|
Plagegeister aller Art und deren Bekämpfung: TR/Spy.Banker.Gen2 (gefunden von Avira)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.03.2012, 20:52 | #1 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) N'Abend, ich hoffe, ich mache hier jetzt alles richtig: Beim Aufrufen einer Website (18:30 Uhr) meldete sich Avira mit der Meldung, er habe TR/Spy.Banker.Gen2 gefunden, und zwar in AppData/Roaming/AcroIEHelpe.dll Ab in die Quarantäne. Gleich darauf kam er nochmal. Systemscan mit Avira brachte kein Ergebnis. Habe dann mal alle Cookies / Temp dateien usw gelöscht. Habe in AppData Roaming noch weitere Dateien / Ordner entdeckt, die um 18:31 Uhr erstellt worden sind, diese habe ich sicherheitshalber in die Quarantäte verschoben: AcroIEHelpe.txt srvblck2.tmp blckdom.res Anschliessend kam noch eine Meldung, und folgende Datei war wieder im Roaming Ordner zu finden: AcroIEHelpe.txt Einen Ordner mit Zahlen und "Chrome" Dateien (erstellt um 18:32) habe ich ebenfalls entfernt. OTL files im Anhang. Einen Scan mit Malwarebytes führe ich jetzt durch und poste dann das Ergebnis. Würde mich freuen, wenn Ihr Euch meiner Sache annehmen / mir helfen würdet. Danke! TB |
18.03.2012, 21:00 | #2 |
/// Malware-holic | TR/Spy.Banker.Gen2 (gefunden von Avira) hi,
__________________1. link der website bitte als private nachicht an mich. 2. malware scan abbrechen. 3. nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________ |
18.03.2012, 21:07 | #3 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) Hallo Markus und danke!
__________________1. done 2. done 3. ja, ja, ja, jein. |
18.03.2012, 21:19 | #4 |
/// Malware-holic | TR/Spy.Banker.Gen2 (gefunden von Avira) ok, morgen die bank anrufen, banking sperren lassen wegen tr.banker. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
18.03.2012, 21:26 | #5 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) Boah ey. OK. Dann ruf ich mal die Bank an. (Wie groß ist die Gefahr, wenn die Passwörter dafür nirgends gespeichert waren und ich sie seit Befall nicht eingegeben habe?) 1. Datenrettung: Habe erst vor ein paar Tagen alle Daten gesichert. Muss mal checken, was da betroffen ist. Vielleicht kann ich ohne großen Verlust alles komplett platt machen. 2. Habe ein Samsung R530 Notebook mit recovery CD. Neu aufsetzen sollte ich hinbekommen, denke ich. 3. Danke! 4. Mache ich von einem sicheren System aus. 5. Alles klar. 6. Ich bitte darum. DANKE! PS: Wie verhindere ich die Weitergabe über die verwendete DROPBOX? |
18.03.2012, 22:30 | #6 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) Habe aus Spaß mal Mawarebytes drüber laufen lassen, der folgendes ausgespuckt hat: Malwarebytes Anti-Malware (Test) 1.60.1.1000 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.03.18.03 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 XXX :: XXX [Administrator] Schutz: Aktiviert 18.03.2012 22:10:22 mbam-log-2012-03-18 (22-10-22).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 192439 Laufzeit: 4 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\XXXX\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Windows\Installer\MSID731.tmp (HackTool.Hiderun) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\XXXX\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart. (Ende) -> Hatte wegen Änderungsdatum auch eine Infizierte Datei im Roaming Ordner von Dropbox vermutet, der sich auch nicht löschen ließ. Nach der Malwarebytes Aktion ging es dann auf einmal. |
19.03.2012, 09:01 | #7 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) Heute Nacht habe ich nochmal meine Virenscanner über das System gejagt. Kann ich aufgrund der Ergebnisse davon ausgehen, dass mein System "vorerst sicher" ist? Also: Kann ich heute noch weiterarbeiten / Mails versenden etc. ohne meinen oder andere Rechner zu gefährden? Avira Log: Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 19. März 2012 02:48 Es wird nach 3569307 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : XXXX Computername : XXXX Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:12:09 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:12:07 LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:12:11 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:12:15 AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 18:12:15 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 09:21:22 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 11:23:54 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 11:25:25 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 11:25:25 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 11:25:25 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 11:25:25 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 11:25:26 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 11:25:28 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 11:25:28 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 11:25:28 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 11:25:33 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 11:18:09 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 11:52:27 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 09:05:31 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 10:23:59 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 16:08:15 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 18:12:03 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 22:09:33 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 22:09:28 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 08:40:04 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 11:36:27 VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 12:07:59 VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 11:50:44 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 13:54:25 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 15:24:44 VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 15:24:44 VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 15:24:44 VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 15:24:44 VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 15:24:44 VBASE031.VDF : 7.11.25.142 71680 Bytes 16.03.2012 17:19:01 Engineversion : 8.2.10.24 AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 18:20:28 AESCRIPT.DLL : 8.1.4.10 455035 Bytes 15.03.2012 15:27:13 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 07:33:55 AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:25:37 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.5 803190 Bytes 11.03.2012 11:50:53 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 15:37:35 AEHEUR.DLL : 8.1.4.7 4501878 Bytes 17.03.2012 17:21:06 AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 11:35:12 AEGEN.DLL : 8.1.5.23 409973 Bytes 11.03.2012 11:50:47 AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 15:27:16 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:25:09 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41 AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38 AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:12:07 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37 SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51 AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39 NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00 RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits und aktiver Malware Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Montag, 19. März 2012 02:48 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'SSMMgr.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'FLVSrvc.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD8Serv.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'FABS.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'SSCKbdHk.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'WCScheduler.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '197' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\windows\system32\svchost.exe' Signiert -> 'C:\windows\system32\winlogon.exe' Signiert -> 'C:\windows\system32\smss.exe' Signiert -> 'C:\windows\system32\wininet.DLL' Signiert -> 'C:\windows\system32\wsock32.DLL' Signiert -> 'C:\windows\system32\ws2_32.DLL' Signiert -> 'C:\windows\system32\services.exe' Signiert -> 'C:\windows\system32\lsass.exe' Signiert -> 'C:\windows\system32\csrss.exe' Signiert -> 'C:\windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\windows\system32\spoolsv.exe' Signiert -> 'C:\windows\system32\alg.exe' Signiert -> 'C:\windows\system32\wuauclt.exe' Signiert -> 'C:\windows\system32\advapi32.DLL' Signiert -> 'C:\windows\system32\user32.DLL' Signiert -> 'C:\windows\system32\gdi32.DLL' Signiert -> 'C:\windows\system32\kernel32.DLL' Signiert -> 'C:\windows\system32\ntdll.DLL' Signiert -> 'C:\windows\system32\ntoskrnl.exe' Signiert -> 'C:\windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('20' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1312' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' Ende des Suchlaufs: Montag, 19. März 2012 08:45 Benötigte Zeit: 5:56:09 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 33724 Verzeichnisse wurden überprüft 921424 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 921424 Dateien ohne Befall 3884 Archive wurden durchsucht 0 Warnungen 0 Hinweise 721498 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden ------- Malwarebytes log: Malwarebytes Anti-Malware (Test) 1.60.1.1000 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.03.18.03 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 XXXX :: XXXX [Administrator] Schutz: Aktiviert 19.03.2012 01:44:07 mbam-log-2012-03-19 (01-44-07).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 359983 Laufzeit: 1 Stunde(n), 2 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) --- |
19.03.2012, 09:02 | #8 |
| TR/Spy.Banker.Gen2 (gefunden von Avira) OTL:OTL Logfile: Code:
ATTFilter OTL logfile created on: 3/19/2012 8:51:35 AM - Run 2 OTL by OldTimer - Version 3.2.39.1 Folder = C:\Users\XXXX\Desktop Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.93 Gb Total Physical Memory | 1.63 Gb Available Physical Memory | 55.64% Memory free 5.86 Gb Paging File | 4.64 Gb Available in Paging File | 79.13% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files Drive C: | 82.07 Gb Total Space | 17.02 Gb Free Space | 20.74% Space Free | Partition Type: NTFS Drive D: | 200.92 Gb Total Space | 78.88 Gb Free Space | 39.26% Space Free | Partition Type: NTFS Drive F: | 1.89 Gb Total Space | 0.93 Gb Free Space | 49.34% Space Free | Partition Type: FAT Computer Name: XXXX | User Name: XXXX | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Users\XXXX\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Program Files\Mozilla Thunderbird\thunderbird.exe (Mozilla Messaging) PRC - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\program files\avira\antivir desktop\avcenter.exe (Avira Operations GmbH & Co. KG) PRC - C:\Program Files\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation) PRC - C:\Program Files\Freecorder\FLVSrvc.exe (Applian Technologies, Inc.) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe (SEC) PRC - C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe (Samsung Electronics Co., Ltd.) PRC - C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe (SAMSUNG Electronics) PRC - C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe (Samsung Electronics Co., Ltd.) PRC - C:\Windows\Samsung\PanelMgr\SSMMgr.exe () PRC - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG) PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation) PRC - C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) PRC - C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.) ========== Modules (No Company Name) ========== MOD - C:\Program Files\Mozilla Firefox\mozjs.dll () MOD - C:\Program Files\Mozilla Thunderbird\mozjs.dll () MOD - C:\Program Files\Mozilla Thunderbird\NSLDAP32V60.dll () MOD - C:\Program Files\Mozilla Thunderbird\NSLDAPPR32V60.dll () MOD - C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll () MOD - C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll () MOD - C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll () MOD - C:\Program Files\DivX\DivX Update\DivXUpdate.exe () MOD - C:\Windows\Samsung\PanelMgr\SSMMgr.exe () MOD - C:\Program Files\CyberLink\Power2Go\CLMLSvcPS.dll () MOD - C:\Program Files\CyberLink\Power2Go\CLMediaLibrary.dll () MOD - C:\Program Files\Samsung\Easy Display Manager\HookDllPS2.dll () ========== Win32 Services (SafeList) ========== SRV - (vToolbarUpdater) -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe File not found SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (Sony Ericsson PCCompanion) -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe (Avanquest Software) SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation) SRV - (Fabs) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG) SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation) SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation) SRV - (FirebirdServerMAGIXInstance) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe (MAGIX®) ========== Driver Services (SafeList) ========== DRV - (DgiVecp) -- C:\windows\system32\Drivers\DgiVecp.sys File not found DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH) DRV - (ggsemc) -- C:\Windows\System32\drivers\ggsemc.sys (Sony Ericsson Mobile Communications) DRV - (ggflt) -- C:\Windows\System32\drivers\ggflt.sys (Sony Ericsson Mobile Communications) DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys () DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (s1039mdm) -- C:\Windows\System32\drivers\s1039mdm.sys (MCCI Corporation) DRV - (s1039unic) Sony Ericsson Device 1039 USB Ethernet Emulation (WDM) -- C:\Windows\System32\drivers\s1039unic.sys (MCCI Corporation) DRV - (s1039mgmt) Sony Ericsson Device 1039 USB WMC Device Management Drivers (WDM) -- C:\Windows\System32\drivers\s1039mgmt.sys (MCCI Corporation) DRV - (s1039obex) -- C:\Windows\System32\drivers\s1039obex.sys (MCCI Corporation) DRV - (s1039bus) Sony Ericsson Device 1039 driver (WDM) -- C:\Windows\System32\drivers\s1039bus.sys (MCCI Corporation) DRV - (s1039nd5) Sony Ericsson Device 1039 USB Ethernet Emulation (NDIS) -- C:\Windows\System32\drivers\s1039nd5.sys (MCCI Corporation) DRV - (s1039mdfl) -- C:\Windows\System32\drivers\s1039mdfl.sys (MCCI Corporation) DRV - (IntcHdmiAddService) Intel(R) -- C:\Windows\System32\drivers\IntcHdmi.sys (Intel(R) Corporation) DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys () DRV - (SSPORT) -- C:\Windows\System32\drivers\SSPORT.SYS (Samsung Electronics) DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation) DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledItems: calendar-timezones@mozilla.org:0.1.2008d FF - prefs.js..extensions.enabledItems: default-palette@celtx.com:1.0 FF - prefs.js..extensions.enabledItems: emoticons-msn-smileys@m513901.de:0.1 FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.0 FF - prefs.js..extensions.enabledItems: messagestyle-blackened@addons.instantbird.org:0.9 FF - prefs.js..extensions.enabledItems: messagestyle-depth@addons.instantbird.org:1.1 FF - prefs.js..extensions.enabledItems: messagestyle-minimal20@addons.instantbird.org:1.5 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011/12/19 16:03:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/03/18 22:19:05 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012/03/15 17:49:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/11/07 12:52:09 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2012/03/15 17:49:32 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\Users\XXXX\AppData\Roaming\10017 [2011/11/11 17:46:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\XXXX\AppData\Roaming\mozilla\Extensions [2010/07/22 15:52:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\XXXX\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011/11/11 17:46:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\XXXX\AppData\Roaming\mozilla\Extensions\celtx@celtx.com [2012/03/18 11:55:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\XXXX\AppData\Roaming\mozilla\Firefox\Profiles\0ydjygnj.default\extensions [2011/04/18 12:15:07 | 000,000,000 | ---D | M] (20-20 3D Viewer) -- C:\Users\XXXX\AppData\Roaming\mozilla\Firefox\Profiles\0ydjygnj.default\extensions\2020Player@2020Technologies.com [2012/03/18 11:55:47 | 000,000,000 | ---D | M] (Echofon) -- C:\Users\XXXX\AppData\Roaming\mozilla\Firefox\Profiles\0ydjygnj.default\extensions\twitternotifier@naan.net [2011/08/31 14:43:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\XXXX\AppData\Roaming\mozilla\Firefox\Profiles\1f2va8jx.default\extensions [2011/12/21 10:03:35 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions [2011/11/11 17:46:28 | 000,000,000 | ---D | M] (Timezone Definitions for Mozilla Calendar) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\CALENDAR-TIMEZONES@MOZILLA.ORG [2011/11/11 17:46:28 | 000,000,000 | ---D | M] (Default Shot Palette) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\DEFAULT-PALETTE@CELTX.COM [2011/11/11 17:46:28 | 000,000,000 | ---D | M] (MSN-Smileys) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\EMOTICONS-MSN-SMILEYS@M513901.DE [2011/11/11 17:46:28 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\INSPECTOR@MOZILLA.ORG [2011/11/11 17:46:27 | 000,000,000 | ---D | M] (Blackened) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\MESSAGESTYLE-BLACKENED@ADDONS.INSTANTBIRD.ORG [2011/11/11 17:46:27 | 000,000,000 | ---D | M] (Depth) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\MESSAGESTYLE-DEPTH@ADDONS.INSTANTBIRD.ORG [2011/11/11 17:46:27 | 000,000,000 | ---D | M] (Minimal) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\MESSAGESTYLE-MINIMAL20@ADDONS.INSTANTBIRD.ORG [2012/03/18 22:19:04 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011/10/03 04:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2012/02/14 23:25:02 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/02/14 23:25:02 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2012/02/14 23:25:02 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2012/02/14 23:25:02 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2012/02/14 23:25:02 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2012/02/14 23:25:02 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009/06/10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\8.0.0.33\AVG Secure Search_toolbar.dll File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\8.0.0.33\AVG Secure Search_toolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKLM..\Run: [APLangApp] C:\Program Files\AnyPC Client\APLangApp.exe (DoctorSoft) O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CLMLServer] C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [Freecorder FLV Service] C:\Program Files\Freecorder\FLVSrvc.exe (Applian Technologies, Inc.) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.) O4 - HKLM..\Run: [RemoteControl8] C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.) O4 - HKLM..\Run: [Samsung PanelMgr] C:\windows\Samsung\PanelMgr\ssmmgr.exe () O4 - HKLM..\Run: [TrayServer] C:\PROGRA~1\MAGIX\VIDEO_~2\TrayServer.exe (MAGIX AG) O4 - HKLM..\Run: [UpdateLBPShortCut] C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePDRShortCut] C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePPShortCut] C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKCU..\Run: [updateMgr] C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_1_0 -reboot 1 File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O15 - HKCU\..Trusted Domains: samsungsetup.com ([www] http in Vertrauenswürdige Sites) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{95DE52F9-5E06-47C9-BE22-4B7FE2603F77}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D4A36C55-B5DB-455C-8FB2-5D3D8C75CFA2}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation) O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll File not found O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2012/03/11 13:52:28 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ] O32 - AutoRun File - [2009/06/10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{bed9a95d-9196-11e0-bced-0024542af850}\Shell - "" = AutoRun O33 - MountPoints2\{bed9a95d-9196-11e0-bced-0024542af850}\Shell\AutoRun\command - "" = F:\Startme.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012/03/18 20:53:00 | 000,000,000 | ---D | C] -- C:\Users\XXXX\AppData\Roaming\Malwarebytes [2012/03/18 20:52:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012/03/18 20:52:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012/03/18 20:52:52 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys [2012/03/18 20:52:52 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2012/03/18 19:52:26 | 000,594,432 | ---- | C] (OldTimer Tools) -- C:\Users\XXXX\Desktop\OTL.exe [2012/03/15 09:18:56 | 003,957,616 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\ntkrnlpa.exe [2012/03/15 09:18:52 | 003,902,320 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\ntoskrnl.exe [2012/03/14 12:21:47 | 002,341,376 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\win32k.sys [2012/03/14 12:21:46 | 001,170,944 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3d10warp.dll [2012/03/14 12:21:46 | 001,074,176 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\DWrite.dll [2012/03/14 12:21:46 | 000,739,840 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d2d1.dll [2012/03/14 12:21:46 | 000,218,624 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3d10_1core.dll [2012/03/14 12:21:46 | 000,161,792 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3d10_1.dll [2012/03/14 12:21:20 | 000,129,536 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\rdpcorekmts.dll [2012/03/14 12:21:20 | 000,057,856 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\rdpwsx.dll [2012/03/14 12:21:20 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\rdrmemptylst.exe [2012/03/14 12:21:18 | 000,826,368 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\rdpcore.dll [2012/03/11 14:43:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk [2012/03/11 14:42:43 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Autodesk Shared [2012/03/11 14:42:43 | 000,000,000 | ---D | C] -- C:\Users\XXXX\AppData\Local\Autodesk [2012/03/11 14:42:43 | 000,000,000 | ---D | C] -- C:\Program Files\Autodesk [2012/03/11 14:42:29 | 001,974,616 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\D3DCompiler_42.dll [2012/03/11 14:42:29 | 001,892,184 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\D3DX9_42.dll [2012/03/11 14:42:29 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3dx10_42.dll [2012/03/11 14:42:29 | 000,235,344 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3dx11_42.dll [2012/03/11 14:42:20 | 002,388,176 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\d3dx9_30.dll [2012/03/11 13:53:22 | 000,000,000 | ---D | C] -- C:\Users\XXXX\AppData\Roaming\Autodesk [2012/03/11 13:53:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Autodesk [2012/03/11 13:52:28 | 000,000,000 | ---D | C] -- C:\Autodesk [2012/03/11 13:33:40 | 000,000,000 | ---D | C] -- C:\Users\XXXX\AppData\Roaming\Blender Foundation [2012/03/11 13:21:45 | 000,000,000 | ---D | C] -- C:\Users\XXXX\AppData\Roaming\.thumbnails [2012/03/11 13:21:04 | 000,000,000 | ---D | C] -- C:\Program Files\Blender Foundation [2012/03/11 13:05:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Google [2012/02/20 07:44:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes [2012/02/20 07:43:24 | 000,000,000 | ---D | C] -- C:\Program Files\iPod ========== Files - Modified Within 30 Days ========== [2012/03/19 07:34:38 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2012/03/19 01:49:36 | 000,014,736 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012/03/19 01:49:36 | 000,014,736 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012/03/19 01:41:19 | 2362,920,960 | -HS- | M] () -- C:\hiberfil.sys [2012/03/18 22:23:45 | 000,696,870 | ---- | M] () -- C:\windows\System32\perfh007.dat [2012/03/18 22:23:45 | 000,652,148 | ---- | M] () -- C:\windows\System32\perfh009.dat [2012/03/18 22:23:45 | 000,148,134 | ---- | M] () -- C:\windows\System32\perfc007.dat [2012/03/18 22:23:45 | 000,121,080 | ---- | M] () -- C:\windows\System32\perfc009.dat [2012/03/18 20:52:54 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012/03/18 19:52:46 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Users\XXXX\Desktop\OTL.exe [2012/03/16 00:32:59 | 000,521,064 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT [2012/03/11 13:52:15 | 222,364,016 | ---- | M] () -- C:\Users\XXXX\Desktop\SetupDWGTrueView2012_32bit.exe [2012/02/24 09:06:19 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\windows\System32\FlashPlayerCPLApp.cpl [2012/02/23 09:18:36 | 000,237,072 | ---- | M] (Microsoft Corporation) -- C:\windows\System32\MpSigStub.exe ========== Files Created - No Company Name ========== [2012/03/18 20:52:54 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012/03/11 13:41:10 | 222,364,016 | ---- | C] () -- C:\Users\XXXX\Desktop\SetupDWGTrueView2012_32bit.exe [2012/02/06 10:32:36 | 000,482,408 | ---- | C] () -- C:\windows\ssndii.exe [2012/02/06 10:31:52 | 000,026,624 | ---- | C] () -- C:\windows\System32\ssp6ml3.dll [2011/12/04 13:12:43 | 000,040,960 | ---- | C] ( ) -- C:\windows\OMNIUNS.EXE [2011/11/18 16:40:03 | 000,000,054 | ---- | C] () -- C:\windows\Player.INI [2011/05/30 15:18:53 | 000,003,584 | ---- | C] () -- C:\Users\XXXX\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011/05/05 11:41:19 | 000,193,292 | -H-- | C] () -- C:\windows\System32\mlfcache.dat [2011/04/04 10:39:18 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2011/01/05 10:45:44 | 000,007,653 | ---- | C] () -- C:\Users\XXXX\AppData\Local\Resmon.ResmonCfg [2011/01/05 09:26:55 | 000,281,760 | ---- | C] () -- C:\windows\System32\drivers\atksgt.sys [2011/01/05 09:26:54 | 000,025,888 | ---- | C] () -- C:\windows\System32\drivers\lirsgt.sys [2010/08/27 10:50:47 | 000,007,256 | ---- | C] () -- C:\windows\mgxoschk.ini [2010/08/26 15:01:02 | 000,120,200 | ---- | C] () -- C:\windows\System32\DLLDEV32i.dll [2010/07/22 17:11:36 | 000,016,384 | ---- | C] () -- C:\windows\System32\FileOps.exe [2010/07/22 15:06:59 | 000,000,002 | ---- | C] () -- C:\windows\HotFixList.ini [2010/07/22 14:52:59 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe [2010/03/31 14:37:14 | 000,982,240 | ---- | C] () -- C:\windows\System32\igkrng500.bin [2010/03/31 14:37:14 | 000,439,308 | ---- | C] () -- C:\windows\System32\igcompkrng500.bin [2010/03/31 14:37:14 | 000,092,356 | ---- | C] () -- C:\windows\System32\igfcg500m.bin [2010/03/31 13:55:56 | 000,004,096 | ---- | C] ( ) -- C:\windows\System32\IGFXDEVLib.dll [2010/03/31 13:53:16 | 000,000,151 | ---- | C] () -- C:\windows\System32\GfxUI.exe.config [2010/03/31 13:47:06 | 000,208,896 | ---- | C] () -- C:\windows\System32\iglhsip32.dll [2010/03/31 13:47:06 | 000,143,360 | ---- | C] () -- C:\windows\System32\iglhcp32.dll ========== LOP Check ========== [2012/03/11 13:21:45 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\.thumbnails [2011/12/07 13:17:27 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Amazon [2012/03/11 14:43:10 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Autodesk [2012/03/11 13:33:40 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Blender Foundation [2011/03/31 16:29:01 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Canon [2011/11/11 17:46:51 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Greyfirst [2011/06/30 20:22:23 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\MAGIX [2011/08/27 10:10:31 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\OpenCandy [2010/07/22 17:44:19 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\OpenOffice.org [2011/08/22 12:19:26 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Opera [2011/10/17 21:19:43 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\RavensburgerTipToi [2010/07/22 15:52:17 | 000,000,000 | ---D | M] -- C:\Users\XXXX\AppData\Roaming\Thunderbird [2011/12/13 08:07:08 | 000,032,632 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54 @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:ABE89FFE < End of report > ---- OTL Extra:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 3/19/2012 8:51:35 AM - Run 2 OTL by OldTimer - Version 3.2.39.1 Folder = C:\Users\XXXX\Desktop Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.93 Gb Total Physical Memory | 1.63 Gb Available Physical Memory | 55.64% Memory free 5.86 Gb Paging File | 4.64 Gb Available in Paging File | 79.13% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files Drive C: | 82.07 Gb Total Space | 17.02 Gb Free Space | 20.74% Space Free | Partition Type: NTFS Drive D: | 200.92 Gb Total Space | 78.88 Gb Free Space | 39.26% Space Free | Partition Type: NTFS Drive F: | 1.89 Gb Total Space | 0.93 Gb Free Space | 49.34% Space Free | Partition Type: FAT Computer Name: XXXX | User Name: XXXX | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation) .html [@ = htmlfile] -- Reg Error: Key error. File not found .js [@ = JSFile] -- C:\Program Files\Macromedia\Dreamweaver MX\Dreamweaver.exe (Macromedia, Inc.) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) htmlfile [edit] -- Reg Error: Key error. htmlfile [open] -- Reg Error: Key error. inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) jsfile [open] -- "C:\Program Files\Macromedia\Dreamweaver MX\Dreamweaver.exe" "%1" (Macromedia, Inc.) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = Reg Error: Unknown registry data type -- File not found "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution 4 "{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager "{178EE5F4-0F86-4BF0-A0D1-9790AFF409D1}" = EasyBatteryManager "{1AFA1FEF-8CF9-4A51-AC46-64FAA7F3D9E2}" = AnyPC Client "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 29 "{294BB21B-0091-492F-87D2-A9192DA3E448}" = System Requirements Lab for Intel "{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie "{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8 "{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support "{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition "{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works "{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker "{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go "{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{5783F2D7-A028-0409-0000-0060B0CE6BBA}" = DWG TrueView 2012 "{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3 "{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call "{61150C85-DC0A-4976-922F-5575F388ADA6}" = Notation Player 2.6.3 "{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM "{6B566EFE-DC1D-471F-93DD-84832663F140}" = OVT Scanner X86 "{6FC5FA2A-1D40-41B9-920B-0F2A758E24A6}" = MAGIX Speed burnR (MSI) "{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync "{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update "{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour "{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime "{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{853F8A41-A3C9-43FA-87FA-1AE74FC6F3F7}" = BatteryLifeExtender "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8B4AB829-DFD3-436D-B808-D9733D76C590}" = Macromedia Dreamweaver MX "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager "{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007 "{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{926BD0E8-24A3-41D2-AF9B-340F1A37ED12}" = MobileMe Control Panel "{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195 "{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German) "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A5675A9E-F073-414A-9A04-F9BCD50459D7}" = Easy Network Manager "{A5BA14E0-7384-11D4-BAE7-00409631A2C8}" = Macromedia Extension Manager "{A68575CE-050E-4E1F-A053-58BE8D9DE7AB}" = ArcSoft MediaImpression 2 "{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5 "{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch "{AFF7E080-1974-45BF-9310-10DE1A1F5ED0}" = Adobe AIR "{B1FEBE01-42BB-4D05-8180-6C5ABD91E97E}" = MAGIX Screenshare "{B338F364-B396-48DF-8E38-29840232CF3D}" = MAGIX Video deluxe 17 Plus "{B74D4E10-6884-0000-0000-000000000103}" = Adobe Bridge 1.0 "{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer "{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide "{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail "{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint "{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector "{CCC2B140-B47A-45FA-AAE3-BD60DA41AE00}" = Samsung Support Center "{D1434266-0486-4469-B338-A60082CC04E1}" = Atheros Client Installation Program "{D24DB8B9-BB6C-4334-9619-BA1C650E13D3}" = Microsoft Primary Interoperability Assemblies 2005 "{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}" = Samsung Update Plus "{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2 "{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer "{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update "{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant "{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager "{F09EF8F2-0976-42C1-8D9D-8DF78337C6E3}" = Sony Ericsson PC Companion 2.01.231 "{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU] "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F2AF3E5D-9697-485C-A5AC-E2B9468C446A}" = Safari "{F6D6B258-E3CA-4AAC-965A-68D3E3140A8C}" = iTunes "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "{FDB5E0F3-86EA-4379-8A2F-1BC2436543E9}" = iCloud "7-Zip" = 7-Zip 9.20 "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Adobe SVG Viewer" = Adobe SVG Viewer 3.0 "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9 "Audacity_is1" = Audacity 1.2.6 "Avira AntiVir Desktop" = Avira Free Antivirus "B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind "BookSmart® 3.1.0 3.1.0" = BookSmart® 3.1.0 3.1.0 "Celtx (2.9.1)" = Celtx (2.9.1) "DivX Setup" = DivX-Setup "DWG TrueView 2012" = DWG TrueView 2012 "Freecorder5.02" = Freecorder 5 "HDMI" = Intel(R) Graphics Media Accelerator Driver "HOMESTUDENTR" = Microsoft Office Home and Student 2007 "InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam "InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite "InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8 "InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go "InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer "InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint "InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector "MAGIX Screenshare D" = MAGIX Screenshare "MAGIX Speed burnR D" = MAGIX Speed burnR "MAGIX Video deluxe 16 Download-Version D" = MAGIX Video deluxe 16 Download-Version 9.0.0.55 (D) "MAGIX_MSI_Videodeluxe17_plus" = MAGIX Video deluxe 17 Plus "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000 "Marvell Miniport Driver" = Marvell Miniport Driver "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de) "Mozilla Thunderbird 10.0.2 (x86 de)" = Mozilla Thunderbird 10.0.2 (x86 de) "Ravensburger tiptoi" = Ravensburger tiptoi "Samsung ML-2525W Series" = Wartung Samsung ML-2525W Series "SynTPDeinstKey" = Synaptics Pointing Device Driver "Update Engine" = Sony Ericsson Update Engine "VLC media player" = VLC media player 1.1.1 "WinLiveSuite_Wave3" = Windows Live Essentials ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 3/15/2012 12:40:53 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 3/15/2012 12:40:53 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 10374 Error - 3/15/2012 12:40:53 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 10374 Error - 3/15/2012 12:40:54 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 3/15/2012 12:40:54 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 11653 Error - 3/15/2012 12:40:54 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 11653 Error - 3/15/2012 12:45:24 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 3/15/2012 12:45:24 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 281675 Error - 3/15/2012 12:45:24 PM | Computer Name = XXXX | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 281675 Error - 3/15/2012 12:49:28 PM | Computer Name = XXXX | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: MsiExec.exe, Version: 5.0.7600.16385, Zeitstempel: 0x4a5bc3e6 Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0x80000003 Fehleroffset: 0x01ccf922 ID des fehlerhaften Prozesses: 0x888 Startzeit der fehlerhaften Anwendung: 0x01cd02cb94c0e5c1 Pfad der fehlerhaften Anwendung: C:\windows\system32\MsiExec.exe Pfad des fehlerhaften Moduls: unknown Berichtskennung: d3de2cb0-6ebe-11e1-ad73-0024542af850 [ OSession Events ] Error - 12/19/2010 1:21:35 PM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 8 seconds with 0 seconds of active time. This session ended with a crash. Error - 12/11/2011 5:45:24 PM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 34275 seconds with 0 seconds of active time. This session ended with a crash. Error - 12/15/2011 12:58:20 PM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 7726 seconds with 0 seconds of active time. This session ended with a crash. Error - 12/18/2011 7:49:42 AM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 135245 seconds with 0 seconds of active time. This session ended with a crash. Error - 1/3/2012 5:05:07 AM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 43615 seconds with 0 seconds of active time. This session ended with a crash. Error - 1/31/2012 6:19:00 AM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 51371 seconds with 0 seconds of active time. This session ended with a crash. Error - 2/2/2012 9:33:36 AM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 149260 seconds with 0 seconds of active time. This session ended with a crash. Error - 2/3/2012 8:38:59 AM | Computer Name = XXXX | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6425.1000, Microsoft Office Version: 12.0.6425.1000. This session lasted 59750 seconds with 0 seconds of active time. This session ended with a crash. [ System Events ] Error - 3/15/2012 4:16:52 AM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Volumeschattenkopie" wurde aufgrund folgenden Fehlers nicht gestartet: %%1053 Error - 3/15/2012 4:17:45 AM | Computer Name = XXXX | Source = Service Control Manager | ID = 7011 Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst TrustedInstaller erreicht. Error - 3/15/2012 6:54:17 AM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/15/2012 10:43:18 AM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/15/2012 7:33:11 PM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/16/2012 9:24:56 AM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/16/2012 3:24:49 PM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/18/2012 5:16:23 PM | Computer Name = XXXX | Source = DCOM | ID = 10010 Description = Error - 3/18/2012 5:17:29 PM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 3/18/2012 8:41:39 PM | Computer Name = XXXX | Source = Service Control Manager | ID = 7000 Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 < End of report > |
19.03.2012, 12:18 | #9 |
/// Malware-holic | TR/Spy.Banker.Gen2 (gefunden von Avira) kannst du nicht. dropbox ist sowieso nicht sonderlich sicher, ich würde da nichts persönliches hochladen oder höchstens wenn es mit passwort versehen ist. das system muss schnellst möglich neu aufgesetzt werden, es sollte nicht mehr ins internet gehen, außer wenn es nötig ist. passwörter dürfen logischerweise nicht eingegeben werden.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu TR/Spy.Banker.Gen2 (gefunden von Avira) |
aufrufe, aufrufen, avira, cookies, dateien, ebenfalls, entdeck, entdeckt, erstell, erstellt, files, folge, folgende, freue, hoffe, malwarebytes, melde, meldung, ordner, poste, richtig, sache, temp, tr/spy.banker.gen2, verschoben, website, zahlen |