytes  JMP 00EB0FEF 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!VirtualProtectEx              7C801A61 5 Bytes  JMP 00EB006E 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!VirtualProtect                7C801AD4 5 Bytes  JMP 00EB0F79 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryExW                7C801AF5 5 Bytes  JMP 00EB0F94 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryExA                7C801D53 5 Bytes  JMP 00EB0047 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryA                  7C801D7B 5 Bytes  JMP 00EB0025 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetStartupInfoW               7C801E54 5 Bytes  JMP 00EB009C 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetStartupInfoA               7C801EF2 5 Bytes  JMP 00EB0F54 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateProcessW                7C802336 5 Bytes  JMP 00EB00D2 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateProcessA                7C80236B 5 Bytes  JMP 00EB00AD 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!GetProcAddress                7C80AE40 5 Bytes  JMP 00EB0F1E 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!LoadLibraryW                  7C80AEEB 5 Bytes  JMP 00EB0036 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateFileW                   7C810800 5 Bytes  JMP 00EB0FDE 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreatePipe                    7C81D83F 5 Bytes  JMP 00EB007F 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateNamedPipeW              7C82F0DD 5 Bytes  JMP 00EB0FB9 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!CreateNamedPipeA              7C860CDC 5 Bytes  JMP 00EB0014 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] kernel32.dll!WinExec                       7C86250D 5 Bytes  JMP 00EB0F39 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyExW                 77DA6AAF 5 Bytes  JMP 00EA0FD4 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyExW               77DA776C 5 Bytes  JMP 00EA0F72 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyExA                 77DA7852 5 Bytes  JMP 00EA0025 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyW                   77DA7946 5 Bytes  JMP 00EA0014 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyExA               77DAE9F4 5 Bytes  JMP 00EA0F8D 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegOpenKeyA                   77DAEFC8 5 Bytes  JMP 00EA0FEF 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyW                 77DCBA55 2 Bytes  JMP 00EA0FA8 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyW + 3             77DCBA58 2 Bytes  [0D, 89]
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] ADVAPI32.dll!RegCreateKeyA                 77DCBCF3 5 Bytes  JMP 00EA0FC3 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wsystem                        77BF931E 5 Bytes  JMP 00E90031 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!system                          77BF93C7 5 Bytes  JMP 00E90FA6 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_creat                          77BFD40F 5 Bytes  JMP 00E9000C 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_open                           77BFF566 5 Bytes  JMP 00E90FEF 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wcreat                         77BFFC9B 5 Bytes  JMP 00E90FB7 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] msvcrt.dll!_wopen                          77C00055 5 Bytes  JMP 00E90FDE 
.text           C:\Programme\McAfee\Common Framework\naPrdMgr.exe[232] WS2_32.dll!socket                          71A14211 5 Bytes  JMP 00E80FEF 
.text           C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtCreateFile                                       7C91D0AE 5 Bytes  JMP 02A80FE5 
.text           C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtCreateProcess                                    7C91D14E 5 Bytes  JMP 02A8001B 
.text           C:\WINDOWS\System32\svchost.exe[760] ntdll.dll!NtProtectVirtualMemory                             7C91D6EE 5 Bytes  JMP 02A80000 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateFileA                                     7C801A28 5 Bytes  JMP 02A70000 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!VirtualProtectEx                                7C801A61 5 Bytes  JMP 02A70051 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!VirtualProtect                                  7C801AD4 5 Bytes  JMP 02A70F5C 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryExW                                  7C801AF5 5 Bytes  JMP 02A70F79 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryExA                                  7C801D53 5 Bytes  JMP 02A70F8A 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryA                                    7C801D7B 5 Bytes  JMP 02A7001B 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetStartupInfoW                                 7C801E54 5 Bytes  JMP 02A7006E 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetStartupInfoA                                 7C801EF2 5 Bytes  JMP 02A70F26 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 02A70EF7 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateProcessA                                  7C80236B 5 Bytes  JMP 02A70090 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!GetProcAddress                                  7C80AE40 5 Bytes  JMP 02A70EDC 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!LoadLibraryW                                    7C80AEEB 5 Bytes  JMP 02A7002C 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateFileW                                     7C810800 5 Bytes  JMP 02A70FDB 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreatePipe                                      7C81D83F 5 Bytes  JMP 02A70F37 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateNamedPipeW                                7C82F0DD 5 Bytes  JMP 02A70FAF 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!CreateNamedPipeA                                7C860CDC 5 Bytes  JMP 02A70FCA 
.text           C:\WINDOWS\System32\svchost.exe[760] kernel32.dll!WinExec                                         7C86250D 5 Bytes  JMP 02A7007F 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyExW                                   77DA6AAF 5 Bytes  JMP 02A6001B 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyExW                                 77DA776C 5 Bytes  JMP 02A60073 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyExA                                   77DA7852 5 Bytes  JMP 02A60FCA 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyW                                     77DA7946 5 Bytes  JMP 02A6000A 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyExA                                 77DAE9F4 5 Bytes  JMP 02A60062 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegOpenKeyA                                     77DAEFC8 5 Bytes  JMP 02A60FE5 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyW                                   77DCBA55 5 Bytes  JMP 02A60047 
.text           C:\WINDOWS\System32\svchost.exe[760] ADVAPI32.dll!RegCreateKeyA                                   77DCBCF3 5 Bytes  JMP 02A60036 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wsystem                                          77BF931E 5 Bytes  JMP 02770FA1 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!system                                            77BF93C7 5 Bytes  JMP 02770036 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_creat                                            77BFD40F 5 Bytes  JMP 02770FC6 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_open                                             77BFF566 5 Bytes  JMP 02770000 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wcreat                                           77BFFC9B 5 Bytes  JMP 0277001B 
.text           C:\WINDOWS\System32\svchost.exe[760] msvcrt.dll!_wopen                                            77C00055 5 Bytes  JMP 02770FD7 
.text           C:\WINDOWS\System32\svchost.exe[760] WS2_32.dll!socket                                            71A14211 5 Bytes  JMP 02760FEF 
.text           C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenA                                    408DD6A8 5 Bytes  JMP 02750000 
.text           C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenW                                    408DDB21 5 Bytes  JMP 02750FE5 
.text           C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenUrlA                                 408DF3BC 5 Bytes  JMP 02750FD4 
.text           C:\WINDOWS\System32\svchost.exe[760] WININET.dll!InternetOpenUrlW                                 40926DFF 5 Bytes  JMP 02750025 
.text           C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtCreateFile                                       7C91D0AE 5 Bytes  JMP 00CB0FEF 
.text           C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtCreateProcess                                    7C91D14E 5 Bytes  JMP 00CB002F 
.text           C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtProtectVirtualMemory                             7C91D6EE 5 Bytes  JMP 00CB0014 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateFileA                                     7C801A28 5 Bytes  JMP 00CA0000 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!VirtualProtectEx                                7C801A61 5 Bytes  JMP 00CA0F72 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!VirtualProtect                                  7C801AD4 5 Bytes  JMP 00CA0F83 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryExW                                  7C801AF5 5 Bytes  JMP 00CA005D 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryExA                                  7C801D53 5 Bytes  JMP 00CA0F94 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryA                                    7C801D7B 5 Bytes  JMP 00CA002F 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetStartupInfoW                                 7C801E54 5 Bytes  JMP 00CA0F41 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetStartupInfoA                                 7C801EF2 5 Bytes  JMP 00CA0093 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateProcessW                                  7C802336 5 Bytes  JMP 00CA0EFA 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateProcessA                                  7C80236B 5 Bytes  JMP 00CA0F0B 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!GetProcAddress                                  7C80AE40 5 Bytes  JMP 00CA00AE 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!LoadLibraryW                                    7C80AEEB 5 Bytes  JMP 00CA0040 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateFileW                                     7C810800 5 Bytes  JMP 00CA0FE5 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreatePipe                                      7C81D83F 5 Bytes  JMP 00CA0082 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateNamedPipeW                                7C82F0DD 5 Bytes  JMP 00CA0FC3 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!CreateNamedPipeA                                7C860CDC 5 Bytes  JMP 00CA0FD4 
.text           C:\WINDOWS\system32\svchost.exe[976] kernel32.dll!WinExec                                         7C86250D 5 Bytes  JMP 00CA0F30 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyExW                                   77DA6AAF 5 Bytes  JMP 00C9000A 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyExW                                 77DA776C 5 Bytes  JMP 00C90040 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyExA                                   77DA7852 5 Bytes  JMP 00C90FB9 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyW                                     77DA7946 5 Bytes  JMP 00C90FD4 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyExA                                 77DAE9F4 5 Bytes  JMP 00C90F83 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegOpenKeyA                                     77DAEFC8 5 Bytes  JMP 00C90FE5 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyW                                   77DCBA55 5 Bytes  JMP 00C90025 
.text           C:\WINDOWS\system32\svchost.exe[976] ADVAPI32.dll!RegCreateKeyA                                   77DCBCF3 5 Bytes  JMP 00C90F9E 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wsystem                                          77BF931E 5 Bytes  JMP 00C80F9C 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!system                                            77BF93C7 5 Bytes  JMP 00C80FAD 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_creat                                            77BFD40F 5 Bytes  JMP 00C8001D 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_open                                             77BFF566 3 Bytes  JMP 00C80FEF 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_open + 4                                         77BFF56A 1 Byte  [89]
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wcreat                                           77BFFC9B 5 Bytes  JMP 00C80FC8 
.text           C:\WINDOWS\system32\svchost.exe[976] msvcrt.dll!_wopen                                            77C00055 5 Bytes  JMP 00C8000C 
.text           C:\WINDOWS\system32\svchost.exe[976] WS2_32.dll!socket                                            71A14211 5 Bytes  JMP 00C6000A 
.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00A60FEF 
.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtCreateProcess                                   7C91D14E 5 Bytes  JMP 00A60000 
.text           C:\WINDOWS\system32\svchost.exe[1148] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00A60FCA 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00A10000 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtectEx                               7C801A61 5 Bytes  JMP 00A10F5E 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!VirtualProtect                                 7C801AD4 5 Bytes  JMP 00A10F79 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExW                                 7C801AF5 5 Bytes  JMP 00A10053 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryExA                                 7C801D53 5 Bytes  JMP 00A10036 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryA                                   7C801D7B 5 Bytes  JMP 00A10FA5 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00A1009A 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00A10089 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessW                                 7C802336 5 Bytes  JMP 00A10F15 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateProcessA                                 7C80236B 5 Bytes  JMP 00A10F26 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!GetProcAddress                                 7C80AE40 5 Bytes  JMP 00A10F04 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!LoadLibraryW                                   7C80AEEB 5 Bytes  JMP 00A10F94 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00A10FE5 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreatePipe                                     7C81D83F 5 Bytes  JMP 00A10078 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeW                               7C82F0DD 5 Bytes  JMP 00A10011 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!CreateNamedPipeA                               7C860CDC 5 Bytes  JMP 00A10FCA 
.text           C:\WINDOWS\system32\svchost.exe[1148] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00A10F41 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00A00000 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00A00F72 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00A00FAF 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00A00FCA 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00A00F83 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00A00FE5 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00A00F94 
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [C3, 88]
.text           C:\WINDOWS\system32\svchost.exe[1148] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00A0001B 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wsystem                                         77BF931E 5 Bytes  JMP 009F0FA6 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!system                                           77BF93C7 5 Bytes  JMP 009F0FC1 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_creat                                           77BFD40F 5 Bytes  JMP 009F0FD2 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 009F0FE3 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 009F0027 
.text           C:\WINDOWS\system32\svchost.exe[1148] msvcrt.dll!_wopen                                           77C00055 5 Bytes  JMP 009F000C 
.text           C:\WINDOWS\system32\svchost.exe[1148] WS2_32.dll!socket                                           71A14211 5 Bytes  JMP 009E0FE5 
.text           C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtCreateFile                                     7C91D0AE 5 Bytes  JMP 03110000 
.text           C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtCreateProcess                                  7C91D14E 5 Bytes  JMP 0311002C 
.text           C:\WINDOWS\system32\services.exe[1520] ntdll.dll!NtProtectVirtualMemory                           7C91D6EE 5 Bytes  JMP 0311001B 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateFileA                                   7C801A28 5 Bytes  JMP 0310000A 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!VirtualProtectEx                              7C801A61 5 Bytes  JMP 03100071 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!VirtualProtect                                7C801AD4 5 Bytes  JMP 03100F7C 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryExW                                7C801AF5 5 Bytes  JMP 03100054 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryExA                                7C801D53 5 Bytes  JMP 03100F97 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryA                                  7C801D7B 5 Bytes  JMP 03100FCD 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetStartupInfoW                               7C801E54 5 Bytes  JMP 03100F33 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetStartupInfoA                               7C801EF2 5 Bytes  JMP 03100F44 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateProcessW                                7C802336 5 Bytes  JMP 031000BB 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateProcessA                                7C80236B 5 Bytes  JMP 031000AA 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!GetProcAddress                                7C80AE40 5 Bytes  JMP 031000CC 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!LoadLibraryW                                  7C80AEEB 5 Bytes  JMP 03100FA8 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateFileW                                   7C810800 5 Bytes  JMP 03100FEF 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreatePipe                                    7C81D83F 5 Bytes  JMP 03100F61 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateNamedPipeW                              7C82F0DD 5 Bytes  JMP 03100FDE 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!CreateNamedPipeA                              7C860CDC 5 Bytes  JMP 03100025 
.text           C:\WINDOWS\system32\services.exe[1520] kernel32.dll!WinExec                                       7C86250D 5 Bytes  JMP 03100F22 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyExW                                 77DA6AAF 5 Bytes  JMP 030F002C 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyExW                               77DA776C 5 Bytes  JMP 030F0FC0 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyExA                                 77DA7852 5 Bytes  JMP 030F0011 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyW                                   77DA7946 5 Bytes  JMP 030F0FDB 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyExA                               77DAE9F4 5 Bytes  JMP 030F0073 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegOpenKeyA                                   77DAEFC8 5 Bytes  JMP 030F0000 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyW                                 77DCBA55 5 Bytes  JMP 030F0062 
.text           C:\WINDOWS\system32\services.exe[1520] ADVAPI32.dll!RegCreateKeyA                                 77DCBCF3 5 Bytes  JMP 030F0047 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wsystem                                        77BF931E 5 Bytes  JMP 030E0064 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!system                                          77BF93C7 5 Bytes  JMP 030E0FD9 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_creat                                          77BFD40F 5 Bytes  JMP 030E002E 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_open                                           77BFF566 5 Bytes  JMP 030E000C 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wcreat                                         77BFFC9B 5 Bytes  JMP 030E0049 
.text           C:\WINDOWS\system32\services.exe[1520] msvcrt.dll!_wopen                                          77C00055 5 Bytes  JMP 030E001D 
.text           C:\WINDOWS\system32\services.exe[1520] WS2_32.dll!socket                                          71A14211 5 Bytes  JMP 00FF0000 
.text           C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtCreateFile                                        7C91D0AE 5 Bytes  JMP 00FD0FEF 
.text           C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtCreateProcess                                     7C91D14E 5 Bytes  JMP 00FD000A 
.text           C:\WINDOWS\system32\lsass.exe[1532] ntdll.dll!NtProtectVirtualMemory                              7C91D6EE 5 Bytes  JMP 00FD0FD4 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateFileA                                      7C801A28 5 Bytes  JMP 00D50FE5 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!VirtualProtectEx                                 7C801A61 5 Bytes  JMP 00D50F82 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!VirtualProtect                                   7C801AD4 5 Bytes  JMP 00D50077 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryExW                                   7C801AF5 5 Bytes  JMP 00D50066 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryExA                                   7C801D53 5 Bytes  JMP 00D50055 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryA                                     7C801D7B 5 Bytes  JMP 00D50033 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetStartupInfoW                                  7C801E54 5 Bytes  JMP 00D50F54 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetStartupInfoA                                  7C801EF2 5 Bytes  JMP 00D50F71 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateProcessW                                   7C802336 5 Bytes  JMP 00D50F2F 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateProcessA                                   7C80236B 5 Bytes  JMP 00D500C8 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!GetProcAddress                                   7C80AE40 5 Bytes  JMP 00D50F14 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!LoadLibraryW                                     7C80AEEB 5 Bytes  JMP 00D50044 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateFileW                                      7C810800 5 Bytes  JMP 00D50000 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreatePipe                                       7C81D83F 5 Bytes  JMP 00D5009C 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateNamedPipeW                                 7C82F0DD 5 Bytes  JMP 00D50022 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!CreateNamedPipeA                                 7C860CDC 5 Bytes  JMP 00D50011 
.text           C:\WINDOWS\system32\lsass.exe[1532] kernel32.dll!WinExec                                          7C86250D 5 Bytes  JMP 00D500B7 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyExW                                    77DA6AAF 5 Bytes  JMP 00D4002F 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyExW                                  77DA776C 5 Bytes  JMP 00D40FA8 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyExA                                    77DA7852 5 Bytes  JMP 00D40FD4 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyW                                      77DA7946 5 Bytes  JMP 00D4000A 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyExA                                  77DAE9F4 5 Bytes  JMP 00D40065 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegOpenKeyA                                      77DAEFC8 5 Bytes  JMP 00D40FEF 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyW                                    77DCBA55 2 Bytes  JMP 00D40FB9 
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyW + 3                                77DCBA58 2 Bytes  [F7, 88]
.text           C:\WINDOWS\system32\lsass.exe[1532] ADVAPI32.dll!RegCreateKeyA                                    77DCBCF3 5 Bytes  JMP 00D40040 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wsystem                                           77BF931E 5 Bytes  JMP 00D30F9E 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!system                                             77BF93C7 5 Bytes  JMP 00D30FB9 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_creat                                             77BFD40F 5 Bytes  JMP 00D30029 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_open                                              77BFF566 5 Bytes  JMP 00D3000C 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wcreat                                            77BFFC9B 5 Bytes  JMP 00D30FD4 
.text           C:\WINDOWS\system32\lsass.exe[1532] msvcrt.dll!_wopen                                             77C00055 5 Bytes  JMP 00D30FEF 
.text           C:\WINDOWS\system32\lsass.exe[1532] WS2_32.dll!socket                                             71A14211 5 Bytes  JMP 00D20FE5 
.text           C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00B00000 
.text           C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtCreateProcess                                   7C91D14E 5 Bytes  JMP 00B00011 
.text           C:\WINDOWS\system32\svchost.exe[1716] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00B00FDB 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00AF0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!VirtualProtectEx                               7C801A61 5 Bytes  JMP 00AF0F8B 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!VirtualProtect                                 7C801AD4 5 Bytes  JMP 00AF0F9C 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryExW                                 7C801AF5 5 Bytes  JMP 00AF0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryExA                                 7C801D53 5 Bytes  JMP 00AF0076 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryA                                   7C801D7B 5 Bytes  JMP 00AF004A 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00AF00B8 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00AF0F66 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateProcessW                                 7C802336 5 Bytes  JMP 00AF0F33 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateProcessA                                 7C80236B 5 Bytes  JMP 00AF0F44 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!GetProcAddress                                 7C80AE40 5 Bytes  JMP 00AF0F22 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!LoadLibraryW                                   7C80AEEB 5 Bytes  JMP 00AF005B 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00AF0014 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreatePipe                                     7C81D83F 5 Bytes  JMP 00AF0091 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateNamedPipeW                               7C82F0DD 5 Bytes  JMP 00AF002F 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!CreateNamedPipeA                               7C860CDC 5 Bytes  JMP 00AF0FDE 
.text           C:\WINDOWS\system32\svchost.exe[1716] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00AF0F55 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00AE0025 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00AE005B 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00AE0FD4 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00AE000A 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00AE0040 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00AE0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00AE0F94 
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [D1, 88]
.text           C:\WINDOWS\system32\svchost.exe[1716] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00AE0FAF 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wsystem                                         77BF931E 5 Bytes  JMP 00AD0F9E 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!system                                           77BF93C7 5 Bytes  JMP 00AD0033 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_creat                                           77BFD40F 5 Bytes  JMP 00AD0FDE 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00AD0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00AD0FC3 
.text           C:\WINDOWS\system32\svchost.exe[1716] msvcrt.dll!_wopen                                           77C00055 5 Bytes  JMP 00AD0018 
.text           C:\WINDOWS\system32\svchost.exe[1716] WS2_32.dll!socket                                           71A14211 5 Bytes  JMP 00AC0FEF 
.text           C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00C40000 
.text           C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtCreateProcess                                   7C91D14E 5 Bytes  JMP 00C40FDB 
.text           C:\WINDOWS\system32\svchost.exe[1776] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00C40011 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00C30FEF 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!VirtualProtectEx                               7C801A61 5 Bytes  JMP 00C30F61 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!VirtualProtect                                 7C801AD4 5 Bytes  JMP 00C30F7C 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryExW                                 7C801AF5 5 Bytes  JMP 00C30F8D 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryExA                                 7C801D53 5 Bytes  JMP 00C30F9E 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryA                                   7C801D7B 5 Bytes  JMP 00C30FB9 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00C3008C 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00C3007B 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateProcessW                                 7C802336 5 Bytes  JMP 00C30F04 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateProcessA                                 7C80236B 5 Bytes  JMP 00C30F1F 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!GetProcAddress                                 7C80AE40 5 Bytes  JMP 00C300B8 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!LoadLibraryW                                   7C80AEEB 5 Bytes  JMP 00C30040 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00C3000A 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreatePipe                                     7C81D83F 5 Bytes  JMP 00C30F50 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateNamedPipeW                               7C82F0DD 5 Bytes  JMP 00C30FCA 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!CreateNamedPipeA                               7C860CDC 5 Bytes  JMP 00C3001B 
.text           C:\WINDOWS\system32\svchost.exe[1776] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00C3009D 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00C20FAF 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00C20F5E 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00C20FC0 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 00C20FDB 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00C2001B 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00C20000 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 2 Bytes  JMP 00C20F79 
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyW + 3                              77DCBA58 2 Bytes  [E5, 88] {IN EAX, 0x88}
.text           C:\WINDOWS\system32\svchost.exe[1776] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 00C20F8A 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wsystem                                         77BF931E 5 Bytes  JMP 00C10F9E 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!system                                           77BF93C7 5 Bytes  JMP 00C10029 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_creat                                           77BFD40F 5 Bytes  JMP 00C10FCD 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00C10FEF 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00C10018 
.text           C:\WINDOWS\system32\svchost.exe[1776] msvcrt.dll!_wopen                                           77C00055 5 Bytes  JMP 00C10FDE 
.text           C:\WINDOWS\system32\svchost.exe[1776] WS2_32.dll!socket                                           71A14211 5 Bytes  JMP 00C00FE5 
.text           C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtCreateFile                                      7C91D0AE 5 Bytes  JMP 00C00FE5 
.text           C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtCreateProcess                                   7C91D14E 5 Bytes  JMP 00C00000 
.text           C:\WINDOWS\system32\svchost.exe[1884] ntdll.dll!NtProtectVirtualMemory                            7C91D6EE 5 Bytes  JMP 00C00FD4 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateFileA                                    7C801A28 5 Bytes  JMP 00BF0000 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!VirtualProtectEx                               7C801A61 5 Bytes  JMP 00BF0071 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!VirtualProtect                                 7C801AD4 5 Bytes  JMP 00BF0F7C 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryExW                                 7C801AF5 5 Bytes  JMP 00BF0F8D 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryExA                                 7C801D53 5 Bytes  JMP 00BF0FA8 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryA                                   7C801D7B 5 Bytes  JMP 00BF0FCA 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetStartupInfoW                                7C801E54 5 Bytes  JMP 00BF0F4E 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetStartupInfoA                                7C801EF2 5 Bytes  JMP 00BF0096 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateProcessW                                 7C802336 5 Bytes  JMP 00BF0F22 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateProcessA                                 7C80236B 5 Bytes  JMP 00BF00B1 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!GetProcAddress                                 7C80AE40 5 Bytes  JMP 00BF0F11 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!LoadLibraryW                                   7C80AEEB 5 Bytes  JMP 00BF0FB9 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateFileW                                    7C810800 5 Bytes  JMP 00BF001B 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreatePipe                                     7C81D83F 5 Bytes  JMP 00BF0F6B 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateNamedPipeW                               7C82F0DD 5 Bytes  JMP 00BF0040 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!CreateNamedPipeA                               7C860CDC 5 Bytes  JMP 00BF0FE5 
.text           C:\WINDOWS\system32\svchost.exe[1884] kernel32.dll!WinExec                                        7C86250D 5 Bytes  JMP 00BF0F3D 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyExW                                  77DA6AAF 5 Bytes  JMP 00940FAF 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyExW                                77DA776C 5 Bytes  JMP 00940051 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyExA                                  77DA7852 5 Bytes  JMP 00940FCA 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyW                                    77DA7946 5 Bytes  JMP 0094000A 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyExA                                77DAE9F4 5 Bytes  JMP 00940F94 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegOpenKeyA                                    77DAEFC8 5 Bytes  JMP 00940FEF 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyW                                  77DCBA55 5 Bytes  JMP 0094002C 
.text           C:\WINDOWS\system32\svchost.exe[1884] ADVAPI32.dll!RegCreateKeyA                                  77DCBCF3 5 Bytes  JMP 0094001B 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wsystem                                         77BF931E 5 Bytes  JMP 0093004C 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!system                                           77BF93C7 5 Bytes  JMP 00930FB7 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_creat                                           77BFD40F 5 Bytes  JMP 00930FE3 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_open                                            77BFF566 5 Bytes  JMP 00930000 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wcreat                                          77BFFC9B 5 Bytes  JMP 00930FC8 
.text           C:\WINDOWS\system32\svchost.exe[1884] msvcrt.dll!_wopen                                           77C00055 5 Bytes  JMP 0093001D 
.text           C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenA                                   408DD6A8 5 Bytes  JMP 00910000 
.text           C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenW                                   408DDB21 5 Bytes  JMP 00910FE5 
.text           C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenUrlA                                408DF3BC 5 Bytes  JMP 00910FCA 
.text           C:\WINDOWS\system32\svchost.exe[1884] WININET.dll!InternetOpenUrlW                                40926DFF 5 Bytes  JMP 00910FB9 
.text           C:\WINDOWS\system32\svchost.exe[1884] WS2_32.dll!socket                                           71A14211 5 Bytes  JMP 00920FEF 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtCreateFile            7C91D0AE 5 Bytes  JMP 01550FEF 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtCreateProcess         7C91D14E 5 Bytes  JMP 01550FCA 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ntdll.dll!NtProtectVirtualMemory  7C91D6EE 5 Bytes  JMP 01550000 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateFileA          7C801A28 5 Bytes  JMP 01540000 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!VirtualProtectEx     7C801A61 5 Bytes  JMP 01540092 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!VirtualProtect       7C801AD4 5 Bytes  JMP 01540081 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryExW       7C801AF5 5 Bytes  JMP 01540070 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryExA       7C801D53 5 Bytes  JMP 0154005F 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryA         7C801D7B 5 Bytes  JMP 01540FC7 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetStartupInfoW      7C801E54 5 Bytes  JMP 01540F6E 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetStartupInfoA      7C801EF2 5 Bytes  JMP 015400C0 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateProcessW       7C802336 5 Bytes  JMP 015400EC 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateProcessA       7C80236B 5 Bytes  JMP 015400DB 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!GetProcAddress       7C80AE40 5 Bytes  JMP 01540F42 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!LoadLibraryW         7C80AEEB 5 Bytes  JMP 0154004E 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateFileW          7C810800 5 Bytes  JMP 01540011 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreatePipe           7C81D83F 5 Bytes  JMP 015400A3 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateNamedPipeW     7C82F0DD 5 Bytes  JMP 0154003D 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!CreateNamedPipeA     7C860CDC 5 Bytes  JMP 01540022 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] kernel32.dll!WinExec              7C86250D 5 Bytes  JMP 01540F5D 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyExW        77DA6AAF 5 Bytes  JMP 01520FD4 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyExW      77DA776C 5 Bytes  JMP 01520F8D 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyExA        77DA7852 5 Bytes  JMP 01520FEF 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyW          77DA7946 5 Bytes  JMP 0152001B 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyExA      77DAE9F4 5 Bytes  JMP 01520F9E 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegOpenKeyA          77DAEFC8 5 Bytes  JMP 01520000 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyW        77DCBA55 5 Bytes  JMP 0152004A 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] ADVAPI32.dll!RegCreateKeyA        77DCBCF3 5 Bytes  JMP 01520FC3 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wsystem               77BF931E 5 Bytes  JMP 0151002C 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!system                 77BF93C7 5 Bytes  JMP 01510FAB 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_creat                 77BFD40F 5 Bytes  JMP 01510FCD 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_open                  77BFF566 5 Bytes  JMP 01510FEF 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wcreat                77BFFC9B 5 Bytes  JMP 01510FBC 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] msvcrt.dll!_wopen                 77C00055 5 Bytes  JMP 01510FDE 
.text           C:\Programme\McAfee\Common Framework\FrameworkService.exe[1892] WS2_32.dll!socket                 71A14211 5 Bytes  JMP 01500FEF 
.text           C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtCreateFile                                              7C91D0AE 5 Bytes  JMP 00090000 
.text           C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtCreateProcess                                           7C91D14E 5 Bytes  JMP 00090FE5 
.text           C:\WINDOWS\Explorer.EXE[2580] ntdll.dll!NtProtectVirtualMemory                                    7C91D6EE 5 Bytes  JMP 0009001B 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateFileA                                            7C801A28 5 Bytes  JMP 001B0000 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!VirtualProtectEx                                       7C801A61 5 Bytes  JMP 001B0FCA 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!VirtualProtect                                         7C801AD4 5 Bytes  JMP 001B00BF 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryExW                                         7C801AF5 5 Bytes  JMP 001B0098 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryExA                                         7C801D53 5 Bytes  JMP 001B0FDB 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryA                                           7C801D7B 5 Bytes  JMP 001B0058 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetStartupInfoW                                        7C801E54 5 Bytes  JMP 001B0F99 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetStartupInfoA                                        7C801EF2 5 Bytes  JMP 001B00EB 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateProcessW                                         7C802336 5 Bytes  JMP 001B0F6D 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateProcessA                                         7C80236B 5 Bytes  JMP 001B0F88 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!GetProcAddress                                         7C80AE40 5 Bytes  JMP 001B0121 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!LoadLibraryW                                           7C80AEEB 5 Bytes  JMP 001B007D 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateFileW                                            7C810800 5 Bytes  JMP 001B0011 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreatePipe                                             7C81D83F 5 Bytes  JMP 001B00DA 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateNamedPipeW                                       7C82F0DD 5 Bytes  JMP 001B0047 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!CreateNamedPipeA                                       7C860CDC 5 Bytes  JMP 001B002C 
.text           C:\WINDOWS\Explorer.EXE[2580] kernel32.dll!WinExec                                                7C86250D 5 Bytes  JMP 001B0106 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyExW                                          77DA6AAF 5 Bytes  JMP 002A0025 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyExW                                        77DA776C 5 Bytes  JMP 002A0F9B 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyExA                                          77DA7852 5 Bytes  JMP 002A0FCA 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyW                                            77DA7946 5 Bytes  JMP 002A0000 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyExA                                        77DAE9F4 5 Bytes  JMP 002A0062 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegOpenKeyA                                            77DAEFC8 5 Bytes  JMP 002A0FE5 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyW                                          77DCBA55 5 Bytes  JMP 002A0051 
.text           C:\WINDOWS\Explorer.EXE[2580] ADVAPI32.dll!RegCreateKeyA                                          77DCBCF3 5 Bytes  JMP 002A0040 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wsystem                                                 77BF931E 5 Bytes  JMP 002B0F97 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!system                                                   77BF93C7 5 Bytes  JMP 002B0FA8 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_creat                                                   77BFD40F 5 Bytes  JMP 002B0FDE 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_open                                                    77BFF566 5 Bytes  JMP 002B0FEF 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wcreat                                                  77BFFC9B 5 Bytes  JMP 002B0FC3 
.text           C:\WINDOWS\Explorer.EXE[2580] msvcrt.dll!_wopen                                                   77C00055 5 Bytes  JMP 002B000C 
.text           C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenA                                           408DD6A8 5 Bytes  JMP 002D0FEF 
.text           C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenW                                           408DDB21 5 Bytes  JMP 002D0FD4 
.text           C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenUrlA                                        408DF3BC 5 Bytes  JMP 002D000A 
.text           C:\WINDOWS\Explorer.EXE[2580] WININET.dll!InternetOpenUrlW                                        40926DFF 5 Bytes  JMP 002D001B 
.text           C:\WINDOWS\Explorer.EXE[2580] WS2_32.dll!socket                                                   71A14211 5 Bytes  JMP 02F6000A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                          mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                         mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                         mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                       mfetdi2k.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          mfehidk.sys (McAfee Link Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----
--- --- ---
Alt 12.01.2012, 14:14   #7
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


hi
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2012, 15:03   #8
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Combofix Logfile:
Code:
ATTFilter
ComboFix 12-01-12.02 - wehserro 12.01.2012  14:46:17.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1250 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\wehserro.CMS\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\PostBuild.exe
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\.lock
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.001
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.002
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.003
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.004
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.005
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\__db.006
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\addr.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\blk0001.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\blkindex.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\database\log.0000000142
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\db.log
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\debug.log
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Bitcoin\wallet.dat
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\isRS-000.tmp
c:\windows\IsUn0407.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-12 bis 2012-01-12  ))))))))))))))))))))))))))))))
.
.
2012-01-09 14:03 . 2012-01-09 14:03	205072	----a-w-	c:\windows\system32\drivers\tmcomm.sys
2012-01-09 13:54 . 2012-01-12 08:29	40776	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2012-01-09 13:54 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-01-09 13:54 . 2012-01-12 08:25	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-01-03 07:22 . 2012-01-03 07:22	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2012-01-03 07:22 . 2012-01-03 07:22	103864	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
2011-12-23 07:36 . 2011-12-23 08:21	--------	d-----w-	c:\programme\Accessdiver
2011-12-15 09:13 . 2011-12-15 09:13	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2011-12-15 09:10 . 2011-12-15 12:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-08 10:28 . 2011-12-08 10:28	388096	----a-r-	c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-12-05 06:43 . 2011-12-05 06:43	29480	----a-w-	c:\windows\system32\msxml3a.dll
2011-11-25 21:57 . 2008-04-14 05:52	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-14 05:23	1859712	----a-w-	c:\windows\system32\win32k.sys
2011-11-21 15:45 . 2011-05-13 11:10	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-20 06:12 . 2008-04-14 05:52	61952	----a-w-	c:\windows\system32\packager.exe
2011-11-04 19:13 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-11-04 19:13 . 2008-04-14 05:52	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-11-04 12:42 . 2011-11-04 12:42	116016	----a-w-	c:\windows\system32\drivers\VBoxNetFlt.sys
2011-11-04 12:42 . 2010-06-28 09:55	158512	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2011-11-04 12:42 . 2010-06-28 09:55	91440	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
2011-11-04 12:42 . 2010-06-25 14:01	104752	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2011-11-04 12:42 . 2011-11-04 12:42	135472	----a-w-	c:\windows\system32\VBoxNetFltNobj.dll
2011-11-04 11:23 . 2008-04-14 05:25	385024	----a-w-	c:\windows\system32\html.iec
2011-11-03 15:28 . 2008-04-14 05:52	387072	----a-w-	c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2008-04-14 05:52	1297920	----a-w-	c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2008-04-14 05:52	1288704	----a-w-	c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2008-04-14 05:52	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2008-04-14 07:30	2029568	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-26 10:49 . 2008-04-14 05:29	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-18 11:13 . 2008-04-14 05:52	186880	----a-w-	c:\windows\system32\encdec.dll
2011-10-14 14:47 . 2008-04-14 05:52	178176	----a-w-	c:\windows\system32\winmm.dll
2011-10-14 14:47 . 2008-04-14 05:52	23040	----a-w-	c:\windows\system32\mciseq.dll
2010-10-07 13:51 . 2011-06-23 14:04	3774976	----a-w-	c:\programme\Gemeinsame Dateien\WSCAD55Demo.msi
2011-10-31 13:57 . 2011-03-23 14:52	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2011-02-04 18:07 . 2010-06-21 07:50	23864	----a-w-	c:\programme\mozilla firefox\components\Scriptff.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-05 14:55	3911776	----a-w-	c:\programme\ConduitEngine\ConduitEngin0.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36	94208	----a-w-	c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-08-25 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2011-08-16 124224]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"AsusStartupHelp"="c:\programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-13 363008]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-08-03 13892200]
"NvMediaCenter"="NvMCTray.dll" [2011-08-03 111208]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2011-07-05 1632360]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-07-05 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-12-24 460872]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\wehserro.CMS\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011-12-5 24242056]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Biet-O-Matic.lnk - d:\privat\Biet-O-Matic\Biet-O-Matic.exe [2011-3-17 1265664]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-10-14 20:38	623992	----a-w-	c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07	843712	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-01-03 21:51	37296	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-01 08:21	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
2010-04-28 22:28	3727411	----a-w-	c:\programme\Free Download Manager\fdm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-06-01 15:35	136176	----atw-	c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2011-08-03 11:49	13892200	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2011-08-03 11:49	111208	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
2010-07-04 09:49	398568	----a-w-	c:\programme\Sandboxie\SbieCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ttecx_hdd_led_win_xp]
2003-08-26 19:18	212992	----a-w-	c:\programme\TtecX.com\Keyboard-HDD-LED\ttecx_hdd_led_win_xp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI 1.33 deutsch]
2000-10-06 22:13	106544	----a-w-	c:\windows\system32\TWEAKUI.CPL
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\XAMPP\\apache\\bin\\httpd.exe"=
"c:\\XAMPP\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Bitcoin\\bitcoin.exe"=
"c:\\Dokumente und Einstellungen\\wehserro.CMS\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [17.06.2010 14:45 11448]
R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [09.11.2011 09:55 89624]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [28.06.2010 10:55 158512]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [28.06.2010 10:55 91440]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [14.09.2011 15:16 21992]
R2 DHCPServer;DHCP Server;c:\temp\DHCP\dhcpsrv.exe [29.09.2010 08:58 57344]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [09.01.2012 14:54 652872]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\engineserver.exe [04.02.2011 19:07 22816]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [21.06.2010 08:50 148520]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [19.09.2011 09:40 2255464]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [12.12.2011 08:46 2923392]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09.01.2012 14:54 20464]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [25.06.2010 15:01 104752]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\drivers\VBoxNetFlt.sys [04.11.2011 13:42 116016]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2011 10:25 136176]
S3 ausens;ausens;c:\windows\system32\drivers\ausens.sys [13.08.2003 13:33 404736]
S3 BazisVirtualCDBus;WinCDEmu Virtual Bus Driver;c:\windows\system32\drivers\BazisVirtualCDBus.sys [06.04.2010 19:12 93848]
S3 cpuz130;cpuz130;\??\c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\drivers\cxbu0wdm.sys [25.01.2010 13:56 115712]
S3 DCamUSBIntel;AV301P Video Camera;c:\windows\system32\Drivers\TP6800.sys --> c:\windows\system32\Drivers\TP6800.sys [?]
S3 GPU-Z;GPU-Z;\??\c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\GPU-Z.sys --> c:\dokume~1\wehserro.CMS\LOKALE~1\Temp\GPU-Z.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2011 10:25 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [09.01.2012 14:54 40776]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [21.06.2010 08:50 87808]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [01.07.2010 08:42 13056]
S3 uafilter;uafilter;c:\windows\system32\drivers\UAFilter.sys [11.10.2010 13:16 9886]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [28.06.2010 10:55 33712]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 metasploitPostgreSQL;metasploitPostgreSQL;C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N "metasploitPostgreSQL" -D "C:/METASP~1/POSTGR~1/data" --> C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N metasploitPostgreSQL [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-16 23:10]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-16 23:10]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003Core.job
- c:\dokumente und einstellungen\wehserro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-06-17 12:48]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-57989841-682003330-1003UA.job
- c:\dokumente und einstellungen\wehserro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-06-17 12:48]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531Core.job
- c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 15:35]
.
2012-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-580282875-1176184684-930044561-1531UA.job
- c:\dokumente und einstellungen\wehserro.CMS\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 15:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = wordswile.tk:80
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: Interfaces\{3D8B9D76-4ED5-4DE6-A6E4-C62D1A12AFA8}: NameServer = 141.20.1.3,141.1.1.1
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - ProfilePath - c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Mozilla\Firefox\Profiles\p1yadxag.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - (no file)
MSConfigStartUp-ASUS Update Checker - c:\programme\ASUS\ASUSUpdate\UpdateChecker\UpdateChecker.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-12 14:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\metasploitPostgreSQL]
"ImagePath"="C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N \"metasploitPostgreSQL\" -D \"C:/METASP~1/POSTGR~1/data\""
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\metasploitPostgreSQL]
"ImagePath"="C:/METASP~1/POSTGR~1/bin/pg_ctl.exe runservice -N \"metasploitPostgreSQL\" -D \"C:/METASP~1/POSTGR~1/data\""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1388)
c:\programme\TeamViewer\Version7\tv_w32.dll
c:\dokumente und einstellungen\wehserro.CMS\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1031\GrooveIntlResource.dll
c:\windows\system32\ieframe.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Sandboxie\SbieSvc.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\windows\system32\nvsvc32.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\mfeann.exe
c:\programme\TeamViewer\Version7\TeamViewer.exe
c:\programme\TeamViewer\Version7\tv_w32.exe
c:\programme\McAfee\Common Framework\McTray.exe
c:\windows\system32\RunDLL32.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-12  15:01:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-12 14:01
.
Vor Suchlauf: 16 Verzeichnis(se), 40.962.908.160 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 41.311.748.096 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 7C58C8B618DEE5439D0A41CCB40B131F
--- --- ---
Alt 12.01.2012, 15:32   #9
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


hast du dieses:
Bitcoin
mit absicht instaliert?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2012, 15:34   #10
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Ja, war vermutlich ein Fehler?

Alt 12.01.2012, 16:08   #11
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


war nur ne frage.
hattest du da noch aufgaben am laufen oder ist ne neuinstalation ebenso ok, ansonsten müssten wir es wiederherstellen.

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2012, 16:28   #12
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


MBAM läßt sich installieren, macht das Update, läßt sich dann aber nicht starten (Malwarebytes Anti-Malware hat ein Problem festgestellt und muss beendet werden.)

Habe schon komplett deinstalliert und wieder neu installiert. Soll ich mal einen anderen Installationspfad probieren?

Bitcoin hatte ich nur mal getestet und keine ausstehenden Tasks mehr.

VG
Ronsen

Alt 12.01.2012, 16:48   #13
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


hi, wie sieht es im abgesicherten modus aus, sollte bei pc start mit f8 zu erreichen sein.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2012, 16:54   #14
wesselow
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


Hallo,

leider gleiches Problem.

VG
Ronsen

Alt 12.01.2012, 17:02   #15
markusg
/// Malware-holic
 
desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Standard

desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


ok
lade mal hitmanpro
http://www.trojaner-board.de/99424-c...o-scannen.html
doppelklick, settings, license, testlicense
dann scan, funde in quarantäne, log als xml exportieren, datei anhängen
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort
Seite 1 von 3 1 23

Themen zu desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen
anbei, anleitung, anwendungen, boot-cd, desinfec't, folge, folgende, freue, gefunde, gmer, kompetenzler, leitung, probleme, sache, sachen, schrift, sp3, tr/crypt.xpack.ge, tr/crypt.xpack.gen, troja, trojan.generic., windows


« Win 7 Benutzerkonten verschwinden! | Adware/lxvwvie.a »


Ähnliche Themen: desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen


  1. Avira findet TR/Emotet.A.46 und TR/Crypt.Xpack!
    Log-Analyse und Auswertung - 11.12.2014 (13)
  2. Avira findet TR/Crypt.XPACK.Gen. Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (3)
  3. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  4. Windows7:Kapersky findet HEUR:Trojan.Win32.generic und Trojan.Downloader.Win32MultiDL (Arbeitspc!)
    Log-Analyse und Auswertung - 15.11.2013 (9)
  5. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  6. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  7. Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452
    Log-Analyse und Auswertung - 22.03.2012 (27)
  8. Findet TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (3)
  9. Trojan.Win32.Generic! und Crypt.Xpack.Gen3
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (2)
  10. TR/Crypt.XPACK.Gen und Fehlermeldung Generic Host for Win32! Richtige Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (6)
  11. PROBLEM: TR\Crypt.XPACK.Gen und Generic host process for WIN 32 services
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (1)
  12. Antivir findet folgendes: 'TR/Crypt.XPACK.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 14.10.2009 (1)
  13. Avira findet tr/crypt.xpack.gen
    Log-Analyse und Auswertung - 21.04.2009 (13)
  14. Avira findet TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 26.03.2009 (8)
  15. Antivir findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 08.03.2009 (0)
  16. AntiVir findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 05.03.2009 (1)
  17. Avira findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 18.09.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen - Hallo, ich habe auf meinen Windows XP-System SP3 in letzter Zeit mit einigen Anwendungen Probleme gehabt und daraufhin mal mit der Boot-CD desinfec't der Zeitschrift c't den PC untersucht. Folgende - desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: desinfec't findet Trojan.Generic.7110870, EXP/CVE-2010-3653.A und TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130