Hallo,

ich bin mir nicht sicher, wann die Probleme wirklich anfingen. Am 29.2. nach dem morgendlichen Boot wollte jedenfalls Adobe Flash Player eine update einspielen. Ich hatte schon mal Probleme damit, dass sich ein Trojaner in dieser Verkleidung bei mir eingeschlichen hat und würde eigentlich lieber die Finger von dem Player lassen. Leider kann man ohne ihn die Videos auf der Seite der WDR-Maus nicht ansehen, und die liebt mein Sohn nun mal. Naja, also eingespielt.

Danach hatte ich diverse Probleme, und habe im Adobe Forum um Hilfe gebeten (siehe Adobe Forums: hxxp://forums.adobe.com/message/4236783). Irgendwann im Lauf der Diskussion wurde mir klar, dass ich nach dem update nicht neu gebootet hatte (was wohl verlangt war). Nach dem Reboot lief so ziemlich alles wieder normal. Depp, ich, dachte ich.

Bis vorgestern abend (4. März). Bei dem Versuch, mich bei einem Battlefield Bad Company 2 Server anzumelden fror das Spiel ein. Ich konnte dann an dem Abend noch weiterspielen, am nächsten Morgen aber nach erneutem Hochfahren nicht mehr viel. Bad Company 2 konnte ich nicht mehr starten. Auch Blacklight: Retribution stürzte beim Start ab. Videos konnte ich auch nicht mehr abspielen (der Windows Media Player ging in Winterschlaf oder hängte sich ganz auf, auch VLC war betroffen). Andere Programme ohne online Komponente funktionierten hingegen, soweit ich feststellen konnte.

Ich beschloss, mir meinen Netzwerk-Verkehr mal näher anzusehen. Ich lud den Microsoft Network Monitor 3.4 von der Chip Seite(hxxp://www.chip.de/downloads/Microsoft-Network-Monitor_27843950.html) und entdeckte mit seiner Hilfe, dass da außer dem physisch vorhandenen Netzwerkadapter noch zwei weitere LAN-Verbindungen gelistet wurden: isatap.xxx_Easybox und, hoppala, Teredo Tunneling Pseudo-Interface (der Name lässt dem Laien ja ohnehin das Blut gefrieren: "Tunnel" igitt, "Pseudo" ohgott, und Teredo klingt doch auch nach einer terroristischen Vereinigung!!! Sehr unglücklich gewählt). "Teredo" googeln und das Ding abschalten war eins (Haken in den Eigenschaften der LAN-Verbindung bei IPv6 entfernen und bestätigen; Ausführen "cmd", dann "netsh interface teredo set state disabled", habe ich sicherheitshalber beides gemacht).

Danach funktionierten Battlefield und Blacklight wieder normal. Ruhe hatte ich deswegen aber keine. Ich habe auf dem Rechner noch eine parallele XP-Partition eingerichtet. Ich musste am Nachmittag darin arbeiten, und habe in der Zwischenzeit das auf dieser Partition verwendete Avast 5 mal einen Scan über die Vista Partition machen lassen. Gefunden wurde Java:CVE-2011-3544-AX in E:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\33a49331-4da93ca2|>Update.class. Zurück in Vista habe ich noch einen Scan mit Avira gemacht, dieses fand über 30 versteckte Objekte in der Registry. Also doch mal wieder zum Trojaner Board.

Die dds.txt., attach.txt sowie die Berichte von Avast und Avira habe ich in ein .zip Archiv auf Dropbox (hxxp://dl.dropbox.com/u/5117968/DDS.zip), da das Erzeugen eines Anhangs hier im Board nicht geklappt hat (meine Registrierung habe ich bestätigt).

Vielen Dank schon jetzt für Eure Hilfe.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Ich habe in der Zwischenzeit Avast auf der XP Partition auf Version 7 aktualisiert und mal einen Boot scan begonnen. Der hat weitere Schädlinge gefunden. Ich breche den Scan dann mal ab und beginne Deine Instruktionen abzuarbeiten. Dürfte allerdings so 2-3 Tage dauern. Bei ca. 2,5 Terabyte Daten 2 Vollscans ...

NB: Die Scans mache ich aus Vista, XP kann die externe 3TB Platte nicht lesen.

Ich müsste eigentlich auch dringend in der Zwischenzeit an einigen Dokumenten arbeiten. Gibt es eine Möglichkeit, mir die Daten aus dem System zu holen, ohne die Gefahr einer Infektion zu laufen?

Danke

JdD

Zitat:

Der hat weitere Schädlinge gefunden.

Und warum schriebst du dan nicht gleich rein was genau wo gefunden wurde? Immer wieder muss ich extra danach fragen

Gemach, gemach, ich war mit der letzten Antwort noch nicht fertig; die habe ich nämlich von einem anderen Rechner aus erstellt, der Bootscan lief ja noch. Hier das Log. Ich stelle auch noch die alten Scans ein, der Log hier unten ist auch noch dabei.

Code: Alles auswählenAufklappen

ATTFilter

03/06/2012 14:28
Scan aller lokalen Laufwerke


Prüfung abgebrochen
Anzahl durchsuchter Ordner: 3530
Anzahl der geprüften Dateien: 56292
Anzahl infizierter Dateien: 0

----------------------------------------
03/07/2012 10:50
Prüfung aller lokalen Laufwerke

Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\GLBC0.tmp|>Wise0003.bin Fehler 42145 {Installationsarchiv ist beschädigt.}
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\jar_cache1740743200316244082.tmp|>d1.jpg Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\jar_cache5301419595815536792.tmp|>kae.class ist infiziert von Java:Agent-RW [Expl], In Container verschoben
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\jar_cache5301419595815536792.tmp|>pac.class ist infiziert von Java:CVE-2010-0842-L [Expl], In Container verschoben
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\jar_cache654725622443473107.tmp|>yid.class ist infiziert von Java:Agent-ANR [Expl], In Container verschoben
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\temp\jar_cache654725622443473107.tmp|>haha\ahah.class ist infiziert von Java:Jade-A [Heur], In Container verschoben
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2HP2U2EA\ufoai-2.3.1-win32[1].exe|>$INSTDIR\base\0maps.pk3|>maps\b\workshop.bsp Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YI4E0IME\swflash[1].cab|>FP_AX_CAB_INSTALLER.exe Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YI4E0IME\swflash[2].cab|>FP_AX_CAB_INSTALLER.exe Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei C:\Dokumente und Einstellungen\Johann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YI4E0IME\swflash[3].cab|>FP_AX_CAB_INSTALLER.exe Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\harbor\terraintexture.pak|>tile5_6.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\ice\terraintexture.pak|>tile2_4.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\ice\terraintexture.pak|>tile2_5.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile2_5.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile6_2.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile6_3.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile4_4.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\ATeam_Corp\Crysis\Game\Levels\village\terraintexture.pak|>tile4_2.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Programme\FreeCommander\fc_setup.exe|>{tmp}\eBay_shortcuts2_1021.exe|>$INSTDIR\eBayShortcuts.exe ist infiziert von Win32:Yabector-B [Adw], In Container verschoben
Datei C:\System Volume Information\_restore{FBDC0372-7339-4654-A899-CAA533DD6F13}\RP821\A0159287.exe|>{tmp}\eBay_shortcuts2_1021.exe|>$INSTDIR\eBayShortcuts.exe ist infiziert von Win32:Yabector-B [Adw], In Container verschoben
Datei E:\ATI\SUPPORT\7-9_vista64_dd_ccc_wdm_enu_52447\Driver\Packages\Apps\CCC\Branding\Branding.msi|>Binary.NewBinary9 Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei E:\Downloads\Arbeitszeituhr DevStopWatch\DevStopWatch_V1_00_bin.zip|>DevStopWatch\DevStopWatch.exe Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Downloads\LibreOffice\LibO_3.4.5_Win_x86_install_multi.exe|>$INSTDIR\libreoffice1.cab|>standard6.bau|>+BCEEHQQUBB8-\atevent.xml Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Downloads\LibreOffice\LibO_3.4.5_Win_x86_install_multi.exe|>$INSTDIR\libreoffice1.cab|>standard6.bau|>+BCEEFA-\atevent.xml Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Downloads\LibreOffice\LibO_3.4.5_Win_x86_install_multi.exe|>$INSTDIR\libreoffice1.cab|>template6.bau|>+BBcEEQ-1+BCE-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Downloads\LibreOffice\LibO_3.4.5_Win_x86_install_multi.exe|>$INSTDIR\libreoffice1.cab|>template6.bau|>+BBcEEQQU-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\harbor\terraintexture.pak|>tile5_6.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\ice\terraintexture.pak|>tile2_4.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\ice\terraintexture.pak|>tile2_5.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile2_5.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile6_2.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile6_3.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\rescue\terraintexture.pak|>tile4_4.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\A-Team Corp\Crysis\Game\Levels\village\terraintexture.pak|>tile4_2.raw Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\LibreOffice\LO 3.4\libreoffice1.cab|>standard6.bau|>+BCEEHQQUBB8-\atevent.xml Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\LibreOffice\LO 3.4\libreoffice1.cab|>standard6.bau|>+BCEEFA-\atevent.xml Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\LibreOffice\LO 3.4\libreoffice1.cab|>template6.bau|>+BBcEEQ-1+BCE-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Program Files (x86)\LibreOffice\LO 3.4\libreoffice1.cab|>template6.bau|>+BBcEEQQU-\Pictures\2000001B00000CD200000CED63AA5866.svm Fehler 42125 {ZIP-Archiv ist beschädigt.}

Prüfung abgebrochen
Anzahl durchsuchter Ordner: 76828
Anzahl der geprüften Dateien: 2849025
Anzahl infizierter Dateien: 6[
         

C: ist dabei die XP-Partition, E: die Vista Partition (Wenn ich den Rechner aus Vista starte, ist die Vista Partition natürlich C:, die XP Partition D:; so gesehen im dds log)

Ok. Mach bitte die Vollscans mit MBAM und ESET

Was schief gehen kann, geht schief. Ich habe gestern den MBAM Scan gestartet, heute morgen ware er durch. Nach Fertigstellung ist mir aufgefallen, dass offensichtlich mein USB-Hub währen des Scans stromlos wurde (der Stecker hinten ist etwas wackelig; normalerweise fummel ich da nicht groß rum, die Fummelei gestern war aber wohl ausreichend), so dass die USB-Sticks und die zweite externe Festplatte nicht gescannt wurden.

Ich habe zunächst den von MBAm geforderten Neustart durchgeführt. Runterfahren dauerte endlos lange; nach dem wieder Hochfahren hat der Rechner erst mal eine ganze Zeit lang gerödelt, wobei LCore (Logitech Gaming Software), wmplayer.exe und taskmgr.exe die hauptsächlich aktiven Prozesse waren, und Extension CLSID Verification Host immer wieder mal kurz ansprang und wieder verschwand.

Dann habe ich nochmal einen vollständigen Scan mit MBAM gestartet, und nur die beim vorherigen ausgelassenen Laufwerke angehakt. Wieder 3 Funde. Zwischen dem 2. und 3. Fund sprang allerdings plötzlich ein Avira Fenster auf: Schädling entdeckt, Zugriff verweigert. Hatte ich doch glatt übersehen, Avira vor dem 2. Scan auszuschalten. Blieb mir auch nichts anderes übrig, als den Fund von Avira beseitigen zu lassen. Die 3 Funde von MBAM habe ich gelöscht und neu gestartet.

Alle Logs (inkl. Avira Log) sind hier dran, zusammen noch einmal mit den historischen MBAM logs. Ich war mir nicht sicher, ob die Sammlung gestern vollständig war.

Soll ich jetzt den ESET online scan machen, oder lieber nochmal einen kompletten MBAM?

Mach den Vollscan mit MBAM auf der externen Platte. Die interne wurde ja voll durchsucht oder nicht? Wenn ja, dann reicht es nur die externe Platte voll zu scannen mit MBAM

Danach machste ESET

Hier sind die logs. Keine weiteren Funde durch MBAM, 3 Funde bei ESET (alle auf der XP-Partition)

Den ESET Scan habe ich zweimal gestartet, wie Du aus dem Log sehen wirst. Beim ersten Mal habe ich kurz nach dem Start bemerkt, dass ich vergessen hatte, den Recycler zu leeren. Gestoppt, geleert, neu gestartet.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hm. OTL scannt seit 8 Stunden in einem schier endlosen Baum von C:\Users\Default User\Lokale Einstellungen\Application Data\Application Data\Anwendungsdaten\Application Data\Anwendungsdaten\Application Data....
Der Ordner C:\Benutzer wird mit 15,7 GB angegeben. Woher kommt dieser Wust von Zeug? Ist das ein Resultat von Trojaner- und ähnlichen Effekten?

So, hier also das OTL Log

OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 09.03.2012 20:16:03 - Run 1
OTL by OldTimer - Version 3.2.36.2     Folder = C:\Users\Johann\Desktop\Virenscan
64bit-Windows Vista Business Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,59 Gb Available Physical Memory | 64,78% Memory free
8,22 Gb Paging File | 6,53 Gb Available in Paging File | 79,41% Paging File free
Paging file location(s): ?:\pagefile.sys
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 400,86 Gb Total Space | 241,53 Gb Free Space | 60,25% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 33,27 Gb Free Space | 17,04% Space Free | Partition Type: NTFS
Drive F: | 97,65 Gb Total Space | 4,95 Gb Free Space | 5,07% Space Free | Partition Type: NTFS
Drive G: | 181,80 Gb Total Space | 6,81 Gb Free Space | 3,75% Space Free | Partition Type: NTFS
Drive H: | 465,76 Gb Total Space | 82,58 Gb Free Space | 17,73% Space Free | Partition Type: NTFS
Drive I: | 3,74 Gb Total Space | 3,74 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive M: | 14,95 Gb Total Space | 11,97 Gb Free Space | 80,07% Space Free | Partition Type: FAT32
Drive X: | 2794,39 Gb Total Space | 1884,08 Gb Free Space | 67,42% Space Free | Partition Type: NTFS
 
Computer Name: WxxxVISTA | User Name: Jxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.09 20:12:30 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Users\Jxxx\Desktop\Virenscan\OTL.exe
PRC - [2012.03.01 00:06:10 | 000,076,888 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2011.10.11 13:59:37 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.02.02 10:12:34 | 001,215,216 | ---- | M] (Starfield Technologies, Inc.) -- C:\Program Files (x86)\Starfield\offSyncService.exe
PRC - [2010.10.27 19:17:52 | 000,207,424 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
PRC - [2010.09.13 14:56:02 | 000,168,960 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Windows Media Player\wmplayer.exe
PRC - [2010.08.25 11:27:44 | 000,309,824 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
PRC - [2010.04.27 09:09:52 | 000,113,288 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\CalDigit\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
PRC - [2009.04.30 12:23:26 | 000,090,112 | ---- | M] () -- C:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
PRC - [2009.02.23 00:21:06 | 000,069,632 | ---- | M] () -- C:\Program Files (x86)\AMD\OverDrive\AODAssist.exe
PRC - [2008.08.13 04:49:30 | 000,405,504 | ---- | M] (Creative Technology Ltd) -- C:\Program Files (x86)\Creative\Software Update 3\SoftAuto.exe
PRC - [2007.04.02 07:15:40 | 000,061,440 | ---- | M] (Creative Technology Ltd) -- C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.09.27 06:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 06:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2012.02.08 23:00:12 | 000,343,032 | ---- | M] (Nitro PDF Software) [Auto | Running] -- C:\Program Files\Common Files\Nitro PDF\Reader\2.0\NitroPDFReaderDriverService2x64.exe -- (NitroReaderDriverReadSpool2)
SRV:64bit: - [2011.12.16 14:03:17 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2011.11.09 22:08:52 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV:64bit: - [2010.09.22 17:10:10 | 000,057,184 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc)
SRV:64bit: - [2008.01.21 03:49:41 | 000,195,584 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.03.01 00:06:10 | 000,076,888 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2012.02.22 23:52:47 | 000,489,256 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.02.02 10:12:34 | 001,215,216 | ---- | M] (Starfield Technologies, Inc.) [Auto | Running] -- C:\Program Files (x86)\Starfield\offSyncService.exe -- (File Backup)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2009.04.30 12:23:26 | 000,090,112 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- (OMSI download service)
SRV - [2009.03.30 05:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009.02.23 00:21:06 | 000,069,632 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\AMD\OverDrive\AODAssist.exe -- (AODService)
SRV - [2008.05.21 12:42:56 | 000,064,000 | ---- | M] (Creative Technology Ltd) [On_Demand | Stopped] -- C:\Program Files (x86)\Creative\Creative Centrale\CTUPnPSv.exe -- (CTUPnPSv)
SRV - [2007.04.02 07:15:40 | 000,061,440 | ---- | M] (Creative Technology Ltd) [Auto | Running] -- C:\Program Files (x86)\Creative\Shared Files\CTDevSrv.exe -- (CTDevice_Srv)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.02.15 10:49:00 | 000,132,320 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avipbb.sys -- (avipbb)
DRV:64bit: - [2011.12.16 14:04:25 | 000,325,632 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2011.12.16 13:57:09 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2011.12.16 13:57:09 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2011.12.16 13:55:37 | 000,090,128 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdLH6.sys -- (AtiHDAudioService)
DRV:64bit: - [2011.12.01 00:42:57 | 000,410,184 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ladfGSCamd64.sys -- (LADF_CaptureOnly)
DRV:64bit: - [2011.12.01 00:42:57 | 000,341,832 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\ladfGSRamd64.sys -- (LADF_RenderOnly)
DRV:64bit: - [2011.11.11 00:51:30 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\atksgt.sys -- (atksgt)
DRV:64bit: - [2011.11.11 00:51:05 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\lirsgt.sys -- (lirsgt)
DRV:64bit: - [2011.10.11 14:00:01 | 000,097,312 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2011.10.11 14:00:01 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2011.05.10 07:06:08 | 000,051,712 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64)
DRV:64bit: - [2010.09.29 11:34:50 | 000,377,176 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ladfSBVMamd64.sys -- (LADF_SBVM)
DRV:64bit: - [2010.09.29 11:34:48 | 000,062,168 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ladfDHP2amd64.sys -- (LADF_DHP2)
DRV:64bit: - [2010.09.22 23:36:48 | 000,048,488 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\fssfltr.sys -- (fssfltr)
DRV:64bit: - [2010.06.09 17:10:16 | 000,046,392 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\nm3.sys -- (nm3)
DRV:64bit: - [2010.05.06 10:21:40 | 000,122,384 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV:64bit: - [2010.04.27 08:30:52 | 000,184,968 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2010.04.27 08:29:54 | 000,083,080 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\amdiox64.sys -- (amdiox64)
DRV:64bit: - [2009.11.23 17:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid)
DRV:64bit: - [2009.11.23 17:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum)
DRV:64bit: - [2009.10.01 01:51:42 | 000,046,592 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb)
DRV:64bit: - [2009.05.18 12:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2009.03.05 12:31:45 | 000,496,760 | ---- | M] (TerraTec Provide) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\UDST7000BDA.sys -- (UDST7000BDA)
DRV:64bit: - [2009.02.03 16:46:14 | 000,077,952 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sfsync04.sys -- (sfsync04) StarForce Protection Synchronization Driver (version 4.x)
DRV:64bit: - [2009.02.03 16:37:50 | 000,075,384 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV:64bit: - [2008.11.04 09:52:36 | 000,145,960 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM)
DRV:64bit: - [2008.11.04 09:52:36 | 000,132,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM)
DRV:64bit: - [2008.11.04 09:52:36 | 000,128,552 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018obex.sys -- (s1018obex)
DRV:64bit: - [2008.11.04 09:52:36 | 000,034,856 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS)
DRV:64bit: - [2008.11.04 09:52:32 | 000,152,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018mdm.sys -- (s1018mdm)
DRV:64bit: - [2008.11.04 09:52:32 | 000,019,496 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018mdfl.sys -- (s1018mdfl)
DRV:64bit: - [2008.11.04 09:52:30 | 000,113,704 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM)
DRV:64bit: - [2008.08.28 11:44:42 | 000,025,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\pccsmcfdx64.sys -- (pccsmcfd)
DRV:64bit: - [2008.07.14 08:54:46 | 000,993,280 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\CM10664.sys -- (USBMULCD)
DRV:64bit: - [2008.07.02 08:37:22 | 000,391,328 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\emOEM64.sys -- (USB28xxOEM)
DRV:64bit: - [2008.07.02 08:37:20 | 000,654,880 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\emBDA64.sys -- (USB28xxBGA)
DRV:64bit: - [2008.04.28 14:25:06 | 000,016,400 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV:64bit: - [2008.01.21 03:49:27 | 000,016,384 | ---- | M] (Microsoft Corporation) [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2008.01.21 03:47:20 | 000,119,296 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\Windows\SysNative\DRIVERS\irda.sys -- (irda)
DRV:64bit: - [2008.01.21 03:45:39 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\serscan.sys -- (StillCam)
DRV:64bit: - [2008.01.21 03:45:15 | 000,027,648 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\irsir.sys -- (irsir)
DRV:64bit: - [2008.01.09 12:28:20 | 000,034,032 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\seehcri.sys -- (seehcri)
DRV:64bit: - [2007.12.06 08:51:00 | 000,391,680 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\yk60x64.sys -- (yukonx64)
DRV:64bit: - [2007.08.15 22:50:06 | 000,688,640 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\netr28ux.sys -- (netr28ux)
DRV:64bit: - [2007.06.11 00:01:02 | 000,214,240 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\V0400Afx.sys -- (VF0400Afx)
DRV:64bit: - [2007.06.07 00:01:00 | 000,204,736 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\V0400Vid.sys -- (VF0400Vid) Live! Cam Notebook Pro (VF0400)
DRV:64bit: - [2007.03.05 17:55:48 | 000,012,288 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\V0400VFx.sys -- (VF0400Vfx)
DRV:64bit: - [2006.06.14 15:58:10 | 000,014,192 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2011.06.24 06:31:02 | 000,055,424 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01)
DRV - [2009.03.02 14:21:17 | 000,019,952 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files (x86)\RivaTuner\RivaTuner v2.24\RivaTuner64.sys -- (RivaTuner64)
DRV - [2009.02.23 00:21:54 | 000,014,904 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Program Files (x86)\AMD\OverDrive\amd64\AODDriver.sys -- (AODDriver)
DRV - [2007.02.07 19:27:46 | 000,014,104 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | Boot | Running] -- C:\Windows\SysWOW64\speedfan.sys -- (speedfan)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes,DefaultScope = {BE8CDE59-1ED2-45AA-BFC9-2B13066CED93}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{05F2B233-FF03-46BE-9096-1DDFC87BBCBA}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{0784E2C1-F2A0-451F-A5DA-EA5614E8525A}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{7DB6DF4D-8180-48F2-971D-BE8AD151DB1B}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{86DDDEE2-7834-4678-B123-1C8785EA3AD2}: "URL" = hxxp://de.wikipedia.org/wiki/Spezial:Search?search={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{A4DF8244-BD1B-4B89-A7DC-D980A3CC7489}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{BE8CDE59-1ED2-45AA-BFC9-2B13066CED93}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{D25313F4-6646-49CB-AB3A-1B3CB6C7A1BD}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nitropdf.com/NitroPDF: C:\Program Files (x86)\Nitro PDF Reader\npnitromozilla.dll ( )
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKCU\Software\MozillaPlugins\@starfield.com/off: C:\Users\Johann\AppData\Roaming\Mozilla\Plugins\npoff.dll ( Starfield Technologies, Inc.)
FF - HKCU\Software\MozillaPlugins\@starfield.com/wbe: C:\Users\Johann\AppData\Roaming\Mozilla\Plugins\npwbe.dll (Starfield Technology, Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Johann\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.02.18 08:12:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.11.17 16:07:09 | 000,000,000 | ---D | M]
 
[2011.10.03 23:56:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Johann\AppData\Roaming\mozilla\Extensions
[2011.03.26 20:15:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Johann\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.10.03 23:56:24 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Johann\AppData\Roaming\mozilla\Extensions\prism@developer.mozilla.org
[2012.03.08 15:31:45 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Johann\AppData\Roaming\mozilla\Firefox\Profiles\sd6qyevz.default\extensions
[2010.07.30 20:45:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Johann\AppData\Roaming\mozilla\Firefox\Profiles\sd6qyevz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.03.06 17:16:02 | 000,000,000 | ---D | M] (Download Manager Tweak) -- C:\Users\Johann\AppData\Roaming\mozilla\Firefox\Profiles\sd6qyevz.default\extensions\{F8A55C97-3DB6-4961-A81D-0DE0080E53CB}
[2012.01.09 09:10:22 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Users\Johann\AppData\Roaming\mozilla\Firefox\Profiles\sd6qyevz.default\extensions\foxmarks@kei.com
[2011.11.09 20:33:29 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.02.18 08:12:11 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.15 00:07:51 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.15 00:07:51 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.10.15 00:07:51 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.15 00:07:51 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.15 00:07:51 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.15 00:07:51 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 22:37:24 | 000,000,761 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3:64bit: - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL (TerraTec Electronic GmbH)
O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3:64bit: - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O4:64bit: - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Windows\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [ATICustomerCare] C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [IJNetworkScanUtility] C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE (CANON INC.)
O4 - HKLM..\Run: [Nikon Message Center 2] C:\Program Files (x86)\Nikon\Nikon Message Center 2\NkMC2.exe (Nikon Corporation)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\CalDigit\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" File not found
O4 - HKLM..\Run: [V0400Mon.exe] C:\Windows\V0400Mon.exe (Creative Technology Ltd.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\SysWow64\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\SysWow64\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000..\Run: [Remote Control Editor] C:\Program Files (x86)\Common Files\TerraTec\Remote\TTTvRc.exe (Elgato Systems)
O4 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000..\Run: [SoftAuto.exe] C:\Program Files (x86)\Creative\Software Update 3\SoftAuto.exe (Creative Technology Ltd)
O4 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found
O4 - Startup: C:\Users\Johann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Johann\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..Trusted Domains: clonewarsadventures.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..Trusted Domains: freerealms.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..Trusted Domains: soe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..Trusted Domains: sony.com ([]* in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{35C5DD4E-9415-47EA-8A86-1D2BAA666773}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Liam\0906 Liam Jun 09\IMG_2414.JPG
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Liam\0906 Liam Jun 09\IMG_2414.JPG
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.27 13:09:25 | 000,000,050 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.09.21 08:11:04 | 000,000,000 | ---D | M] - I:\Autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
 
MsConfig:64bit - State: "services" - Reg Error: Key error.
MsConfig:64bit - State: "startup" - Reg Error: Key error.
 
SafeBootMin:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SafeBootMin:64bit: Base - Driver Group
SafeBootMin:64bit: Boot Bus Extender - Driver Group
SafeBootMin:64bit: Boot file system - Driver Group
SafeBootMin:64bit: File system - Driver Group
SafeBootMin:64bit: Filter - Driver Group
SafeBootMin:64bit: HelpSvc - Service
SafeBootMin:64bit: PCI Configuration - Driver Group
SafeBootMin:64bit: PNP Filter - Driver Group
SafeBootMin:64bit: Primary disk - Driver Group
SafeBootMin:64bit: sacsvr - Service
SafeBootMin:64bit: SCSI Class - Driver Group
SafeBootMin:64bit: System Bus Extender - Driver Group
SafeBootMin:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SafeBootNet:64bit: Base - Driver Group
SafeBootNet:64bit: Boot Bus Extender - Driver Group
SafeBootNet:64bit: Boot file system - Driver Group
SafeBootNet:64bit: File system - Driver Group
SafeBootNet:64bit: Filter - Driver Group
SafeBootNet:64bit: HelpSvc - Service
SafeBootNet:64bit: Messenger - Service
SafeBootNet:64bit: NDIS Wrapper - Driver Group
SafeBootNet:64bit: NetBIOSGroup - Driver Group
SafeBootNet:64bit: NetDDEGroup - Driver Group
SafeBootNet:64bit: Network - Driver Group
SafeBootNet:64bit: NetworkProvider - Driver Group
SafeBootNet:64bit: PCI Configuration - Driver Group
SafeBootNet:64bit: PNP Filter - Driver Group
SafeBootNet:64bit: PNP_TDI - Driver Group
SafeBootNet:64bit: Primary disk - Driver Group
SafeBootNet:64bit: rdsessmgr - Service
SafeBootNet:64bit: sacsvr - Service
SafeBootNet:64bit: SCSI Class - Driver Group
SafeBootNet:64bit: Streams Drivers - Driver Group
SafeBootNet:64bit: System Bus Extender - Driver Group
SafeBootNet:64bit: TDI - Driver Group
SafeBootNet:64bit: WudfPf - Driver
SafeBootNet:64bit: WudfUsbccidDriver - Driver
SafeBootNet:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet:64bit: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet:64bit: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet:64bit: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet:64bit: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet:64bit: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WudfPf - Driver
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX:64bit: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX:64bit: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {0213C6AF-5562-4D09-884C-2ADCFC8C2F35} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32:64bit: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3acm - C:\Windows\SysWOW64\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: vidc.cvid - C:\Windows\SysWow64\iccvid.dll (Radius Inc.)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.08 20:22:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.03.08 14:59:11 | 000,000,000 | ---D | C] -- C:\Users\Johann\Desktop\Virenscan
[2012.03.08 13:12:43 | 000,000,000 | ---D | C] -- C:\Users\Johann\AppData\Local\Citrix
[2012.03.07 16:59:42 | 000,000,000 | ---D | C] -- C:\Users\Johann\AppData\Roaming\Malwarebytes
[2012.03.07 16:59:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.03.07 16:59:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.03.07 16:59:29 | 000,023,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.03.07 16:59:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.03.05 12:15:36 | 000,000,000 | ---D | C] -- C:\Users\Johann\Documents\Network Monitor 3
[2012.03.05 12:13:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Network Monitor 3.4
[2012.03.05 12:13:27 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Network Monitor 3
[2012.03.02 18:35:35 | 000,000,000 | ---D | C] -- C:\Users\Johann\AppData\Local\THQ
[2012.02.29 13:32:00 | 000,000,000 | ---D | C] -- C:\Users\Johann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox
[2012.02.29 13:31:25 | 000,000,000 | ---D | C] -- C:\Users\Johann\AppData\Roaming\Dropbox
[2012.02.28 15:35:20 | 000,000,000 | ---D | C] -- C:\Users\Johann\Documents\SpellForce2
[2012.02.19 17:09:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nitro PDF Reader
[2012.02.19 17:09:46 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Nitro PDF
[2012.02.19 17:09:45 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Nitro PDF
[5 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.03.09 19:48:20 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.03.09 19:48:19 | 000,003,616 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.03.09 19:48:14 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.03.08 22:34:24 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2012.03.08 22:34:24 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.03.08 16:01:29 | 001,662,588 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.03.08 16:01:29 | 000,709,954 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.03.08 16:01:29 | 000,664,076 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.03.08 16:01:29 | 000,161,282 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.03.08 16:01:29 | 000,131,872 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.03.08 13:00:10 | 000,166,400 | ---- | M] () -- C:\Users\Johann\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.07 08:30:31 | 000,280,736 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2012.03.06 15:51:09 | 000,000,000 | ---- | M] () -- C:\Users\Johann\defogger_reenable
[2012.03.05 12:13:28 | 000,000,983 | ---- | M] () -- C:\Users\Public\Desktop\Microsoft Network Monitor 3.4.lnk
[2012.03.01 00:06:10 | 000,076,888 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.02.29 23:23:39 | 000,001,053 | ---- | M] () -- C:\Users\Public\Desktop\Blacklight Retribution.lnk
[2012.02.29 13:38:49 | 000,001,004 | ---- | M] () -- C:\Users\Johann\Desktop\Dropbox.lnk
[2012.02.29 13:32:24 | 000,000,984 | ---- | M] () -- C:\Users\Johann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2012.02.25 15:24:07 | 000,072,723 | ---- | M] () -- C:\Users\Johann\AppData\Roaming\icarus-dxdiag.xml
[2012.02.22 00:59:04 | 000,674,600 | ---- | M] () -- C:\Windows\SysWow64\pbsvc.exe
[2012.02.19 17:09:48 | 000,001,920 | ---- | M] () -- C:\Users\Public\Desktop\Nitro Reader.lnk
[2012.02.19 00:51:57 | 000,001,895 | ---- | M] () -- C:\Users\Johann\Desktop\FileZilla Client.lnk
[2012.02.18 09:48:15 | 000,000,020 | -H-- | M] () -- C:\ProgramData\PKP_DLet.DAT
[2012.02.18 09:45:40 | 000,000,020 | -H-- | M] () -- C:\ProgramData\PKP_DLev.DAT
[2012.02.15 20:31:42 | 000,302,024 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.02.15 10:49:00 | 000,132,320 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avipbb.sys
[2012.02.08 22:59:56 | 000,030,200 | ---- | M] (Nitro PDF Software) -- C:\Windows\SysNative\nitrolocalmon2.dll
[2012.02.08 22:59:56 | 000,018,424 | ---- | M] (Nitro PDF Software) -- C:\Windows\SysNative\nitrolocalui2.dll
[5 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.03.06 15:51:09 | 000,000,000 | ---- | C] () -- C:\Users\Johann\defogger_reenable
[2012.03.05 12:13:28 | 000,000,983 | ---- | C] () -- C:\Users\Public\Desktop\Microsoft Network Monitor 3.4.lnk
[2012.02.29 23:23:39 | 000,001,053 | ---- | C] () -- C:\Users\Public\Desktop\Blacklight Retribution.lnk
[2012.02.29 23:22:17 | 003,130,440 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_blr.exe
[2012.02.29 13:38:49 | 000,001,004 | ---- | C] () -- C:\Users\Johann\Desktop\Dropbox.lnk
[2012.02.29 13:32:24 | 000,000,984 | ---- | C] () -- C:\Users\Johann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2012.02.25 15:24:07 | 000,072,723 | ---- | C] () -- C:\Users\Johann\AppData\Roaming\icarus-dxdiag.xml
[2012.02.19 17:09:48 | 000,001,920 | ---- | C] () -- C:\Users\Public\Desktop\Nitro Reader.lnk
[2012.02.19 17:09:48 | 000,001,880 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nitro Reader 2.lnk
[2012.01.15 17:35:38 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Animals
[2012.01.15 17:35:38 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Analog Sync
[2012.01.15 17:35:38 | 000,000,268 | RH-- | C] () -- C:\Users\Johann\AppData\Roaming\Analog Mono
[2012.01.15 17:35:38 | 000,000,268 | RH-- | C] () -- C:\Users\Johann\AppData\Roaming\Ambient
[2012.01.15 17:35:38 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLev.DAT
[2012.01.15 17:35:38 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLes.DAT
[2012.01.15 17:35:38 | 000,000,012 | RH-- | C] () -- C:\ProgramData\Bass
[2012.01.15 17:35:38 | 000,000,012 | RH-- | C] () -- C:\ProgramData\Basic Track
[2012.01.15 17:35:37 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Analog Swirl
[2012.01.15 17:35:37 | 000,000,268 | RH-- | C] () -- C:\Users\Johann\AppData\Roaming\Ambience
[2012.01.15 17:35:37 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLet.DAT
[2012.01.15 17:35:37 | 000,000,012 | RH-- | C] () -- C:\ProgramData\BSD
[2011.12.21 13:37:20 | 000,000,032 | R--- | C] () -- C:\ProgramData\hash.dat
[2011.12.16 14:02:45 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2011.11.09 22:39:44 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OpenVideo.dll
[2011.11.09 22:39:32 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll
[2011.09.28 17:44:14 | 000,179,271 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2011.07.05 22:10:33 | 000,000,000 | ---- | C] () -- C:\Windows\Bench32.INI
[2011.07.05 21:51:49 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2011.04.19 06:49:41 | 000,000,680 | ---- | C] () -- C:\Users\Johann\AppData\Local\d3d9caps.dat
[2010.09.09 20:02:24 | 000,017,147 | ---- | C] () -- C:\Windows\War3Unin.dat
 
========== LOP Check ==========
 
[2009.03.02 02:11:21 | 000,000,000 | ---D | M] -- C:\Users\hofmaier\AppData\Roaming\TerraTec
[2011.09.24 14:23:59 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\0ad
[2011.12.19 21:37:04 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\1&1 Mail & Media GmbH
[2011.11.26 20:45:40 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Atari
[2011.07.02 15:20:46 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Bioshock2
[2012.01.11 11:20:26 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\bkchem
[2011.08.24 00:30:43 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Black Sea Studios
[2011.10.27 09:30:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Canon
[2011.07.07 19:12:14 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\DeadMage
[2012.02.19 17:08:15 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Downloaded Installations
[2012.03.09 19:52:02 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Dropbox
[2012.02.19 16:35:06 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FileZilla
[2011.07.25 11:10:41 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FreeCommander
[2009.06.26 03:07:25 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FreeOrion
[2011.07.19 10:07:23 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\HD Tune Pro
[2011.02.04 12:03:28 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Hi-Rez Studios
[2010.10.16 01:26:09 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Imperium Romanum
[2011.10.26 19:22:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Kalypso Media
[2011.03.23 08:54:54 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\kompozer.net
[2010.02.20 21:12:58 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Leadertech
[2012.01.23 22:31:25 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\LibreOffice
[2011.10.11 19:04:17 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Lionhead Studios
[2009.03.02 11:30:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade
[2011.09.29 09:04:13 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade Warband
[2011.08.29 07:05:09 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade With Fire and Sword
[2011.10.28 09:02:47 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\NationRed
[2012.01.15 17:47:59 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nikon
[2011.12.31 00:36:49 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nitro PDF
[2009.06.29 22:41:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nokia
[2009.03.02 09:47:46 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\OpenOffice.org
[2009.03.02 05:01:02 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\PC Suite
[2010.10.14 19:54:57 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Pollux Gamelabs
[2011.10.03 23:56:22 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Prism
[2011.08.24 13:09:43 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Quest3D
[2011.08.24 13:09:42 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Roaming
[2011.04.11 23:35:07 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\runic games
[2011.11.30 11:31:54 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Shareaza
[2011.08.26 15:13:05 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Sierra
[2009.07.01 01:04:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Stardock
[2011.07.26 00:11:29 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\TeraCopy
[2011.12.04 18:05:24 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\TerraTec
[2011.03.17 16:19:28 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\The Creative Assembly
[2011.10.26 22:22:20 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\The First Templar
[2011.03.26 20:15:19 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Thunderbird
[2011.08.18 17:28:47 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\UFOAI
[2012.03.09 13:32:18 | 000,032,628 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.09.24 14:23:59 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\0ad
[2011.12.19 21:37:04 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\1&1 Mail & Media GmbH
[2009.03.02 12:13:57 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Adobe
[2012.01.26 11:49:29 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Apple Computer
[2012.01.15 17:39:59 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\ArcSoft
[2011.11.26 20:45:40 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Atari
[2009.02.27 17:26:06 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\ATI
[2011.10.15 17:17:57 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Avira
[2011.07.02 15:20:46 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Bioshock2
[2012.01.11 11:20:26 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\bkchem
[2011.08.24 00:30:43 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Black Sea Studios
[2011.10.27 09:30:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Canon
[2011.08.23 11:01:58 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Creative
[2011.07.07 19:12:14 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\DeadMage
[2012.02.19 17:08:15 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Downloaded Installations
[2012.03.09 19:52:02 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Dropbox
[2012.02.19 16:35:06 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FileZilla
[2011.07.25 11:10:41 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FreeCommander
[2009.06.26 03:07:25 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\FreeOrion
[2011.07.19 10:07:23 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\HD Tune Pro
[2011.02.04 12:03:28 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Hi-Rez Studios
[2009.02.27 17:02:53 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Identities
[2010.10.16 01:26:09 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Imperium Romanum
[2009.02.28 03:45:11 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\InstallShield
[2011.07.25 14:47:50 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\InstallShield Installation Information
[2011.10.26 19:22:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Kalypso Media
[2011.03.23 08:54:54 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\kompozer.net
[2010.02.20 21:12:58 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Leadertech
[2012.01.23 22:31:25 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\LibreOffice
[2011.10.11 19:04:17 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Lionhead Studios
[2009.03.02 02:29:01 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Macromedia
[2012.03.07 16:59:42 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Malwarebytes
[2012.03.05 12:15:36 | 000,000,000 | --SD | M] -- C:\Users\Johann\AppData\Roaming\Microsoft
[2009.03.02 11:30:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade
[2011.09.29 09:04:13 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade Warband
[2011.08.29 07:05:09 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mount&Blade With Fire and Sword
[2011.04.13 11:49:28 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Mozilla
[2011.10.28 09:02:47 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\NationRed
[2012.01.15 17:47:59 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nikon
[2011.12.31 00:36:49 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nitro PDF
[2009.06.29 22:41:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Nokia
[2009.03.02 09:47:46 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\OpenOffice.org
[2009.03.02 05:01:02 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\PC Suite
[2010.10.14 19:54:57 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Pollux Gamelabs
[2011.10.03 23:56:22 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Prism
[2011.08.24 13:09:43 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Quest3D
[2011.08.24 13:09:42 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Roaming
[2011.04.11 23:35:07 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\runic games
[2009.03.02 02:27:11 | 000,000,000 | RH-D | M] -- C:\Users\Johann\AppData\Roaming\SecuROM
[2011.11.30 11:31:54 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Shareaza
[2011.08.26 15:13:05 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Sierra
[2012.03.08 13:47:38 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Skype
[2009.07.01 01:04:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Stardock
[2009.03.02 03:14:39 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Talkback
[2011.07.26 00:11:29 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\TeraCopy
[2011.12.04 18:05:24 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\TerraTec
[2011.03.17 16:19:28 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\The Creative Assembly
[2011.10.26 22:22:20 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\The First Templar
[2011.03.26 20:15:19 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\Thunderbird
[2011.08.18 17:28:47 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\UFOAI
[2011.08.29 00:10:46 | 000,000,000 | ---D | M] -- C:\Users\Johann\AppData\Roaming\vlc
 
< %APPDATA%\*.exe /s >
[2012.02.15 00:03:14 | 024,246,216 | ---- | M] (Dropbox, Inc.) -- C:\Users\Johann\AppData\Roaming\Dropbox\bin\Dropbox.exe
[2012.02.15 00:03:22 | 000,174,752 | ---- | M] (Dropbox, Inc.) -- C:\Users\Johann\AppData\Roaming\Dropbox\bin\Uninstall.exe
[2005.04.07 00:39:06 | 000,121,064 | ---- | M] (Macrovision Corporation) -- C:\Users\Johann\AppData\Roaming\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe
[2011.03.21 22:01:48 | 000,010,134 | R--- | M] () -- C:\Users\Johann\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe
[2011.03.21 22:01:48 | 000,000,766 | R--- | M] () -- C:\Users\Johann\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\htmledit.exe
[2012.01.15 17:36:37 | 000,057,344 | R--- | M] (InstallShield Software Corp.) -- C:\Users\Johann\AppData\Roaming\Microsoft\Installer\{87441A59-5E64-4096-A170-14EFE67200C3}\ARPPRODUCTICON.exe
[2009.02.27 17:23:34 | 000,010,134 | R--- | M] () -- C:\Users\Johann\AppData\Roaming\Microsoft\Installer\{C3495A05-14AF-8FD1-FDA7-7554860BDC8B}\ARPPRODUCTICON.exe
 
< %SYSTEMDRIVE%\*.exe >
[2010.09.16 00:41:21 | 001,375,018 | ---- | M] () -- C:\EasyBCD 2.0.2.exe
[2007.11.07 08:03:18 | 000,562,688 | ---- | M] (Microsoft Corporation) -- C:\install.exe
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
 
< MD5 for: AGP440.SYS  >
[2008.01.21 03:45:05 | 000,064,568 | ---- | M] (Microsoft Corporation) MD5=F6F6793B7F17B550ECFDBD3B229173F7 -- C:\Windows\SysNative\drivers\AGP440.sys
[2008.01.21 03:45:05 | 000,064,568 | ---- | M] (Microsoft Corporation) MD5=F6F6793B7F17B550ECFDBD3B229173F7 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_163188bf770e4ab0\AGP440.sys
[2008.01.21 03:45:05 | 000,064,568 | ---- | M] (Microsoft Corporation) MD5=F6F6793B7F17B550ECFDBD3B229173F7 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_181d01cb743015fc\AGP440.sys
 
< MD5 for: AHCIX86S.SYS  >
[2006.12.29 00:51:56 | 000,110,592 | ---- | M] (ATI Technologies Inc.) MD5=67740F91B47434CC6173A35667A4BA66 -- C:\ATI\SUPPORT\7-9_vista64_dd_ccc_wdm_enu_52447\Driver\Packages\Drivers\SBDrv\SB6xx\RAID\LH\ahcix86s.sys
[2008.04.18 19:33:46 | 000,175,632 | ---- | M] (AMD Technologies Inc.) MD5=844A6734E8BB3530FB1444ED698087BD -- C:\ATI\SUPPORT\8-7_vista32-64_sb_66001\Packages\Drivers\SBDrv\SB7xx\RAID\LH\ahcix86s.sys
[2007.04.16 23:16:34 | 000,119,296 | ---- | M] (ATI Technologies Inc.) MD5=A5AC7B705166BF7CD07BB054BEEA8D03 -- C:\ATI\SUPPORT\8-7_vista32-64_sb_66001\Packages\Drivers\SBDrv\SB6xx\RAID\LH\ahcix86s.sys
 
< MD5 for: ATAPI.SYS  >
[2008.01.21 03:45:04 | 000,022,584 | ---- | M] (Microsoft Corporation) MD5=1898FAE8E07D97F2F6C2D5326C633FAC -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_3956c39dd9e73fd2\atapi.sys
[2009.04.11 08:15:00 | 000,020,952 | ---- | M] (Microsoft Corporation) MD5=E68D9B3A3905619732F7FE039466A623 -- C:\Windows\SysNative\drivers\atapi.sys
[2009.04.11 08:15:00 | 000,020,952 | ---- | M] (Microsoft Corporation) MD5=E68D9B3A3905619732F7FE039466A623 -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_3b423ca9d7090b1e\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006.11.02 12:16:48 | 000,014,848 | ---- | M] (Microsoft Corporation) MD5=21322B1A2AD337C579F4A65EA0D25193 -- C:\Windows\SysNative\cngaudit.dll
[2006.11.02 12:16:48 | 000,014,848 | ---- | M] (Microsoft Corporation) MD5=21322B1A2AD337C579F4A65EA0D25193 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_424bc4aceb06de1c\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\SysWOW64\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: IASTORV.SYS  >
[2008.01.21 03:45:13 | 000,290,872 | ---- | M] (Intel Corporation) MD5=3E3BF3627D886736D0B4E90054F929F6 -- C:\Windows\SysNative\drivers\iaStorV.sys
[2008.01.21 03:45:13 | 000,290,872 | ---- | M] (Intel Corporation) MD5=3E3BF3627D886736D0B4E90054F929F6 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_0b2fedfc40256bc5\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2008.01.21 03:49:23 | 000,716,800 | ---- | M] (Microsoft Corporation) MD5=5D0A4891F8CD0E9E64FF57A6A34044F5 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_59d652c6f057598d\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\SysWOW64\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_6616762521d9e6d4\netlogon.dll
[2009.04.11 08:11:16 | 000,717,312 | ---- | M] (Microsoft Corporation) MD5=A3F1B171702CA04744EE514243B45BFB -- C:\Windows\SysNative\netlogon.dll
[2009.04.11 08:11:16 | 000,717,312 | ---- | M] (Microsoft Corporation) MD5=A3F1B171702CA04744EE514243B45BFB -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_5bc1cbd2ed7924d9\netlogon.dll
[2008.01.21 03:46:46 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_642afd1924b81b88\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2008.01.21 03:45:08 | 000,054,328 | ---- | M] (NVIDIA Corporation) MD5=F7EA0FE82842D05EDA3EFDD376DBFDBA -- C:\Windows\SysNative\drivers\nvstor.sys
[2008.01.21 03:45:08 | 000,054,328 | ---- | M] (NVIDIA Corporation) MD5=F7EA0FE82842D05EDA3EFDD376DBFDBA -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_95f95eab775c159d\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008.01.21 03:48:49 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_9e812831c5d9a243\scecli.dll
[2008.01.21 03:48:07 | 000,235,520 | ---- | M] (Microsoft Corporation) MD5=35F1DD99F9903BC267C2AF16B09F9BF7 -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_942c7ddf9178e048\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\SysWOW64\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_a06ca13dc2fb6d8f\scecli.dll
[2009.04.11 08:11:23 | 000,235,520 | ---- | M] (Microsoft Corporation) MD5=9922ADB6DCA8F0F5EA038BEFF339C08B -- C:\Windows\SysNative\scecli.dll
[2009.04.11 08:11:23 | 000,235,520 | ---- | M] (Microsoft Corporation) MD5=9922ADB6DCA8F0F5EA038BEFF339C08B -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_9617f6eb8e9aab94\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.01.21 03:46:48 | 000,820,224 | ---- | M] (Microsoft Corporation) MD5=32B87D215905F648EBE36A621978442C -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_295707c525b9f068\user32.dll
[2008.01.21 03:47:33 | 000,648,192 | ---- | M] (Microsoft Corporation) MD5=3D691030DBD3BD75DE1501BE54F0D425 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_33abb2175a1ab263\user32.dll
[2009.04.11 07:26:45 | 000,648,704 | ---- | M] (Microsoft Corporation) MD5=D29FDB5DEDBDC1BD882164DC6DC4DD53 -- C:\Windows\SysWOW64\user32.dll
[2009.04.11 07:26:45 | 000,648,704 | ---- | M] (Microsoft Corporation) MD5=D29FDB5DEDBDC1BD882164DC6DC4DD53 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_35972b23573c7daf\user32.dll
[2009.04.11 08:11:27 | 000,820,224 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\SysNative\user32.dll
[2009.04.11 08:11:27 | 000,820,224 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_2b4280d122dbbbb4\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.01.21 03:48:55 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\SysWOW64\userinit.exe
[2008.01.21 03:48:55 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2008.01.21 03:48:04 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\SysNative\userinit.exe
[2008.01.21 03:48:04 | 000,028,160 | ---- | M] (Microsoft Corporation) MD5=A0AB2BB9A92293D9CE66E252719AB5FE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_384755998a0d6941\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2008.01.21 03:46:19 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\SysWOW64\wininit.exe
[2008.01.21 03:46:19 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2008.01.21 03:48:42 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\SysNative\wininit.exe
[2008.01.21 03:48:42 | 000,123,904 | ---- | M] (Microsoft Corporation) MD5=117EA87DF785CA1B9D821F6F213DCE07 -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_8d115452bcae17d8\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2009.04.11 08:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\SysNative\winlogon.exe
[2009.04.11 08:11:08 | 000,405,504 | ---- | M] (Microsoft Corporation) MD5=6D0773A3A65D28B663F334C90441D01A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_cdcd15a68a70b877\winlogon.exe
[2008.01.21 03:48:05 | 000,406,016 | ---- | M] (Microsoft Corporation) MD5=856491FCED98093D824B9EB2892F564A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_cbe19c9a8d4eed2b\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SysWOW64\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008.01.21 03:48:57 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008.01.21 03:47:58 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=8A900348370E359B6BFF6A550E4649E1 -- C:\Windows\SysNative\drivers\ws2ifsl.sys
[2008.01.21 03:47:58 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=8A900348370E359B6BFF6A550E4649E1 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_aba53c58802b1777\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 16 bytes -> C:\Downloads:Shareaza.GUID

< End of report >
         

--- --- ---

Hm. Da fällt mir auf: Shareaza sollte eigentlich nicht mehr auftauchen. Das meinte ich, entfernt zu haben.

Hoppla. Gerade sehe ich, OTL hat noch ein weiteres Log, bezeichnet mit "Extras" erstellt. Ist zu lang um es hier einzubinden, daher als Anhang

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes,DefaultScope = {BE8CDE59-1ED2-45AA-BFC9-2B13066CED93}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{05F2B233-FF03-46BE-9096-1DDFC87BBCBA}: "URL" = http://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{0784E2C1-F2A0-451F-A5DA-EA5614E8525A}: "URL" = http://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{7DB6DF4D-8180-48F2-971D-BE8AD151DB1B}: "URL" = http://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{86DDDEE2-7834-4678-B123-1C8785EA3AD2}: "URL" = http://de.wikipedia.org/wiki/Spezial:Search?search={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{A4DF8244-BD1B-4B89-A7DC-D980A3CC7489}: "URL" = http://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{BE8CDE59-1ED2-45AA-BFC9-2B13066CED93}: "URL" = http://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\SearchScopes\{D25313F4-6646-49CB-AB3A-1B3CB6C7A1BD}: "URL" = http://suche.web.de/search/web/?su={searchTerms}
O2:64bit: - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (WEB.DE Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3:64bit: - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL (TerraTec Electronic GmbH)
O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3:64bit: - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKU\S-1-5-21-1942734557-2161052330-659072145-1000\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Program Files (x86)\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.27 13:09:25 | 000,000,050 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.09.21 08:11:04 | 000,000,000 | ---D | M] - I:\Autorun.inf -- [ FAT32 ]
@Alternate Data Stream - 16 bytes -> C:\Downloads:Shareaza.GUID
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!