Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner-Infektion mit searchqu.com/413

Trojaner-Infektion mit searchqu.com/413


Log-Analyse und Auswertung: Trojaner-Infektion mit searchqu.com/413

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.04.2012, 14:09   #1
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Hallo zusammen,

ich habe mir vor drei Tagen über einen FreeFLVConverter Adware eingefangen - Spybot S&D meldete folgende verdächtige Adware "jZip.Toolbar".

Bemerkbar machte sich dieser (offenbar) Trojaner dadurch, dass er sich im Firefox-Explorer als Startseite implementiert und nicht entfernen läßt.

Ich habe hier im Board gelesen und bin auf folgenden Beitrag gestoßen:
http://www.trojaner-board.de/103275-...com-413-a.html
Ich habe den Converter deinstalliert und diverse Reinigungsversuche bisher durchlaufen und denke, dass ich den gröbsten Mist eleminiert habe. Zumindest installiert sich searchqu nicht mehr als startseite im Firefox (was ja noch nichts heißen soll). Wenn möglich, würde ich gern gemeinsam mit jemanden, der sich mit der Thematik auskennt, meinen Rechner jetzt noch mal komplett überprüfen / reinigen.

Ich habe jetzt
1. defogger ausgeführt
2. dds als Admin mit beigefügter DDS.zip (dds.txt und attach.txt)
(hier leider noch ein Hinweis auf searchqu im Abschnitt HJT Report!)
3. OTL.zip (OTL.txt und Extras.txt)
4. Malwarbytes aktualisiert und compl. scan (ohne Befund)
5. SUPERAntiSpyware (ohne Befund)
6. TDSSKiller (ohne Befund)
7. von ComboFix habe ich die Finger gelassen
8. der Scan mit aswMBER läuft noch, sobald ich den Log habe werde ich ihn posten

Spybot S&D findet nun auch nichts mehr und auch der ESET Scanner lief heute Nacht (das hat ganz schön gedauert) ohne negatives Ergbenis durch.

Ich würde mich freuen, wenn sich jemand meines Problems annimmt und mir schreibt, was ich noch tuen könnte.

Vielen Dank!

Dirk

Noch die aswMBR.txt

Code:
ATTFilter
 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-11 14:43:28
-----------------------------
14:43:28.904    OS Version: Windows x64 6.1.7601 Service Pack 1
14:43:28.904    Number of processors: 2 586 0x603
14:43:28.904    ComputerName: ADMIN-PC  UserName: admin
14:43:30.683    Initialize success
14:43:34.442    AVAST engine defs: 12041100
14:43:38.280    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
14:43:38.280    Disk 0 Vendor: ST500DM002-1BC142 JC4B Size: 476940MB BusType: 3
14:43:38.295    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-4
14:43:38.295    Disk 1 Vendor: ST3250823AS 3.03 Size: 238475MB BusType: 3
14:43:38.342    Disk 0 MBR read successfully
14:43:38.342    Disk 0 MBR scan
14:43:38.342    Disk 0 Windows 7 default MBR code
14:43:38.358    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
14:43:38.358    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       476838 MB offset 206848
14:43:38.405    Disk 0 scanning C:\Windows\system32\drivers
14:43:55.346    Service scanning
14:44:12.990    Modules scanning
14:44:13.005    Disk 0 trace - called modules:
14:44:13.021    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 
14:44:13.037    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80079a4790]
14:44:13.037    3 CLASSPNP.SYS[fffff88001c5a43f] -> nt!IofCallDriver -> [0xfffffa80078bb580]
14:44:13.037    5 ACPI.sys[fffff88000eca7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa80078b8060]
14:44:14.565    AVAST engine scan C:\Windows
14:44:33.894    AVAST engine scan C:\Windows\system32
14:49:24.975    AVAST engine scan C:\Windows\system32\drivers
14:50:10.340    AVAST engine scan C:\Users\admin
16:07:03.941    AVAST engine scan C:\ProgramData
16:14:15.527    Scan finished successfully
19:28:25.618    Disk 0 MBR has been saved successfully to "C:\Users\admin\Documents\Logfiles\12042012\MBR.dat"
19:28:25.618    The log file has been saved successfully to "C:\Users\admin\Documents\Logfiles\12042012\aswMBR.txt"

Alt 12.04.2012, 12:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Zitat:
Datenbank Version: v2012.04.04.08
Malwarebytes war leider nicht ganz aktuell, du könntest den Vollscans mit aktuellen Signaturen nochmal später machen

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________

__________________
Alt 12.04.2012, 20:06   #3
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Hallo Arne,

vielen Dank, dass Du Dich meinem Problem annimmst.

Ich habe heute Mittags Malwarebytes aktualisiert und laufen lassen.
Hier das Logfile:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.12.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ADMIN-PC [Administrator]

12.04.2012 14:25:16
mbam-log-2012-04-12 (14-25-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 446131
Laufzeit: 2 Stunde(n), 21 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Grad eben habe ich dann OTL wie von Dir beschrieben ausgeführt.
Hier die OTL.txt:
Code:
ATTFilter
OTL logfile created on: 12.04.2012 20:46:39 - Run 4
OTL by OldTimer - Version 3.2.39.2     Folder = C:\Users\admin\Downloads
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
8,00 Gb Total Physical Memory | 5,57 Gb Available Physical Memory | 69,68% Memory free
16,00 Gb Paging File | 13,25 Gb Available in Paging File | 82,82% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 465,66 Gb Total Space | 236,95 Gb Free Space | 50,89% Space Free | Partition Type: NTFS
Drive D: | 671,00 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 232,88 Gb Total Space | 169,57 Gb Free Space | 72,81% Space Free | Partition Type: NTFS
Drive I: | 1397,26 Gb Total Space | 725,71 Gb Free Space | 51,94% Space Free | Partition Type: NTFS
Drive Z: | 931,51 Gb Total Space | 867,36 Gb Free Space | 93,11% Space Free | Partition Type: NTFS
 
Computer Name: ADMIN-PC | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\admin\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe (Acronis)
PRC - C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\SyncServer.exe (Apple Inc.)
PRC - C:\Program Files (x86)\SABnzbd\SABnzbd.exe ()
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
PRC - C:\Program Files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
PRC - C:\Program Files (x86)\MSI\Super-Charger\Super-Charger.exe (MSI CO.,LTD.)
PRC - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
PRC - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe (Kaspersky Lab ZAO)
PRC - C:\Program Files (x86)\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG)
PRC - C:\Program Files (x86)\Common Files\Ulead Systems\AutoDetector\Monitor.exe (Ulead Systems, Inc.)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll ()
MOD - C:\Program Files (x86)\SABnzbd\SABnzbd.exe ()
MOD - C:\Program Files (x86)\Acronis\TrueImageHome\Common\ti_managers.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtGui4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtSql4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtScript4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtNetwork4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtCore4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\QtDeclarative4.dll ()
MOD - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\imageformats\qgif4.dll ()
MOD - C:\Program Files (x86)\SABnzbd\lib\OpenSSL.crypto.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\OpenSSL.SSL.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\OpenSSL.rand.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\sqlite3.dll ()
MOD - C:\Program Files (x86)\SABnzbd\lib\pywintypes25.dll ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_ssl.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_hashlib.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\pyexpat.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_ctypes.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_socket.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_sqlite3.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\select.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\servicemanager.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32api.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32service.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32process.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32pipe.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32evtlog.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32file.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\win32event.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\Cheetah._namemapper.pyd ()
MOD - C:\Program Files (x86)\SABnzbd\lib\_yenc.pyd ()
MOD - C:\Program Files (x86)\Common Files\Ulead Systems\AutoDetector\DetMethod.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (afcdpsrv) -- C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe (Acronis)
SRV - (TeamViewer7) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (AcrSch2Svc) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (!SASCORE) -- C:\Programme\SUPERAntiSpyware\SASCore64.exe (SUPERAntiSpyware.com)
SRV - (Fabs) -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (FirebirdServerMAGIXInstance) -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
SRV - (AVP) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe (Kaspersky Lab ZAO)
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (VBoxNetAdp) -- C:\Windows\SysNative\drivers\VBoxNetAdp.sys (Oracle Corporation)
DRV:64bit: - (afcdp) -- C:\Windows\SysNative\drivers\afcdp.sys (Acronis)
DRV:64bit: - (tdrpman273) Acronis Try&Decide and Restore Points filter (build 273) -- C:\Windows\SysNative\drivers\tdrpm273.sys (Acronis)
DRV:64bit: - (timounter) -- C:\Windows\SysNative\drivers\timntr.sys (Acronis)
DRV:64bit: - (snapman) -- C:\Windows\SysNative\drivers\snapman.sys (Acronis)
DRV:64bit: - (pcouffin) -- C:\Windows\SysNative\drivers\pcouffin.sys (VSO Software)
DRV:64bit: - (KLIF) -- C:\Windows\SysNative\drivers\klif.sys (Kaspersky Lab)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (amdkmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (amdkmdap) -- C:\Windows\SysNative\drivers\atikmpag.sys (Advanced Micro Devices, Inc.)
DRV:64bit: - (AtiHDAudioService) -- C:\Windows\SysNative\drivers\AtihdW76.sys (Advanced Micro Devices)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (KLIM6) -- C:\Windows\SysNative\drivers\klim6.sys (Kaspersky Lab ZAO)
DRV:64bit: - (kl2) -- C:\Windows\SysNative\drivers\kl2.sys (Kaspersky Lab ZAO)
DRV:64bit: - (KL1) -- C:\Windows\SysNative\drivers\kl1.sys (Kaspersky Lab ZAO)
DRV:64bit: - (VClone) -- C:\Windows\SysNative\drivers\VClone.sys (Elaborate Bytes AG)
DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV:64bit: - (usbfilter) -- C:\Windows\SysNative\drivers\usbfilter.sys (Advanced Micro Devices)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV:64bit: - (USB28xxBGA) -- C:\Windows\SysNative\drivers\emBDA64.sys (eMPIA Technology, Inc.)
DRV:64bit: - (USB28xxOEM) -- C:\Windows\SysNative\drivers\emOEM64.sys (eMPIA Technology, Inc.)
DRV:64bit: - (AtiPcie) AMD PCI Express (3GIO) -- C:\Windows\SysNative\drivers\AtiPcie64.sys (Advanced Micro Devices Inc.)
DRV:64bit: - (amdiox64) -- C:\Windows\SysNative\drivers\amdiox64.sys (Advanced Micro Devices)
DRV:64bit: - (SNXPPAMD) -- C:\Windows\SysNative\drivers\snxppamd.sys (Manufactor)
DRV:64bit: - (SNXPCAMD) -- C:\Windows\SysNative\drivers\snxpcamd.sys (Manufactor)
DRV:64bit: - (DCamUSBEMPIA) -- C:\Windows\SysNative\drivers\emDevice64.sys (eMPIA Technology, Inc.)
DRV:64bit: - (FiltUSBEMPIA) -- C:\Windows\SysNative\drivers\emFilter64.sys (eMPIA Technology, Inc.)
DRV:64bit: - (ScanUSBEMPIA) -- C:\Windows\SysNative\drivers\emscan64.sys (eMPIA Technology, Inc.)
DRV:64bit: - (klmouflt) -- C:\Windows\SysNative\drivers\klmouflt.sys (Kaspersky Lab)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV:64bit: - (MarvinBus) -- C:\Windows\SysNative\drivers\MarvinBus64.sys (Pinnacle Systems GmbH)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv64.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\saskutil64.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchnu.com/413
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 81 04 D0 3D 63 FD CC 01  [binary data]
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..keyword.URL: "hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q="
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_228.dll File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_228.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpWinExt,version=5.0: C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\linkfilter@kaspersky.ru [2012.03.09 01:59:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru [2012.03.09 01:59:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\KavAntiBanner@Kaspersky.ru [2012.03.09 01:59:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\msntoolbar@msn.com: C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\Firefox [2012.03.09 02:49:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{27182e60-b5f3-411c-b545-b44205977502}: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\ [2012.03.10 03:37:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.23 11:17:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.03.20 20:33:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\firejump@firejump.net: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\firejump@firejump.net [2012.03.09 15:24:21 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\mail@shopping-preise.de: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de [2012.03.09 15:24:25 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.23 11:17:10 | 000,000,000 | ---D | M]
 
[2012.04.10 11:06:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Extensions
[2012.04.10 12:15:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions
[2012.04.09 15:25:59 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.03.09 15:24:21 | 000,000,000 | ---D | M] (FireJump) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\firejump@firejump.net
[2012.03.09 15:24:25 | 000,000,000 | ---D | M] (Shopping-preise.de) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de
[2012.04.10 12:00:36 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
() (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TSIQF7W9.DEFAULT\EXTENSIONS\SABNZBDSTATUS@DQ5STUDIOS.COM.XPI
[2012.03.20 20:33:57 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.02.16 13:02:53 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.16 12:48:01 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.02.16 13:02:53 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.16 13:02:53 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.09 18:04:21 | 000,002,515 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
[2012.02.16 13:02:53 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.16 13:02:53 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\x64\ievkbd.dll (Kaspersky Lab ZAO)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\x64\klwtbbho.dll (Kaspersky Lab ZAO)
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll (Kaspersky Lab ZAO)
O2 - BHO: (Bing Bar BHO) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll (Kaspersky Lab ZAO)
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4:64bit: - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AVP] C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe (Kaspersky Lab ZAO)
O4 - HKLM..\Run: [SAOB Monitor] C:\Program Files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [Super-Charger] C:\Program Files (x86)\MSI\Super-Charger\StartSuperCharger.exe (MSI)
O4 - HKLM..\Run: [TrayServer] C:\Program Files (x86)\MAGIX\Video_deluxe_MX_Premium_Download-Version\TrayServer_de.exe (MAGIX AG)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [Ulead AutoDetector v2] C:\Program Files (x86)\Common Files\Ulead Systems\AutoDetector\monitor.exe (Ulead Systems, Inc.)
O4 - HKLM..\Run: [VirtualCloneDrive] C:\Program Files (x86)\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-784736260-4045425606-3019638473-1000..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk = C:\Program Files (x86)\SABnzbd\SABnzbd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8:64bit: - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9:64bit: - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\x64\ievkbd.dll (Kaspersky Lab ZAO)
O9:64bit: - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\x64\klwtbbho.dll (Kaspersky Lab ZAO)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll (Kaspersky Lab ZAO)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll (Kaspersky Lab ZAO)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1F3411CA-389E-458D-B16F-824EC8138BCB}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\klogon: DllName - (%SystemRoot%\System32\klogon.dll) - C:\Windows\SysNative\klogon.dll (Kaspersky Lab ZAO)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [1998.04.30 12:54:32 | 000,000,049 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\Shell - "" = AutoRun
O33 - MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\Shell\AutoRun\command - "" = F:\Welcome\Welcome.exe
O33 - MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\Shell\AutoRun\command - "" = D:\DBSTART.EXE -- [1998.06.15 17:03:18 | 000,317,440 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
 
MsConfig:64bit - StartUpReg: Acronis Scheduler2 Service - hkey= - key= - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
MsConfig:64bit - StartUpReg: Bing Bar - hkey= - key= - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\mswinext.exe (Microsoft Corp.)
MsConfig:64bit - StartUpReg: DATA BECKER Safe - hkey= - key= - C:\Program Files (x86)\DATA BECKER\Safe\Safe.exe (celink - Ing.-Büro Ferstl, München + DATA BECKER GmbH & Co. KG)
MsConfig:64bit - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
MsConfig:64bit - StartUpReg: Sidebar - hkey= - key= - C:\Program Files\Windows Sidebar\sidebar.exe (Microsoft Corporation)
 
SafeBootMin:64bit: AppMgmt - Service
SafeBootMin:64bit: Base - Driver Group
SafeBootMin:64bit: Boot Bus Extender - Driver Group
SafeBootMin:64bit: Boot file system - Driver Group
SafeBootMin:64bit: File system - Driver Group
SafeBootMin:64bit: Filter - Driver Group
SafeBootMin:64bit: HelpSvc - Service
SafeBootMin:64bit: PCI Configuration - Driver Group
SafeBootMin:64bit: PNP Filter - Driver Group
SafeBootMin:64bit: Primary disk - Driver Group
SafeBootMin:64bit: sacsvr - Service
SafeBootMin:64bit: SCSI Class - Driver Group
SafeBootMin:64bit: System Bus Extender - Driver Group
SafeBootMin:64bit: vmms - Service
SafeBootMin:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootMin: !SASCORE - C:\Programme\SUPERAntiSpyware\SASCore64.exe (SUPERAntiSpyware.com)
SafeBootMin: AppMgmt - Service
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vmms - Service
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet:64bit: AppMgmt - Service
SafeBootNet:64bit: Base - Driver Group
SafeBootNet:64bit: Boot Bus Extender - Driver Group
SafeBootNet:64bit: Boot file system - Driver Group
SafeBootNet:64bit: File system - Driver Group
SafeBootNet:64bit: Filter - Driver Group
SafeBootNet:64bit: HelpSvc - Service
SafeBootNet:64bit: Messenger - Service
SafeBootNet:64bit: NDIS Wrapper - Driver Group
SafeBootNet:64bit: NetBIOSGroup - Driver Group
SafeBootNet:64bit: NetDDEGroup - Driver Group
SafeBootNet:64bit: Network - Driver Group
SafeBootNet:64bit: NetworkProvider - Driver Group
SafeBootNet:64bit: PCI Configuration - Driver Group
SafeBootNet:64bit: PNP Filter - Driver Group
SafeBootNet:64bit: PNP_TDI - Driver Group
SafeBootNet:64bit: Primary disk - Driver Group
SafeBootNet:64bit: rdsessmgr - Service
SafeBootNet:64bit: sacsvr - Service
SafeBootNet:64bit: SCSI Class - Driver Group
SafeBootNet:64bit: Streams Drivers - Driver Group
SafeBootNet:64bit: System Bus Extender - Driver Group
SafeBootNet:64bit: TDI - Driver Group
SafeBootNet:64bit: vmms - Service
SafeBootNet:64bit: WudfUsbccidDriver - Driver
SafeBootNet:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet:64bit: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet:64bit: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet:64bit: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet:64bit: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet:64bit: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootNet: !SASCORE - C:\Programme\SUPERAntiSpyware\SASCore64.exe (SUPERAntiSpyware.com)
SafeBootNet: AppMgmt - Service
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vmms - Service
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32:64bit: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32:64bit: VIDC.I420 -  File not found
Drivers32: msacm.l3acm - C:\Windows\SysWOW64\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: vidc.cvid - C:\Windows\SysWow64\iccvid.dll (Radius Inc.)
Drivers32: vidc.mjpg - pvmjpg30.dll File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.11 20:04:39 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Xilisoft
[2012.04.11 00:42:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.04.10 18:13:11 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\SUPERAntiSpyware.com
[2012.04.10 18:12:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2012.04.10 18:12:44 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2012.04.10 18:12:44 | 000,000,000 | ---D | C] -- C:\Program Files\SUPERAntiSpyware
[2012.04.10 16:55:25 | 000,000,000 | ---D | C] -- C:\Users\admin\Documents\Logfiles
[2012.04.10 10:25:18 | 000,000,000 | ---D | C] -- C:\ProgramData\boost_interprocess
[2012.04.09 18:04:25 | 000,360,448 | ---- | C] (FLV.com) -- C:\Windows\SysWow64\TubeFinder.exe
[2012.04.09 18:04:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free FLV Converter
[2012.04.09 15:47:55 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\UltraMixer
[2012.04.09 15:45:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\UltraMixer
[2012.04.09 15:25:59 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.04.07 23:17:57 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\HPAppData
[2012.04.07 20:20:33 | 000,000,000 | ---D | C] -- C:\Windows\ulead.dat
[2012.04.07 20:18:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DATA BECKER
[2012.04.07 20:18:49 | 000,027,656 | ---- | C] (DATA BECKER GmbH & Co. KG) -- C:\Windows\SysWow64\DBSIFL.DLL
[2012.04.07 20:18:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DATA BECKER
[2012.04.07 18:21:24 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\dvdcss
[2012.04.07 13:57:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MKV Player
[2012.04.07 13:57:20 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MKV Player
[2012.04.07 13:15:51 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\{9ABE4C1D-B3F9-41B9-899A-26A5DA0FBB7A}
[2012.04.07 13:15:51 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\{1D733321-04EA-4D9D-9FFD-8646A35B6A10}
[2012.04.05 16:19:21 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\TeamViewer
[2012.04.04 12:06:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2012.04.04 12:05:53 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2012.04.04 12:05:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\iTunes
[2012.04.04 12:05:53 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2012.04.03 17:29:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\MAGIX Services
[2012.03.30 09:06:51 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Malwarebytes
[2012.03.30 09:06:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.03.30 09:06:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.03.30 09:06:43 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.03.30 09:06:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.03.29 12:37:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free PDF to Word Doc Converter
[2012.03.29 12:37:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free PDF to Word Doc Converter
[2012.03.23 16:35:25 | 000,000,000 | ---D | C] -- C:\Users\admin\Documents\Pinnacle Studio
[2012.03.23 16:34:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\SureThing Shared
[2012.03.23 16:34:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SureThing Express Labeler
[2012.03.23 16:34:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SureThing Express Labeler
[2012.03.23 16:21:29 | 000,090,112 | ---- | C] (MindVision Software) -- C:\Windows\unvise32.exe
[2012.03.23 16:21:29 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Studio Plugins
[2012.03.23 16:19:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Pinnacle
[2012.03.23 16:19:10 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Downloaded Installations
[2012.03.23 16:18:58 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Pinnacle
[2012.03.23 16:18:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Pinnacle Studio Ultimate
[2012.03.23 16:17:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pinnacle Studio 15
[2012.03.23 16:17:02 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\My Projects
[2012.03.23 16:14:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Pegasus Imaging
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Yahoo!
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Studio 15
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pinnacle-Studio 15
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Pinnacle Studio Plus
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Pinnacle
[2012.03.23 16:14:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pinnacle
[2012.03.23 16:10:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Pinnacle
[2012.03.23 12:48:32 | 000,000,000 | ---D | C] -- C:\Users\admin\VirtualBox VMs
[2012.03.23 12:45:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\VirtualCloneDrive
[2012.03.23 12:45:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elaborate Bytes
[2012.03.23 12:44:53 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\WinRAR
[2012.03.23 12:44:53 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.03.23 12:44:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.03.23 12:44:46 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
[2012.03.23 12:21:13 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\sabnzbd
[2012.03.23 12:21:07 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SABnzbd
[2012.03.23 12:21:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SABnzbd
[2012.03.23 11:27:02 | 000,000,000 | ---D | C] -- C:\Users\admin\.VirtualBox
[2012.03.23 11:26:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox
[2012.03.23 11:26:02 | 000,000,000 | ---D | C] -- C:\Program Files\Oracle
[2012.03.23 11:18:16 | 000,000,000 | ---D | C] -- C:\ProgramData\WEBREG
[2012.03.23 11:16:50 | 000,000,000 | ---D | C] -- C:\ProgramData\HP Product Assistant
[2012.03.17 16:48:04 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\ElevatedDiagnostics
[2012.03.17 16:45:12 | 000,077,824 | ---- | C] (Manufactor) -- C:\Windows\SysWow64\SNXInst.exe
[2012.03.17 16:45:09 | 000,000,000 | ---D | C] -- C:\Program Files\DIFX
[2012.03.14 16:26:12 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pearl
[2012.03.14 16:26:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pearl
[2012.03.09 02:40:09 | 000,082,816 | ---- | C] (VSO Software) -- C:\Users\admin\AppData\Roaming\pcouffin.sys
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.12 20:36:48 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.04.12 20:36:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.04.12 14:21:37 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.04.12 14:21:37 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.04.12 14:21:37 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.04.12 14:21:37 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.04.12 14:21:37 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.04.11 20:26:19 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.04.11 20:26:19 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.04.11 20:25:43 | 000,002,338 | ---- | M] () -- C:\Users\admin\Desktop\Free Video to iPhone Converter.lnk
[2012.04.11 20:25:43 | 000,001,239 | ---- | M] () -- C:\Users\admin\Desktop\DVDVideoSoft Free Studio.lnk
[2012.04.11 20:18:44 | 2146,836,479 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.11 00:40:41 | 000,621,536 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.04.10 18:12:46 | 000,001,808 | ---- | M] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2012.04.10 10:45:52 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.10 10:43:44 | 000,000,000 | ---- | M] () -- C:\Users\admin\defogger_reenable
[2012.04.09 15:25:55 | 000,001,398 | ---- | M] () -- C:\Users\admin\Desktop\Free YouTube to MP3 Converter.lnk
[2012.04.07 20:21:21 | 000,000,511 | ---- | M] () -- C:\Windows\ulead32.ini
[2012.04.07 20:21:01 | 000,000,030 | ---- | M] () -- C:\Windows\iedit.INI
[2012.04.07 13:57:21 | 000,001,031 | ---- | M] () -- C:\Users\admin\Desktop\MKV Player.lnk
[2012.04.06 14:38:55 | 000,000,349 | ---- | M] () -- C:\Users\Public\Documents\PCLECHAL.INI
[2012.04.06 14:28:09 | 000,001,140 | ---- | M] () -- C:\Users\Public\Desktop\MAGIX Video deluxe MX Premium Download-Version.lnk
[2012.04.05 08:45:29 | 000,000,822 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2012.04.04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.04.04 12:06:42 | 000,001,783 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[2012.03.29 12:37:46 | 000,001,053 | ---- | M] () -- C:\Users\admin\Desktop\Free PDF to Word Doc Converter.lnk
[2012.03.23 18:25:36 | 000,003,584 | ---- | M] () -- C:\Users\admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.23 16:17:18 | 000,001,126 | ---- | M] () -- C:\Users\Public\Desktop\Pinnacle Studio 15.lnk
[2012.03.23 12:46:28 | 000,001,070 | ---- | M] () -- C:\Users\Public\Desktop\Virtual CloneDrive.lnk
[2012.03.23 12:21:07 | 000,001,035 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk
[2012.03.23 12:21:07 | 000,000,991 | ---- | M] () -- C:\Users\admin\Desktop\SABnzbd.lnk
[2012.03.23 11:26:20 | 000,001,076 | ---- | M] () -- C:\Users\Public\Desktop\Oracle VM VirtualBox.lnk
[2012.03.23 11:18:08 | 000,250,718 | ---- | M] () -- C:\Windows\hpwins25.dat
[2012.03.23 11:16:47 | 000,001,351 | ---- | M] () -- C:\Users\Public\Desktop\HP Solution Center.lnk
[2012.03.14 16:26:12 | 000,002,903 | ---- | M] () -- C:\Users\admin\Desktop\DVR Uhr.lnk
 
========== Files Created - No Company Name ==========
 
[2012.04.11 20:25:43 | 000,002,338 | ---- | C] () -- C:\Users\admin\Desktop\Free Video to iPhone Converter.lnk
[2012.04.11 20:25:43 | 000,001,239 | ---- | C] () -- C:\Users\admin\Desktop\DVDVideoSoft Free Studio.lnk
[2012.04.10 18:12:46 | 000,001,808 | ---- | C] () -- C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk
[2012.04.10 10:43:44 | 000,000,000 | ---- | C] () -- C:\Users\admin\defogger_reenable
[2012.04.09 18:04:24 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\PropertyGrid.ocx
[2012.04.09 18:04:24 | 000,208,500 | ---- | C] () -- C:\Windows\SysWow64\ReyXpBasics.tlb
[2012.04.09 18:04:23 | 000,024,576 | ---- | C] () -- C:\Windows\SysWow64\ControlSubX.ocx
[2012.04.09 15:25:55 | 000,001,398 | ---- | C] () -- C:\Users\admin\Desktop\Free YouTube to MP3 Converter.lnk
[2012.04.07 20:21:01 | 000,000,030 | ---- | C] () -- C:\Windows\iedit.INI
[2012.04.07 13:57:21 | 000,001,031 | ---- | C] () -- C:\Users\admin\Desktop\MKV Player.lnk
[2012.04.06 14:28:09 | 000,001,140 | ---- | C] () -- C:\Users\Public\Desktop\MAGIX Video deluxe MX Premium Download-Version.lnk
[2012.04.04 12:06:42 | 000,001,783 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2012.04.04 11:26:57 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.03.30 09:06:44 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.03.29 12:37:46 | 000,001,053 | ---- | C] () -- C:\Users\admin\Desktop\Free PDF to Word Doc Converter.lnk
[2012.03.23 18:25:36 | 000,003,584 | ---- | C] () -- C:\Users\admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.23 16:17:18 | 000,001,126 | ---- | C] () -- C:\Users\Public\Desktop\Pinnacle Studio 15.lnk
[2012.03.23 16:13:19 | 000,000,349 | ---- | C] () -- C:\Users\Public\Documents\PCLECHAL.INI
[2012.03.23 12:46:28 | 000,001,070 | ---- | C] () -- C:\Users\Public\Desktop\Virtual CloneDrive.lnk
[2012.03.23 12:21:07 | 000,001,035 | ---- | C] () -- C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk
[2012.03.23 12:21:07 | 000,000,991 | ---- | C] () -- C:\Users\admin\Desktop\SABnzbd.lnk
[2012.03.23 11:26:20 | 000,001,076 | ---- | C] () -- C:\Users\Public\Desktop\Oracle VM VirtualBox.lnk
[2012.03.23 11:16:47 | 000,001,351 | ---- | C] () -- C:\Users\Public\Desktop\HP Solution Center.lnk
[2012.03.23 11:13:50 | 000,250,718 | ---- | C] () -- C:\Windows\hpwins25.dat
[2012.03.23 11:13:50 | 000,000,530 | ---- | C] () -- C:\Windows\hpwmdl25.dat
[2012.03.14 16:26:12 | 000,002,903 | ---- | C] () -- C:\Users\admin\Desktop\DVR Uhr.lnk
[2012.03.09 15:24:21 | 000,338,432 | ---- | C] () -- C:\Windows\SysWow64\sqlite36_engine.dll
[2012.03.09 15:17:26 | 000,028,672 | ---- | C] () -- C:\Windows\SysWow64\nnr.dll
[2012.03.09 02:47:20 | 000,000,511 | ---- | C] () -- C:\Windows\ulead32.ini
[2012.03.09 02:40:09 | 000,099,384 | ---- | C] () -- C:\Users\admin\AppData\Roaming\inst.exe
[2012.03.09 02:40:09 | 000,007,859 | ---- | C] () -- C:\Users\admin\AppData\Roaming\pcouffin.cat
[2012.03.09 02:40:09 | 000,001,167 | ---- | C] () -- C:\Users\admin\AppData\Roaming\pcouffin.inf
[2012.03.09 01:35:15 | 000,017,408 | ---- | C] () -- C:\Users\admin\AppData\Local\WebpageIcons.db
[2012.03.08 21:38:01 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.03.08 21:32:22 | 000,003,929 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2011.06.07 23:03:12 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll
 
========== LOP Check ==========
 
[2012.03.09 05:00:23 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Acronis
[2012.04.10 19:23:57 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DesktopIconForAmazon
[2012.04.11 20:25:41 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoft
[2012.04.09 15:25:59 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.04.07 18:28:03 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MAGIX
[2012.04.05 16:39:02 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TeamViewer
[2012.04.09 15:49:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\UltraMixer
[2012.03.09 02:40:33 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Vso
[2012.03.09 16:10:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\WindSolutions
[2012.04.11 20:11:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xilisoft
[2009.07.14 07:08:49 | 000,022,302 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.03.09 05:00:23 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Acronis
[2012.03.09 05:38:37 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Adobe
[2012.03.09 15:48:25 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Apple Computer
[2012.03.08 21:29:50 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\ATI
[2012.04.10 19:23:57 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DesktopIconForAmazon
[2012.04.07 22:58:51 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\dvdcss
[2012.04.11 20:25:41 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoft
[2012.04.09 15:25:59 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.03.23 11:18:16 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\HP
[2012.04.07 23:17:57 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\HPAppData
[2012.03.30 11:55:55 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\HpUpdate
[2012.03.06 21:26:24 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Identities
[2012.03.09 15:19:20 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Macromedia
[2012.04.07 18:28:03 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\MAGIX
[2012.03.30 09:06:51 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Malwarebytes
[2010.11.21 09:00:23 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Media Center Programs
[2012.03.12 17:46:32 | 000,000,000 | --SD | M] -- C:\Users\admin\AppData\Roaming\Microsoft
[2012.03.08 21:50:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Mozilla
[2012.04.10 18:13:11 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\SUPERAntiSpyware.com
[2012.04.05 16:39:02 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\TeamViewer
[2012.04.09 15:49:14 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\UltraMixer
[2012.03.09 02:40:33 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Vso
[2012.03.09 16:10:31 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\WindSolutions
[2012.03.23 15:59:36 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\WinRAR
[2012.04.11 20:11:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Xilisoft
 
< %APPDATA%\*.exe /s >
[2012.03.09 02:40:09 | 000,099,384 | ---- | M] () -- C:\Users\admin\AppData\Roaming\inst.exe
[2012.03.10 19:36:16 | 000,000,766 | R--- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Installer\{12B4E2C0-8D67-408D-86DF-119BEAAD5308}\ARPPRODUCTICON.exe
[2012.03.10 19:36:16 | 000,040,960 | R--- | M] (InstallShield Software Corp.) -- C:\Users\admin\AppData\Roaming\Microsoft\Installer\{12B4E2C0-8D67-408D-86DF-119BEAAD5308}\NewShortcut1_12B4E2C08D67408D86DF119BEAAD5308.exe
[2012.03.23 16:19:24 | 000,029,926 | R--- | M] () -- C:\Users\admin\AppData\Roaming\Microsoft\Installer\{6DE721A5-5E89-4D74-994C-652BB3C0672E}\ARPPRODUCTICON.exe
[2012.03.30 09:23:05 | 003,952,640 | R--- | M] (Pearl Agency GmbH) -- C:\Users\admin\AppData\Roaming\Microsoft\Installer\{FCEE0D0C-FF8D-4552-A6C5-67ECE0F82EF9}\DVRTool.exe
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\drivers\AGP440.sys
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\DriverStore\FileRepository\machine.inf_amd64_neutral_a2f120466549d68b\AGP440.sys
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_1838f2aad55063bb\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\drivers\atapi.sys
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\DriverStore\FileRepository\mshdc.inf_amd64_neutral_aad30bdeec04ea5e\atapi.sys
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\SysWOW64\cngaudit.dll
[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll
[2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\SysNative\cngaudit.dll
[2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_4458dccc49458461\cngaudit.dll
 
< MD5 for: IASTORV.SYS  >
[2010.11.21 05:23:47 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_668286aa35d55928\iaStorV.sys
[2010.11.21 05:23:47 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_0d3757e79e6784d0\iaStorV.sys
[2011.03.11 08:19:16 | 000,410,496 | ---- | M] (Intel Corporation) MD5=5B3DE7208E5000D5B451B9D290D2579C -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_0d714416b7c182d5\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\drivers\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_0bcee2057afcc090\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_0cf9793d9e95787b\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2010.11.21 05:24:01 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\SysNative\netlogon.dll
[2010.11.21 05:24:01 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_5bddbcb24e997298\netlogon.dll
[2010.11.21 05:24:09 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\SysWOW64\netlogon.dll
[2010.11.21 05:24:09 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_6632670482fa3493\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2011.03.11 08:19:21 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=D23C7E8566DA2B8A7C0DBBB761D54888 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_983ab4c5eef82cad\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\drivers\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_0276fc3b3ea60d41\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_97c2e9ecd5cc2253\nvstor.sys
[2010.11.21 05:23:47 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_dd659ed032d28a14\nvstor.sys
[2010.11.21 05:23:47 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_9800c896d59e2ea8\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2010.11.21 05:23:54 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\SysWOW64\scecli.dll
[2010.11.21 05:23:54 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_a088921d241bbb4e\scecli.dll
[2010.11.21 05:24:32 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\SysNative\scecli.dll
[2010.11.21 05:24:32 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_9633e7caefbaf953\scecli.dll
 
< MD5 for: USER32.DLL  >
[2010.11.21 05:24:20 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll
[2010.11.21 05:24:20 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
[2010.11.21 05:24:09 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\SysNative\user32.dll
[2010.11.21 05:24:09 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2010.11.21 05:23:55 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe
[2010.11.21 05:23:55 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe
[2010.11.21 05:24:28 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\SysNative\userinit.exe
[2010.11.21 05:24:28 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\SysNative\wininit.exe
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\SysWOW64\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2010.11.21 05:24:29 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\SysNative\winlogon.exe
[2010.11.21 05:24:29 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\SysNative\drivers\ws2ifsl.sys
[2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_ab7b927be17eace8\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >

< End of report >
Wenn noch etwas benötigt wird ... ich bin jetzt noch eine Weile am Rechner.

Mit freundlichem Gruß

Dirk
__________________
Alt 12.04.2012, 21:32   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/413
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-784736260-4045425606-3019638473-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q="
FF - user.js - File not found
[2012.03.09 15:24:25 | 000,000,000 | ---D | M] (Shopping-preise.de) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de
[2012.04.09 18:04:21 | 000,002,515 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\Shell - "" = AutoRun
O33 - MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\Shell\AutoRun\command - "" = F:\Welcome\Welcome.exe
O33 - MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\Shell\AutoRun\command - "" = D:\DBSTART.EXE -- [1998.06.15 17:03:18 | 000,317,440 | R--- | M] ()
Drivers32: vidc.mjpg - pvmjpg30.dll File not found
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.04.2012, 22:22   #5
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


04122012_231544

Code:
ATTFilter
All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ not found.
HKU\S-1-5-21-784736260-4045425606-3019638473-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-784736260-4045425606-3019638473-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_USERS\S-1-5-21-784736260-4045425606-3019638473-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}\ not found.
Prefs.js: "Search Results" removed from browser.search.defaultenginename
Prefs.js: "Search Results" removed from browser.search.order.1
Prefs.js: "hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=413&sr=0&q=" removed from keyword.URL
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de\chrome\content\skin folder moved successfully.
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de\chrome\content folder moved successfully.
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de\chrome folder moved successfully.
C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\tsiqf7w9.default\extensions\mail@shopping-preise.de folder moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml moved successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{8dcb7100-df86-4384-8842-8fa844297b3f} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dcb7100-df86-4384-8842-8fa844297b3f}\ deleted successfully.
C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLinkedConnections deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8eed35b7-74b8-11e1-b3e6-8c89a55c519e}\ not found.
File F:\Welcome\Welcome.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9712cf02-67bf-11e1-97d3-806e6f6e6963}\ not found.
File move failed. D:\DBSTART.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.mjpg deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: admin
->Temp folder emptied: 115486592 bytes
->Temporary Internet Files folder emptied: 2298842 bytes
->FireFox cache emptied: 73047640 bytes
->Flash cache emptied: 868 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18825085 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 53492 bytes
RecycleBin emptied: 11689683053 bytes
 
Total Files Cleaned = 11.348,00 mb
 
 
[EMPTYFLASH]
 
User: admin
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.39.2 log created on 04122012_231544

Files\Folders moved on Reboot...
File move failed. D:\DBSTART.EXE scheduled to be moved on reboot.
C:\Users\admin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Ich hoffe, ich habe es richtig gemacht ...


Alt 13.04.2012, 08:46   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
--> Trojaner-Infektion mit searchqu.com/413

Alt 13.04.2012, 12:20   #7
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Hallo Arne,

das mit comboFix hat gut funktioniert, allerdings musste ich nach Erstellen der Log-Datei den Rechner neu starten, da ich nicht mehr ins Internet konnte.

Hier nun der Log-file:

Code:
ATTFilter
ComboFix 12-04-12.03 - admin 13.04.2012  12:45:56.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8191.6336 [GMT 2:00]
ausgeführt von:: c:\users\admin\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\admin\AppData\Roaming\inst.exe
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-13 bis 2012-04-13  ))))))))))))))))))))))))))))))
.
.
2012-04-13 10:55 . 2012-04-13 10:55	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-04-13 08:32 . 2012-03-14 03:27	8669240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{1C2D0A41-102E-427A-9B8D-19BE50E2B61C}\mpengine.dll
2012-04-12 21:15 . 2012-04-12 21:15	--------	d-----w-	C:\_OTL
2012-04-11 18:08 . 2012-03-06 06:53	5559152	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-11 18:08 . 2012-03-06 05:59	3968368	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-04-11 18:08 . 2012-03-06 05:59	3913072	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-04-11 18:06 . 2012-03-01 06:46	23408	----a-w-	c:\windows\system32\drivers\fs_rec.sys
2012-04-11 18:06 . 2012-03-01 06:33	81408	----a-w-	c:\windows\system32\imagehlp.dll
2012-04-11 18:06 . 2012-03-01 05:33	159232	----a-w-	c:\windows\SysWow64\imagehlp.dll
2012-04-11 18:06 . 2012-03-01 06:38	220672	----a-w-	c:\windows\system32\wintrust.dll
2012-04-11 18:06 . 2012-03-01 06:28	5120	----a-w-	c:\windows\system32\wmi.dll
2012-04-11 18:06 . 2012-03-01 05:37	172544	----a-w-	c:\windows\SysWow64\wintrust.dll
2012-04-11 18:06 . 2012-03-01 05:29	5120	----a-w-	c:\windows\SysWow64\wmi.dll
2012-04-11 18:04 . 2012-04-11 18:11	--------	d-----w-	c:\users\admin\AppData\Roaming\Xilisoft
2012-04-10 22:42 . 2012-04-10 22:42	--------	d-----w-	c:\program files (x86)\ESET
2012-04-10 16:13 . 2012-04-10 16:13	--------	d-----w-	c:\users\admin\AppData\Roaming\SUPERAntiSpyware.com
2012-04-10 16:12 . 2012-04-10 16:13	--------	d-----w-	c:\program files\SUPERAntiSpyware
2012-04-10 16:12 . 2012-04-10 16:12	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2012-04-10 08:25 . 2012-04-10 08:25	--------	d-----w-	c:\programdata\boost_interprocess
2012-04-09 16:04 . 2012-02-15 12:51	360448	----a-w-	c:\windows\SysWow64\TubeFinder.exe
2012-04-09 16:04 . 2011-09-28 07:18	9728	----a-w-	c:\windows\SysWow64\PCCLPFR.DLL
2012-04-09 16:04 . 2011-09-28 07:18	84512	----a-w-	c:\windows\SysWow64\PICCLP32.OCX
2012-04-09 16:04 . 2011-09-28 07:18	364544	----a-w-	c:\windows\SysWow64\PropertyGrid.ocx
2012-04-09 16:04 . 2011-09-28 07:18	119568	----a-w-	c:\windows\SysWow64\VB6FR.DLL
2012-04-09 16:04 . 2011-09-28 07:18	101888	----a-w-	c:\windows\SysWow64\VB6STKIT.DLL
2012-04-09 16:04 . 2011-09-28 07:18	32768	----a-w-	c:\windows\SysWow64\CMDLGFR.DLL
2012-04-09 16:04 . 2011-09-28 07:18	24576	----a-w-	c:\windows\SysWow64\ControlSubX.ocx
2012-04-09 16:04 . 2011-09-28 07:18	152848	----a-w-	c:\windows\SysWow64\COMDLG32.OCX
2012-04-09 16:04 . 2011-09-28 07:18	141312	----a-w-	c:\windows\SysWow64\MSCMCFR.DLL
2012-04-09 16:04 . 2012-04-10 09:56	--------	d-----w-	c:\program files (x86)\Free FLV Converter
2012-04-09 13:47 . 2012-04-09 13:49	--------	d-----w-	c:\users\admin\AppData\Roaming\UltraMixer
2012-04-09 13:45 . 2012-04-09 13:49	--------	d-----w-	c:\program files (x86)\UltraMixer
2012-04-09 13:25 . 2012-04-09 13:25	--------	d-----w-	c:\users\admin\AppData\Roaming\DVDVideoSoftIEHelpers
2012-04-07 21:17 . 2012-04-07 21:17	--------	d-----w-	c:\users\admin\AppData\Roaming\HPAppData
2012-04-07 18:20 . 2012-04-07 18:20	--------	d-----w-	c:\windows\ulead.dat
2012-04-07 18:18 . 1998-07-16 08:17	27656	----a-w-	c:\windows\SysWow64\DBSIFL.DLL
2012-04-07 18:18 . 2012-04-07 18:18	--------	d-----w-	c:\program files (x86)\DATA BECKER
2012-04-07 16:21 . 2012-04-07 20:58	--------	d-----w-	c:\users\admin\AppData\Roaming\dvdcss
2012-04-07 11:57 . 2012-04-07 11:57	--------	d-----w-	c:\program files (x86)\MKV Player
2012-04-05 14:19 . 2012-04-05 14:39	--------	d-----w-	c:\users\admin\AppData\Roaming\TeamViewer
2012-04-04 10:05 . 2012-04-04 10:06	--------	d-----w-	c:\program files\iTunes
2012-04-04 10:05 . 2012-04-04 10:06	--------	d-----w-	c:\program files (x86)\iTunes
2012-04-04 10:05 . 2012-04-04 10:05	--------	d-----w-	c:\program files\iPod
2012-04-04 09:26 . 2012-04-11 18:24	418464	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-04-03 15:29 . 2012-04-06 12:26	--------	d-----w-	c:\program files (x86)\Common Files\MAGIX Services
2012-03-30 07:23 . 2012-03-30 07:23	3952640	----a-r-	c:\users\admin\AppData\Roaming\Microsoft\Installer\{FCEE0D0C-FF8D-4552-A6C5-67ECE0F82EF9}\DVRTool.exe
2012-03-30 07:06 . 2012-03-30 07:06	--------	d-----w-	c:\users\admin\AppData\Roaming\Malwarebytes
2012-03-30 07:06 . 2012-03-30 07:06	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-30 07:06 . 2012-04-10 08:47	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-30 07:06 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-29 10:37 . 2012-03-29 10:37	--------	d-----w-	c:\program files (x86)\Free PDF to Word Doc Converter
2012-03-23 14:34 . 2012-03-23 14:34	--------	d-----w-	c:\program files (x86)\Common Files\SureThing Shared
2012-03-23 14:34 . 2012-03-23 14:34	--------	d-----w-	c:\program files (x86)\SureThing Express Labeler
2012-03-23 14:21 . 2004-03-29 15:23	90112	----a-w-	c:\windows\unvise32.exe
2012-03-23 14:19 . 2012-03-23 14:19	--------	d-----w-	c:\program files (x86)\Common Files\Pinnacle
2012-03-23 14:19 . 2012-03-23 14:19	--------	d-----w-	c:\users\admin\AppData\Local\Downloaded Installations
2012-03-23 14:18 . 2012-03-23 14:46	--------	d-----w-	c:\users\admin\AppData\Local\Pinnacle
2012-03-23 14:18 . 2012-03-23 14:18	--------	d-----w-	c:\programdata\Pinnacle Studio Ultimate
2012-03-23 14:14 . 2012-03-23 14:14	--------	d-----w-	c:\program files (x86)\Common Files\Pegasus Imaging
2012-03-23 14:14 . 2012-03-23 14:21	--------	d-----w-	c:\program files (x86)\Pinnacle
2012-03-23 14:14 . 2012-03-23 14:17	--------	d-----w-	c:\program files (x86)\Pinnacle-Studio 15
2012-03-23 14:14 . 2012-03-23 14:14	--------	d-----w-	c:\programdata\Studio 15
2012-03-23 14:14 . 2012-03-23 14:14	--------	d-----w-	c:\programdata\Pinnacle Studio Plus
2012-03-23 14:14 . 2012-03-23 14:14	--------	d-----w-	c:\program files (x86)\Common Files\Yahoo!
2012-03-23 14:10 . 2012-03-23 14:18	--------	d-----w-	c:\programdata\Pinnacle
2012-03-23 10:48 . 2012-03-23 10:48	--------	d-----w-	c:\users\admin\VirtualBox VMs
2012-03-23 10:45 . 2012-03-23 10:46	--------	d-----w-	c:\program files (x86)\VirtualCloneDrive
2012-03-23 10:21 . 2012-04-12 21:19	--------	d-----w-	c:\users\admin\AppData\Local\sabnzbd
2012-03-23 10:21 . 2012-03-23 10:21	--------	d-----w-	c:\program files (x86)\SABnzbd
2012-03-23 09:27 . 2012-03-23 10:50	--------	d-----w-	c:\users\admin\.VirtualBox
2012-03-23 09:26 . 2012-03-14 17:22	224048	----a-w-	c:\windows\system32\drivers\VBoxDrv.sys
2012-03-23 09:26 . 2012-03-14 17:22	130864	----a-w-	c:\windows\system32\drivers\VBoxUSBMon.sys
2012-03-23 09:26 . 2012-03-23 09:26	--------	d-----w-	c:\program files\Oracle
2012-03-23 09:18 . 2012-03-23 09:18	--------	d-----w-	c:\programdata\WEBREG
2012-03-23 09:16 . 2012-03-23 09:16	--------	d-----w-	c:\programdata\HP Product Assistant
2012-03-23 09:14 . 2010-05-18 09:41	253440	----a-w-	c:\windows\system32\Spool\prtprocs\x64\hpfpp02t.dll
2012-03-23 09:14 . 2010-05-18 09:41	138752	----a-w-	c:\windows\system32\hpf3l02t.dll
2012-03-23 09:13 . 2010-04-26 08:52	644456	----a-w-	c:\windows\system32\hpzids40.dll
2012-03-20 18:33 . 2012-03-20 18:33	592824	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-20 18:33 . 2012-03-20 18:33	44472	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-17 14:48 . 2012-03-23 11:01	--------	d-----w-	c:\users\admin\AppData\Local\ElevatedDiagnostics
2012-03-17 14:45 . 2009-12-03 08:58	77824	----a-w-	c:\windows\SysWow64\SNXInst.exe
2012-03-17 14:45 . 2012-03-17 14:45	--------	d-----w-	c:\program files\DIFX
2012-03-14 17:23 . 2012-03-14 17:23	147248	----a-w-	c:\windows\system32\drivers\VBoxNetAdp.sys
2012-03-14 17:22 . 2012-03-14 17:22	166192	----a-w-	c:\windows\system32\drivers\VBoxNetFlt.sys
2012-03-14 17:22 . 2012-03-14 17:22	320816	----a-w-	c:\windows\system32\VBoxNetFltNobj.dll
2012-03-14 14:26 . 2012-03-14 14:26	--------	d-----w-	c:\program files (x86)\Pearl
2012-03-14 14:20 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 14:20 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 14:20 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 14:20 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-14 14:20 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64\rdpcore.dll
2012-03-14 14:20 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-14 14:20 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-14 14:20 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-14 14:20 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-14 14:20 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32\rdrmemptylst.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 18:24 . 2012-03-09 14:33	70304	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-03-10 17:36 . 2012-03-10 17:36	40960	----a-r-	c:\users\admin\AppData\Roaming\Microsoft\Installer\{12B4E2C0-8D67-408D-86DF-119BEAAD5308}\NewShortcut1_12B4E2C08D67408D86DF119BEAAD5308.exe
2012-03-09 17:05 . 2011-03-28 17:36	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-03-09 02:12 . 2012-03-09 02:12	285280	----a-w-	c:\windows\system32\drivers\afcdp.sys
2012-03-09 02:11 . 2012-03-09 02:11	1263200	----a-w-	c:\windows\system32\drivers\tdrpm273.sys
2012-03-09 02:11 . 2012-03-09 02:11	970336	----a-w-	c:\windows\system32\drivers\timntr.sys
2012-03-09 02:11 . 2012-03-09 02:11	277088	----a-w-	c:\windows\system32\drivers\snapman.sys
2012-03-09 01:10 . 2012-03-09 01:10	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-03-09 01:10 . 2012-03-09 01:10	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-03-09 01:10 . 2012-03-09 01:10	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-03-09 01:10 . 2012-03-09 01:10	85504	----a-w-	c:\windows\system32\iesetup.dll
2012-03-09 01:10 . 2012-03-09 01:10	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2012-03-09 01:10 . 2012-03-09 01:10	76800	----a-w-	c:\windows\system32\tdc.ocx
2012-03-09 01:10 . 2012-03-09 01:10	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-03-09 01:10 . 2012-03-09 01:10	74752	----a-w-	c:\windows\SysWow64\iesetup.dll
2012-03-09 01:10 . 2012-03-09 01:10	63488	----a-w-	c:\windows\SysWow64\tdc.ocx
2012-03-09 01:10 . 2012-03-09 01:10	49664	----a-w-	c:\windows\system32\imgutil.dll
2012-03-09 01:10 . 2012-03-09 01:10	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2012-03-09 01:10 . 2012-03-09 01:10	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-03-09 01:10 . 2012-03-09 01:10	448512	----a-w-	c:\windows\system32\html.iec
2012-03-09 01:10 . 2012-03-09 01:10	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2012-03-09 01:10 . 2012-03-09 01:10	367104	----a-w-	c:\windows\SysWow64\html.iec
2012-03-09 01:10 . 2012-03-09 01:10	35840	----a-w-	c:\windows\SysWow64\imgutil.dll
2012-03-09 01:10 . 2012-03-09 01:10	30720	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-09 01:10 . 2012-03-09 01:10	23552	----a-w-	c:\windows\SysWow64\licmgr10.dll
2012-03-09 01:10 . 2012-03-09 01:10	222208	----a-w-	c:\windows\system32\msls31.dll
2012-03-09 01:10 . 2012-03-09 01:10	173056	----a-w-	c:\windows\system32\ieUnatt.exe
2012-03-09 01:10 . 2012-03-09 01:10	161792	----a-w-	c:\windows\SysWow64\msls31.dll
2012-03-09 01:10 . 2012-03-09 01:10	152064	----a-w-	c:\windows\SysWow64\wextract.exe
2012-03-09 01:10 . 2012-03-09 01:10	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2012-03-09 01:10 . 2012-03-09 01:10	142848	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2012-03-09 01:10 . 2012-03-09 01:10	135168	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-03-09 01:10 . 2012-03-09 01:10	12288	----a-w-	c:\windows\system32\mshta.exe
2012-03-09 01:10 . 2012-03-09 01:10	11776	----a-w-	c:\windows\SysWow64\mshta.exe
2012-03-09 01:10 . 2012-03-09 01:10	114176	----a-w-	c:\windows\system32\admparse.dll
2012-03-09 01:10 . 2012-03-09 01:10	111616	----a-w-	c:\windows\system32\iesysprep.dll
2012-03-09 01:10 . 2012-03-09 01:10	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2012-03-09 01:10 . 2012-03-09 01:10	101888	----a-w-	c:\windows\SysWow64\admparse.dll
2012-03-09 01:09 . 2012-03-09 01:09	603648	----a-w-	c:\windows\system32\vbscript.dll
2012-03-09 01:09 . 2012-03-09 01:09	165888	----a-w-	c:\windows\system32\iexpress.exe
2012-03-09 01:09 . 2012-03-09 01:09	160256	----a-w-	c:\windows\system32\wextract.exe
2012-03-09 00:40 . 2012-03-09 00:40	82816	----a-w-	c:\windows\system32\drivers\pcouffin.sys
2012-03-09 00:40 . 2012-03-09 00:40	82816	----a-w-	c:\users\admin\AppData\Roaming\pcouffin.sys
2012-03-06 13:43 . 2011-01-07 13:39	80024	----a-w-	c:\windows\SysWow64\mfcm100u.dll
2012-03-06 13:43 . 2011-01-07 13:39	772248	----a-w-	c:\windows\SysWow64\msvcr100.dll
2012-03-06 13:43 . 2011-01-07 13:39	4421272	----a-w-	c:\windows\SysWow64\mfc100u.dll
2012-03-06 13:43 . 2011-01-07 13:39	419480	----a-w-	c:\windows\SysWow64\msvcp100.dll
2012-03-06 13:43 . 2011-01-07 13:39	136344	----a-w-	c:\windows\SysWow64\atl100.dll
2012-02-23 08:18 . 2010-11-21 03:27	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-02-15 10:01 . 2012-02-15 10:01	52736	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 10:01 . 2012-02-15 10:01	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-02-07 09:02 . 2012-02-07 09:02	1070352	----a-w-	c:\windows\SysWow64\MSCOMCTL.OCX
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-03-07 4785536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-06-07 98304]
"Super-Charger"="c:\program files (x86)\MSI\Super-Charger\StartSuperCharger.exe" [2011-07-06 303104]
"AVP"="c:\program files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
"Ulead AutoDetector v2"="c:\program files (x86)\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 90112]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-11-11 288088]
"HP Software Update"="c:\program files (x86)\Hp\HP Software Update\HPWuSchd2.exe" [2010-03-12 49208]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SAOB Monitor"="c:\program files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe" [2011-09-22 2571032]
"TrueImageMonitor.exe"="c:\program files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe" [2011-09-22 5587832]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"TrayServer"="c:\program files (x86)\MAGIX\Video_deluxe_MX_Premium_Download-Version\TrayServer_de.exe" [2008-08-07 90112]
"VirtualCloneDrive"="c:\program files (x86)\VirtualCloneDrive\VCDDaemon.exe" [2011-03-07 89456]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-03-27 421736]
.
c:\users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
SABnzbd.lnk - c:\program files (x86)\SABnzbd\SABnzbd.exe [2012-2-3 350208]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 253600]
R3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe [2011-04-26 2702848]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [2011-07-22 14928]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [2011-07-12 12368]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [x]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [x]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2011-08-11 140672]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe [2012-03-09 3246040]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe [2011-05-24 1840128]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-02-23 2886528]
S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 SNXPCAMD;Multi-I/O Card Driver;c:\windows\system32\DRIVERS\snxpcamd.sys [x]
S3 SNXPPAMD;Multi-I/O Parallel Port Driver;c:\windows\system32\DRIVERS\snxppamd.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [x]
S3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 18:24]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI64.exe" [2011-06-24 7233640]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = 
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube to MP3 Converter - c:\users\admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\tsiqf7w9.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-O Card Driver - c:\windows\system32\SNXInst.exe
AddRemove-Safe - c:\windows\IsUn0407.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\TeamViewer\Version7\TeamViewer.exe
c:\program files (x86)\TeamViewer\Version7\tv_w32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-13  13:11:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-04-13 11:11
.
Vor Suchlauf: 8 Verzeichnis(se), 257.104.879.616 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 256.973.135.872 Bytes frei
.
- - End Of File - - D50616DAEA1B4B86FB97D354A071B7F0
Gruß
Dirk

Alt 13.04.2012, 15:30   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr", dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.04.2012, 17:50   #9
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


und die aswMBR

Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-13 17:33:06
-----------------------------
17:33:06.942    OS Version: Windows x64 6.1.7601 Service Pack 1
17:33:06.942    Number of processors: 2 586 0x603
17:33:06.942    ComputerName: ADMIN-PC  UserName: admin
17:33:09.235    Initialize success
17:34:40.288    AVAST engine defs: 12041300
17:43:51.688    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
17:43:51.688    Disk 0 Vendor: ST500DM002-1BC142 JC4B Size: 476940MB BusType: 3
17:43:51.704    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-3
17:43:51.704    Disk 1 Vendor: ST3250823AS 3.03 Size: 238475MB BusType: 3
17:43:51.719    Disk 0 MBR read successfully
17:43:51.719    Disk 0 MBR scan
17:43:51.735    Disk 0 Windows 7 default MBR code
17:43:51.735    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
17:43:51.750    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       476838 MB offset 206848
17:43:51.766    Disk 0 scanning C:\Windows\system32\drivers
17:44:00.455    Service scanning
17:44:17.553    Modules scanning
17:44:17.568    Disk 0 trace - called modules:
17:44:17.584    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 
17:44:17.600    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800799f610]
17:44:17.600    3 CLASSPNP.SYS[fffff8800198d43f] -> nt!IofCallDriver -> [0xfffffa80078bf520]
17:44:17.600    5 ACPI.sys[fffff88000f867a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa80078b9060]
17:44:20.423    AVAST engine scan C:\Windows
17:44:22.997    AVAST engine scan C:\Windows\system32
17:46:41.791    AVAST engine scan C:\Windows\system32\drivers
17:46:52.087    AVAST engine scan C:\Users\admin
18:20:23.469    AVAST engine scan C:\ProgramData
18:23:55.770    Scan finished successfully
18:32:43.224    Disk 0 MBR has been saved successfully to "C:\Users\admin\Documents\Logfiles\MBR.dat"
18:32:43.224    The log file has been saved successfully to "C:\Users\admin\Documents\Logfiles\aswMBR.txt"
wenn ich fragen darf, wie siehst denn aus?

Alt 15.04.2012, 14:56   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.04.2012, 09:18   #11
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Guten Morgen Arne,

zuerst Malwarebytes mit Update von heut Morgen:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.16.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ADMIN-PC [Administrator]

16.04.2012 08:57:24
mbam-log-2012-04-16 (08-57-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 412147
Laufzeit: 1 Stunde(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


SUPERAntispyware läuft grad durch und folgt ...

Gruß
Dirk

und noch das SUPERAntiSpyware Scann-Protokoll:

Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/16/2012 bei 11:15 AM

Version der Applikation : 5.0.1146

Version der Kern-Datenbank : 8458
Version der Spur-Datenbank : 6270

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:54:03

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Gescannte Speicherelemente  : 727
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 66175
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 63250
Erfasste Datei-Elemente   : 0
Gruß
Dirk

Alt 16.04.2012, 11:41   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Keine Funde!
Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.04.2012, 13:29   #13
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Hallo Arne,

vielen Dank für Deine Hilfe!

Mein Rechner läuft stabil und bis jetzt ohne Auffälligkeiten, ich denke es ist für's erste geschafft. Sofern ich Dein "OK" bekomme würde ich dann jetzt mal PayPal nötigen, mir kurz die benötigte Aufmerksamkeit zu schenken und meinem Dank auch etwas Nachdruck zu verleihen. (kurze Frage hierzu: stellt Ihr auch Spendenquittungen aus?)

Gruß

Dirk

Alt 16.04.2012, 15:21   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Zitat:
(kurze Frage hierzu: stellt Ihr auch Spendenquittungen aus?)
Darüber weiß ich nichts, ich glaube aber nicht. Müsste man mal DaGuru fragen

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.04.2012, 20:12   #15
DiGiBln
 
Trojaner-Infektion mit searchqu.com/413 - Standard

Trojaner-Infektion mit searchqu.com/413


Arne, vielen Dank!!

Hallo Arne, nur kurz zur Info:

Bei einer Paypal-Überweisung wird am Ende der Transaktion automatisch angeboten, eine Spendenquittung auszudrucken. Perfekt!

Danke noch mal und Gruß
Dirk

Antwort

Themen zu Trojaner-Infektion mit searchqu.com/413
adware, board, classpnp.sys, combofix, diverse, eingefangen, entfernen, eset, folge, hal.dll, hallo zusammen, hinweis, komplett, log, nicht mehr, nichts, ohne befund, rechner, report, scan, scanner, seite, spybot, startseite, superantispyware, thema, trojaner, verdächtige


« White Screen - Verbindung wird hergestellt | weißer Bildschirm + Warten sie während die Verbindung aufgebaut wird. (engl.+ deut.) »


Ähnliche Themen: Trojaner-Infektion mit searchqu.com/413


  1. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  2. Trojaner Infektion?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2014 (15)
  3. Vista - Malwarebytes findet http://www.searchqu.com/406 und PUP.Optional.Searchqu.A
    Log-Analyse und Auswertung - 16.09.2013 (5)
  4. GVU BKA Trojaner Infektion.
    Plagegeister aller Art und deren Bekämpfung - 13.05.2013 (10)
  5. syshost.exe Trojaner Infektion
    Log-Analyse und Auswertung - 07.10.2012 (27)
  6. GVU Trojaner Infektion
    Mülltonne - 17.08.2012 (2)
  7. Windows XP Trojaner infektion
    Log-Analyse und Auswertung - 22.05.2012 (16)
  8. Searchqu.com/406 - Problem eingefangen + Trojaner
    Log-Analyse und Auswertung - 19.02.2012 (2)
  9. Trojaner www.searchqu.com/406
    Plagegeister aller Art und deren Bekämpfung - 17.01.2012 (15)
  10. www.searchqu.com/410 als Startseite trotz Antivir "Trojaner verdacht"
    Log-Analyse und Auswertung - 27.09.2011 (42)
  11. Trojaner www.searchqu.com/410
    Plagegeister aller Art und deren Bekämpfung - 21.09.2011 (1)
  12. Trojaner-Infektion aus Facebook
    Log-Analyse und Auswertung - 04.09.2011 (50)
  13. Trojaner eingefangen, Firefox öffnet sich nur mit searchqu
    Plagegeister aller Art und deren Bekämpfung - 03.08.2011 (22)
  14. Trojaner eingeschlichen ! ->www.searchqu.com/406<-
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (13)
  15. Möglicherweise Trojaner? http://www.searchqu.com/406
    Plagegeister aller Art und deren Bekämpfung - 09.06.2011 (26)
  16. Trojaner-Infektion - 20 TANs
    Plagegeister aller Art und deren Bekämpfung - 30.10.2010 (5)
  17. Trojaner-Infektion! Mein Log...
    Log-Analyse und Auswertung - 11.08.2005 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner-Infektion mit searchqu.com/413 - Hallo zusammen, ich habe mir vor drei Tagen über einen FreeFLVConverter Adware eingefangen - Spybot S&D meldete folgende verdächtige Adware "jZip.Toolbar". Bemerkbar machte sich dieser (offenbar) Trojaner dadurch, dass er - Trojaner-Infektion mit searchqu.com/413...
Archiv
Du betrachtest: Trojaner-Infektion mit searchqu.com/413 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55