Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme...

Wolf-XIII · 22.05.2012, 10:53

So, hi erstmal!

Ich habe hier aus diversen Gründen 2 Patienten stehen:
-Patient A: Win7 Ultimate x86
-Patient B: WinXP Pro x86 (gab es da schon x64?)

Diese beiden Systeme waren/sind mit dem Verschlüsselungs-Trojaner
befallen.

Bei dem Win7-System habe ich soweit alles entfernen können (Dateien und Registry-Veränderungen)... interessanterweise ist bei diesem System nichts verschlüsselt worden -> Die Log's zu DDS und GMER sind im Anhang.

Bei dem WinXP-Rechner ist eigentlich auch alles entfernt... hatte die ganzen "disable"-Einträge für regedit und taskmgr entfernt, doch lässt sich nichts von beidem starten! Der Abgesicherte-Modus ist ebenfalls hinüber -> beim Anwählen erfolgt ein reboot. Des Weiteren sind die Dateien des Benutzers verschlüsselt (kein locked- , sonder Buchstabenkombinationen in groß und klein). Ich habe die "7-Tools", die im Header des Boards verlinkt sind, durchprobiert, ohne Erfolg.

Interessant ist an diesem Fall, dass beide Systeme vom gleichen (!) Virus/Trojaner befallen sind/waren und die Folgen doch so unterschiedlich sind.

Nebenbei benutzen beide Systeme "avast! Antivirus" - free ->warum auch immer

Der Virus/Trojaner ist im Übrigen ebenfalls angehängt!

So, ich hoffe, ich habe nichts wichtiges vergessen!
Danke schonmal im Vorraus und Gruß,

Wolf-XIII

PS: Ich weis grad garnicht, ob ich im richtigen Bereich gepostedf hab?

cosinus · 22.05.2012, 20:11

Bist du irre hier Malware öffentlich reinzustellen?

Die Hinweise stehen doch oben ganz deutlich sichtbar da, da steht ganz genau sohin du es senden möchtest

Wolf-XIII · 22.05.2012, 22:20

Ah, okay!

Danke und entschuldigung... Es war ein Denkfehler
von mir, das Zeug mit in den Anhang zu packen -.-

Nochmals, entschuldigung!

Wolf-XIII

cosinus · 23.05.2012, 09:10

Zitat:

Ich habe hier aus diversen Gründen 2 Patienten stehen:
-Patient A: Win7 Ultimate x86
-Patient B: WinXP Pro x86 (gab es da schon x64?)

Du hast jetzt aber nicht vor, Logs von beiden Rechnern in diesem einen Strang zu packen?!
Pro Rechner machst du bitte einen Strang auf

Wolf-XIII · 23.05.2012, 09:35

Ähm...

1. Die Log's sind von dem Win7-Rechner
2. Was ist in diesem Zusammenhang ein Strang?
3. Darum wurde ich in einer E-Mail von Markus gebenten:

Informationen die ich bisher zu dieser Version des Trojaners habe:
-Die Anhang-Datei der E-Mail nannte sich "Bestellung.zip"
-Nach Aussage meiner Mutter kam bei dem Versuch diese Datei zu öffnen eine Fehlermeldung
-Nach einem Neustart des Systems kam nach ca. 5 sek. eine Variante des Bildschirmtextes, die ich per Google-Bildersuche bisher nicht wiederfinden konnte
-Taskmanager und Regedit wurde auf beiden Systemen blockiert
->Jetzt geht das Verhalten des Trojaners auf den beiden Systemen 2 Wege:

Zuerst mal der Weg auf dem Win7-Rechner:
-Über eine Win7-DVD hatte ich den DVD-internen Regedit gestartet und von dort aus folgende Dateien des Computers eingelesen:

NTUSER.DAT (aus Order User)
System.dat (windows\system32\config)
Software.dat (windows\system32\config)
Security.dat (windows\system32\config)
Default.dat (windows\system32\config)

Durch die Suche nach "runonce" fand ich Ordner "...\Run\Runonce" eine Datei, deren Namen nur aus Buchstaben- und Zahlenfolgen *.exe bestand, und den noch eine *.exe. Diese und alle weiteren Einträge zu dieser Dateie entfernte ich aus der Registry. Anschließend fand ich Einträge zu "disabletaskmgr" und "disableregedit" -> ebenfalls entfernt.

Nachdem das Erledigt war, lies sich der Rechner wieder normal booten -> KEINE verschlüsselten Dateien waren auf dem System!
Scan noch dem Leitfaden -> Log's sind im 1. Beitrag. Bei diesem Rechner warte ich nur noch auf das Okay, das alles wieder in Ordnung ist.

Zu dem XP-System:
Selbiges, wie oben versucht. Habe im "Runonce" suspekte Dateien gefunden und entfernt. Doch habe ich weder etwas zum Taskmanager noch zum Regedit gefunden. Nach einem Reboot kommt vor dem Anmeldungsfenster eine Meldungs-Box, die im Header Hieroglyphen (vom System nicht unterstützte Zeichen?) und eine *.dll Datei und/oder "c.\windows\system32" und\oder gar nichts stehen hat. Es ist nur der Button Okay vorhanden. Ansonsten lässt sich das System booten. Nach der Anmeldung öffnet sich ein Explorer-Fenster zu "Eigene Dateien". Sämtliche Dateien in diesem Ordner sind verschlüsselt (im Anhang ist ein Päärchen:verschlüsselt und original). Die Ordnernamen sind noch normal.

So, das ist der aktuelle Status! Im nachhinein überlegt, hätte ich das im 1. Post schon so ausführlich beschreiben sollen -.-"

Ich hoffe, dass ihr damit etwas anfangen könnt und das XP-System noch irgendwie zu retten ist...

Liebe Grüße,

Wolf-XIII

cosinus · 23.05.2012, 10:30

Zitat:

2. Was ist in diesem Zusammenhang ein Strang?

Ein Strang ist ein Thema in einem Forum. Dieses hier von mir jetzt ist ein Post in einem Strang den du eröffnet hast

Und nochmal, vermisch jetzt bitte nicht beide Systeme in diesem Strang (Thema) - mach einen neuen für den XP-Rechner auf falls es sein muss!

Wolf-XIII · 23.05.2012, 11:41

Zitat:

Zitat von cosinus

Ein Strang ist ein Thema in einem Forum. Dieses hier von mir jetzt ist ein Post in einem Strang den du eröffnet hast

Okay, bisher kannte ich dies nur als "Thread" oder einfach nur Thema.

Zitat:

Und nochmal, vermisch jetzt bitte nicht beide Systeme in diesem Strang (Thema) - mach einen neuen für den XP-Rechner auf falls es sein muss!

Hm, also, wie im 3.Post beschrieben, geht es eigentlich NUR um den XP-Rechner! Den Fall des Win7-Systems habe ich nur hinzugezogen, weil dieselbe Datei (Trojaner) sich auf den beiden Systemen so unterschiedlich verhalten hat.

_
Wolf-XIII

cosinus · 23.05.2012, 13:03

Dann poste erstmal alle schon vorhandenen Logs zB von Malwarebytes vom XP-Rechner
Man sollte wirklich den Schädling weg haben bevor man an die Entschlüsselung denkt

Zur Entschlüsselung seltbst kann ich dich aber nur an die obigen Hinweise erinnern => Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 7 Tools) INFO: Windows Update Trojaner bitte Sendet uns die Viren!

Wolf-XIII · 24.05.2012, 10:56

INFO: Wurde editiert!

Hi,

hier sind die Log-Files von Malwarebytes und DDS.

Habe vorher die Datenbank von Malwarebytes aktuallisiert,
die Internetverbindung getrennt, das Antivirus-Programm
deaktiviert und den Defogger ausgeführt.

Anschließend Malwarebytes durchlaufen lassen und dann
DDS. Der Versuch GMER zu starten endet mit einem Reboot...
->System "stürzt ab", ein paar Sekunden lang Blackscreen, Reboot

In der Textdatei "A.txt" ist noch der Pfad zu einem mir sehr suspekten
Registry-Schlüssel ausführlich aufgeführt. Eine weitere Suche
nach der genannten *.exe ergab keine Funde.

Hoffe, dass hilft dir weiter.
Gruß,

Wolf-XIII

cosinus · 24.05.2012, 21:37

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Wolf-XIII · 24.05.2012, 23:47

So hier der Log zum Eset-online Scan:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9583547ac2a5274bad26712db8035b1b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-24 10:44:30
# local_time=2012-05-25 12:44:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=77100
# found=0
# cleaned=0
# scan_time=2741

cosinus · 25.05.2012, 11:14

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht (wieder) der normale Modus von Windows uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Wolf-XIII · 25.05.2012, 11:25

hi,

zu 1. Ja, der geht soweit, wenn man von dem Fenster vorm Anmelden des Beutzers (siehe unten) und der Tatsache, das nach der Anmeldung ein Explorer-Fenster zu Eigene Dateien aufgeht, absieht

zu 2. Alles vorhanden, nichts fehlt

Gruß,
Wolf-XIII

PS Aus einem vorherigen Post:

Zitat:

vor dem Anmeldungsfenster eine Meldungs-Box, die im Header Hieroglyphen (vom System nicht unterstützte Zeichen?) und eine *.dll Datei und/oder "c.\windows\system32" und\oder gar nichts stehen hat. Es ist nur der Button Okay vorhanden. Ansonsten lässt sich das System booten.

cosinus · 25.05.2012, 12:02

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Wolf-XIII · 29.05.2012, 10:08

So, hier der OTL-Logfile aus OTL.txt

Code:

ATTFilter

OTL logfile created on: 29.05.2012 10:44:24 - Run 1
OTL by OldTimer - Version 3.2.44.0     Folder = C:\Dokumente und Einstellungen\*****\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,25 Gb Total Physical Memory | 0,89 Gb Available Physical Memory | 70,96% Memory free
2,98 Gb Paging File | 2,75 Gb Available in Paging File | 92,14% Paging File free
Paging file location(s): C:\pagefile.sys 1920 3840 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Programme
Drive C: | 115,03 Gb Total Space | 68,81 Gb Free Space | 59,82% Space Free | Partition Type: NTFS
Drive E: | 7,20 Gb Total Space | 6,27 Gb Free Space | 87,06% Space Free | Partition Type: FAT32
 
Computer Name: ESSTISCH | User Name: ***** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.05.29 10:42:32 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe
PRC - [2012.05.15 14:25:51 | 000,479,984 | ---- | M] (Intenium) -- C:\Programme\OXXOGames\GPlayer\GameCenterNotifier.exe
PRC - [2012.03.07 01:15:17 | 004,241,512 | ---- | M] (AVAST Software) -- C:\Programme\AVAST Software\Avast\AvastUI.exe
PRC - [2012.03.07 01:15:14 | 000,044,768 | ---- | M] (AVAST Software) -- C:\Programme\AVAST Software\Avast\AvastSvc.exe
PRC - [2012.02.24 20:14:55 | 000,239,968 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\ouc.exe
PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.05.04 19:47:38 | 000,200,704 | ---- | M] () -- C:\WINDOWS\system32\UMonit.exe
PRC - [2011.05.04 19:45:36 | 000,019,968 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\LOGI_MWX.EXE
PRC - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) -- C:\Programme\ShadowExplorer\sesvc.exe
PRC - [2010.07.04 19:13:56 | 000,095,576 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
PRC - [2010.07.04 19:07:40 | 000,238,952 | ---- | M] (Teruten) -- C:\WINDOWS\system32\FsUsbExService.Exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.06.03 20:51:54 | 000,131,072 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.05.29 08:55:39 | 001,763,328 | ---- | M] () -- C:\Programme\AVAST Software\Avast\defs\12052900\algo.dll
MOD - [2012.05.28 19:54:33 | 001,763,328 | ---- | M] () -- C:\Programme\AVAST Software\Avast\defs\12052801\algo.dll
MOD - [2012.05.26 08:38:55 | 002,048,000 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.Xml.dll
MOD - [2012.05.26 08:38:54 | 003,186,688 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll
MOD - [2012.05.26 08:38:51 | 000,425,984 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.dll
MOD - [2012.05.26 08:38:48 | 004,550,656 | ---- | M] () -- C:\windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll
MOD - [2012.05.26 08:38:42 | 000,261,632 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
MOD - [2012.05.26 08:38:38 | 000,114,688 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.ServiceProcess\2.0.0.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
MOD - [2012.05.26 08:38:29 | 005,246,976 | ---- | M] () -- C:\windows\assembly\GAC_32\System.Web\2.0.0.0__b03f5f7f11d50a3a\System.Web.dll
MOD - [2012.05.26 08:23:30 | 005,967,872 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.ServiceModel\3.0.0.0__b77a5c561934e089\System.ServiceModel.dll
MOD - [2012.05.26 08:23:28 | 000,970,752 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Runtime.Serialization\3.0.0.0__b77a5c561934e089\System.Runtime.Serialization.dll
MOD - [2012.05.26 08:23:28 | 000,438,272 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.IdentityModel\3.0.0.0__b77a5c561934e089\System.IdentityModel.dll
MOD - [2012.05.26 08:23:27 | 000,110,592 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\SMDiagnostics\3.0.0.0__b77a5c561934e089\SMDiagnostics.dll
MOD - [2012.05.25 10:45:45 | 000,040,960 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll
MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2012.02.24 20:14:59 | 001,148,416 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\QtNetwork4.dll
MOD - [2012.02.24 20:14:59 | 000,398,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\QtXml4.dll
MOD - [2012.02.24 20:14:59 | 000,383,488 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\QueryStrategy.dll
MOD - [2012.02.24 20:14:58 | 002,415,104 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\QtCore4.dll
MOD - [2012.02.24 20:14:57 | 000,043,008 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\libgcc_s_dw2-1.dll
MOD - [2012.02.24 20:14:57 | 000,011,362 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\mingwm10.dll
MOD - [2012.02.24 20:14:55 | 000,239,968 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\ouc.exe
MOD - [2011.05.04 19:47:38 | 000,200,704 | ---- | M] () -- C:\WINDOWS\system32\UMonit.exe
MOD - [2011.05.04 19:47:38 | 000,151,552 | ---- | M] () -- C:\WINDOWS\system32\ustor.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService\HWDeviceService.exe -- (HWDeviceService.exe)
SRV - [2012.05.05 12:56:22 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.03.07 01:15:14 | 000,044,768 | ---- | M] (AVAST Software) [Auto | Running] -- C:\Programme\AVAST Software\Avast\AvastSvc.exe -- (avast! Antivirus)
SRV - [2012.02.24 20:14:55 | 000,239,968 | ---- | M] () [Auto | Stopped] -- C:\Programme\Mobile Partner\UpdateDog\ouc.exe -- (Mobile Partner. RunOuc)
SRV - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) [Auto | Running] -- C:\Programme\ShadowExplorer\sesvc.exe -- (sesvc)
SRV - [2010.07.04 19:07:40 | 000,238,952 | ---- | M] (Teruten) [Auto | Running] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2008.04.14 04:23:03 | 000,075,264 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\tlntsvr.exe -- (TlntSvr)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - [2008.04.14 04:22:38 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - [2008.04.14 04:22:16 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger)
SRV - [2008.04.14 04:22:15 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess)
SRV - [2008.04.14 04:22:07 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.03.07 01:03:51 | 000,612,184 | ---- | M] (AVAST Software) [File_System | System | Running] -- C:\windows\System32\drivers\aswSnx.sys -- (aswSnx)
DRV - [2012.03.07 01:03:38 | 000,337,880 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\windows\System32\drivers\aswSP.sys -- (aswSP)
DRV - [2012.03.07 01:02:00 | 000,035,672 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\windows\System32\drivers\aswRdr.sys -- (aswRdr)
DRV - [2012.03.07 01:01:53 | 000,053,848 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\windows\System32\drivers\aswTdi.sys -- (aswTdi)
DRV - [2012.03.07 01:01:39 | 000,095,704 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\windows\System32\drivers\aswmon2.sys -- (aswMon2)
DRV - [2012.03.07 01:01:30 | 000,020,696 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\windows\System32\drivers\aswFsBlk.sys -- (aswFsBlk)
DRV - [2012.03.07 00:58:29 | 000,024,920 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\windows\System32\drivers\aavmker4.sys -- (Aavmker4)
DRV - [2012.02.24 20:15:01 | 000,102,784 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - [2012.02.24 20:15:01 | 000,073,216 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ew_jubusenum.sys -- (huawei_enumerator)
DRV - [2012.02.24 20:15:00 | 000,235,392 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2012.02.24 20:15:00 | 000,193,792 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2011.05.04 20:22:54 | 000,093,764 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NVENET.sys -- (NVENET)
DRV - [2011.05.04 20:22:54 | 000,021,760 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nv_agp.SYS -- (nv_agp)
DRV - [2011.05.04 20:22:46 | 000,396,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM)
DRV - [2011.05.04 20:22:46 | 000,048,640 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM)
DRV - [2011.05.04 19:47:38 | 000,012,672 | ---- | M] (Genesys Logic) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fixustor.sys -- (FIXUSTOR)
DRV - [2011.05.04 19:45:36 | 000,070,801 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys -- (LMouFlt2)
DRV - [2011.05.04 19:45:35 | 000,025,505 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys -- (LHidFlt2)
DRV - [2011.05.04 19:43:50 | 000,019,072 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\PS2.sys -- (Ps2)
DRV - [2010.06.14 09:32:54 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010.04.27 04:25:20 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2010.04.27 04:25:20 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)
DRV - [2010.04.27 04:25:20 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2008.04.14 04:02:16 | 000,120,576 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\windows\System32\drivers\pcmcia.sys -- (Pcmcia)
DRV - [2008.04.14 03:58:13 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2008.04.13 20:56:06 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.04.13 20:32:36 | 000,066,048 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\windows\System32\drivers\udfs.sys -- (Udfs)
DRV - [2007.12.18 10:44:38 | 000,712,704 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)
DRV - [2007.12.18 10:44:38 | 000,712,704 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(Atheros)) IEEE 802.11 Wireless LAN Driver (USB)(Atheros)
DRV - [2004.08.05 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004.08.05 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004.08.05 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\windows\System32\drivers\cbidf2k.sys -- (cbidf2k)
DRV - [2004.08.05 14:00:00 | 000,012,160 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\windows\System32\drivers\acpiec.sys -- (ACPIEC)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {D54B9A4E-BB7C-4F9E-9C46-CF013387BFCF}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{D54B9A4E-BB7C-4F9E-9C46-CF013387BFCF}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/?ocid=ie8hp
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [Binary data over 100 bytes]
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\..\SearchScopes,DefaultScope = {D54B9A4E-BB7C-4F9E-9C46-CF013387BFCF}
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\..\SearchScopes\{D54B9A4E-BB7C-4F9E-9C46-CF013387BFCF}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GGHP_deDE450
IE - HKU\S-1-5-21-1606980848-1004336348-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2011.05.04 19:16:16 | 000,000,867 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast] C:\Programme\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [Logitech Utility] C:\windows\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\windows\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe ()
O4 - HKU\S-1-5-21-1606980848-1004336348-839522115-1003..\Run: [\\OLSCHEWSKY\EPSON Stylus DX4000 Series] C:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\S-1-5-21-1606980848-1004336348-839522115-1003..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\S-1-5-21-1606980848-1004336348-839522115-1003..\Run: [Spiele Post] C:\Programme\OXXOGames\GPlayer\GameCenterNotifier.exe (Intenium)
O4 - Startup: C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4538F427-0EDB-47C0-ADBC-B3C081A2E082}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O30 - LSA: Authentication Packages - (nwprovau) - C:\windows\System32\nwprovau.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{42ace04e-5f13-11e1-a45d-e03221a14935}\Shell - "" = AutoRun
O33 - MountPoints2\{42ace04e-5f13-11e1-a45d-e03221a14935}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{42ace04e-5f13-11e1-a45d-e03221a14935}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
 
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {1DFFB787-735E-371B-9C43-1321C10B4335} - .NET Framework
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {76ADE658-1A89-42CB-A2D9-306A34EB6E8F} - Bing Bar
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\windows\system32\Rundll32.exe c:\windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CAAFB8F9-F8D1-3D27-9AAA-6301A4429440} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{4AE2AA9D-68B0-40EE-A6E0-1F0E6475AA15} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\windows\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\windows\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\windows\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\windows\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\windows\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\windows\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.05.29 10:42:25 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe
[2012.05.26 08:28:57 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.05.25 10:43:46 | 000,000,000 | ---D | C] -- C:\windows\System32\XPSViewer
[2012.05.25 10:43:43 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild
[2012.05.25 10:42:39 | 000,000,000 | ---D | C] -- C:\c857607bcc0822963f
[2012.05.25 10:33:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ShadowExplorer
[2012.05.25 10:33:15 | 000,000,000 | ---D | C] -- C:\Programme\ShadowExplorer
[2012.05.25 10:30:31 | 000,000,000 | ---D | C] -- C:\windows\System32\en-US
[2012.05.25 10:30:20 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies
[2012.05.25 10:28:58 | 000,000,000 | R-SD | C] -- C:\windows\assembly
[2012.05.25 10:28:29 | 000,000,000 | ---D | C] -- C:\windows\Microsoft.NET
[2012.05.25 10:28:07 | 000,000,000 | RH-D | C] -- C:\AHCache
[2012.05.25 09:43:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Python 2.7
[2012.05.25 09:43:36 | 000,000,000 | ---D | C] -- C:\Python27
[2012.05.25 00:49:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Swen's Sachen
[2012.05.24 23:54:58 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.05.24 11:37:26 | 000,000,000 | ---D | C] -- C:\windows\Minidump
[2012.05.24 11:32:36 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Verwaltung
[2012.05.24 10:38:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
[2012.05.24 10:38:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.05.24 10:38:39 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2012.05.24 10:38:39 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.05.20 19:20:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Wlou
[2012.05.15 14:23:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\dekovir
[2012.05.08 19:34:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\LegacyGames
[2012.05.03 20:30:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funny Bear Studio
[5 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.05.29 10:44:57 | 000,005,626 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\games.stat
[2012.05.29 10:44:00 | 000,000,418 | -H-- | M] () -- C:\windows\tasks\User_Feed_Synchronization-{AB1697E0-92EB-4109-952C-71AA64C8E88C}.job
[2012.05.29 10:42:32 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*****\Desktop\OTL.exe
[2012.05.29 10:37:29 | 000,002,206 | ---- | M] () -- C:\windows\System32\wpa.dbl
[2012.05.29 10:36:54 | 000,004,452 | ---- | M] () -- C:\windows\System32\nvapps.xml
[2012.05.29 10:36:41 | 000,001,084 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.05.29 10:36:33 | 000,002,048 | --S- | M] () -- C:\windows\bootstat.dat
[2012.05.29 10:36:31 | 1341,710,336 | -HS- | M] () -- C:\hiberfil.sys
[2012.05.28 20:57:00 | 000,001,088 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.05.28 20:56:00 | 000,000,884 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job
[2012.05.26 08:39:08 | 000,448,470 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2012.05.26 08:39:08 | 000,432,356 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2012.05.26 08:39:08 | 000,080,104 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2012.05.26 08:39:08 | 000,067,312 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2012.05.25 10:48:32 | 000,125,320 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT
[2012.05.25 10:46:46 | 000,001,374 | ---- | M] () -- C:\windows\imsins.BAK
[2012.05.25 10:33:16 | 000,001,532 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\ShadowExplorer.lnk
[2012.05.24 11:32:26 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\defogger_reenable
[2012.05.20 19:26:48 | 000,005,626 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\GOgAAllGGJvLnXpVfNNy
[2012.05.15 14:22:41 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GAME CENTER.lnk
[2012.05.15 14:22:36 | 000,001,018 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Hidden Object Crosswords.lnk
[2012.05.15 14:21:27 | 140,851,952 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\jnppxxvvAjDlddg
[2012.05.14 18:06:46 | 000,116,736 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\gxxlDAAggddaaoouQss
[2012.05.13 10:04:59 | 470,045,288 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\GpNVqNDAGlvxnvTEda
[2012.05.11 21:50:50 | 000,481,078 | ---- | M] () -- C:\windows\System32\winsh323
[2012.05.11 21:50:40 | 000,481,078 | ---- | M] () -- C:\windows\System32\winsh322
[2012.05.11 21:50:32 | 000,481,078 | ---- | M] () -- C:\windows\System32\winsh321
[2012.05.11 21:50:22 | 000,481,078 | ---- | M] () -- C:\windows\System32\winsh320
[2012.05.09 12:24:12 | 000,000,922 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tory’s Shop ‘n’ Rush.lnk
[2012.05.09 12:23:36 | 000,000,910 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Paradise Beach.lnk
[2012.05.09 12:21:44 | 112,848,672 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\spEnQJsGeDyjrgfU
[2012.05.09 12:16:54 | 029,755,824 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\QgddaaoEQQsteeyyrrffp
[2012.05.08 19:45:16 | 000,000,862 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Cake Mania.lnk
[2012.05.08 19:03:31 | 022,678,176 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Eigene Dateien\xfrrjADDGxvvEETTUUO
[2012.05.01 20:46:52 | 000,001,006 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Der Gesandte des Königs.lnk
[5 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[2 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.05.25 10:33:16 | 000,001,532 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\ShadowExplorer.lnk
[2012.05.24 11:32:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\defogger_reenable
[2012.05.20 19:31:49 | 000,005,626 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\games.stat
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh325
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh324
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh323
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh322
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh321
[2012.05.20 19:20:24 | 000,481,078 | ---- | C] () -- C:\windows\System32\winsh320
[2012.05.15 14:22:36 | 000,001,018 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Hidden Object Crosswords.lnk
[2012.05.09 12:24:12 | 000,000,922 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tory’s Shop ‘n’ Rush.lnk
[2012.05.09 12:23:36 | 000,000,910 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Paradise Beach.lnk
[2012.05.08 19:45:16 | 000,000,862 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Cake Mania.lnk
[2012.05.01 20:46:59 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GAME CENTER.lnk
[2012.05.01 20:46:52 | 000,001,006 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Der Gesandte des Königs.lnk
[2012.04.16 11:08:19 | 000,110,592 | ---- | C] () -- C:\windows\System32\FsUsbExDevice.Dll
[2012.04.16 11:08:19 | 000,036,608 | ---- | C] () -- C:\windows\System32\FsUsbExDisk.Sys
[2012.04.16 11:08:07 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\$_hpcst$.hpc
[2012.02.15 13:55:40 | 000,003,072 | ---- | C] () -- C:\windows\System32\iacenc.dll
[2011.09.02 20:13:59 | 000,069,632 | R--- | C] () -- C:\windows\System32\xmltok.dll
[2011.09.02 20:13:59 | 000,036,864 | R--- | C] () -- C:\windows\System32\xmlparse.dll
[2011.05.19 12:51:49 | 000,000,886 | ---- | C] () -- C:\windows\tetris.ini
[2011.05.19 12:47:58 | 000,045,568 | ---- | C] () -- C:\windows\UniFish3.exe
[2011.05.19 12:41:06 | 000,189,952 | ---- | C] () -- C:\windows\Qcard32.dll
[2011.05.04 19:48:21 | 000,200,704 | ---- | C] () -- C:\windows\System32\UMonit.exe
[2011.05.04 19:48:21 | 000,151,552 | ---- | C] () -- C:\windows\System32\ustor.dll
[2011.05.04 19:48:21 | 000,001,251 | ---- | C] () -- C:\windows\System32\IconCfg0.ini
[2011.05.04 19:37:10 | 000,004,161 | ---- | C] () -- C:\windows\ODBCINST.INI
[2011.05.04 19:36:08 | 000,125,320 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT
[2011.05.04 18:55:28 | 000,002,048 | --S- | C] () -- C:\windows\bootstat.dat
[2011.05.04 18:50:22 | 000,021,740 | ---- | C] () -- C:\windows\System32\emptyregdb.dat
 
========== LOP Check ==========
 
[2012.02.29 10:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alawar
[2011.07.02 20:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alawar Stargaze
[2011.06.02 15:31:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aliasworlds
[2011.05.04 19:21:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2011.05.10 11:27:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Big Fish Games
[2011.09.27 14:29:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Colibri Games
[2011.05.11 19:20:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrioGames
[2011.07.29 13:45:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CropBusters
[2012.05.20 19:28:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService
[2011.05.09 18:14:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivoGames
[2011.05.09 17:55:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2012.05.20 19:28:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Farm Fishes
[2011.08.28 17:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_America
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_Arctica
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_Madagascar
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_Russia
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy_Rome
[2012.05.20 19:28:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy_Vikings
[2011.09.04 16:09:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios
[2011.08.07 19:05:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fitn17
[2012.02.15 19:21:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreshGames
[2012.02.08 16:06:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo
[2012.05.03 20:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Funny Bear Studio
[2011.05.05 10:35:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2012.04.18 13:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft
[2012.05.08 19:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
[2011.06.22 20:59:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Islands
[2011.10.06 14:48:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kristanix Games
[2011.07.17 18:56:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Merscom
[2012.02.24 20:16:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mobile Partner
[2011.10.19 12:58:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Particles
[2011.09.26 14:47:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2012.05.01 20:47:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
[2012.05.20 19:29:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RescueFrenzy
[2012.04.04 15:47:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rionix
[2012.04.16 11:08:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2011.10.19 14:18:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpookyMall
[2011.09.27 13:50:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SugarGames
[2011.12.07 18:05:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.05.06 21:05:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VirtualFarm
[2011.08.12 20:11:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VirtualFarm2
[2011.05.05 10:35:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2012.01.21 20:30:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\1morebee
[2012.04.20 12:45:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Alawar
[2011.07.10 20:13:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AlderGames
[2011.10.26 13:48:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\aliasworlds
[2012.03.14 15:38:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Anarchy
[2011.05.12 18:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Awem
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BeachPartyCraze
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BOM
[2011.07.17 16:19:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Boolat Games
[2011.09.27 14:29:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Colibri Games
[2012.05.15 14:23:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\dekovir
[2011.05.11 19:27:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DivoGames
[2011.10.11 12:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Farm Mania 2.1
[2012.01.10 16:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Friday's games
[2011.10.19 12:58:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Funzai!
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GraveyardShift
[2012.04.25 12:40:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Happy Chef
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InImages
[2012.04.10 18:41:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\intenium
[2012.05.08 19:34:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\LegacyGames
[2011.12.07 17:45:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Meridian93
[2011.07.17 18:56:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Merscom
[2011.06.19 18:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NevoSoft
[2011.10.28 14:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NevoSoft Games
[2011.05.15 14:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\OpenOffice.org
[2011.10.01 17:32:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PeaceCraft3
[2011.07.02 20:35:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ph03nixNewMedia
[2011.09.26 14:47:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PlayFirst
[2011.08.27 20:16:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\playmink
[2011.05.15 15:39:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Playrix Entertainment
[2011.05.14 20:01:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RainbowGames
[2012.04.16 11:07:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Samsung
[2011.05.05 18:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Shape games
[2011.06.27 16:51:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Stand O'Food 3
[2011.06.19 18:44:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Supermarket Mania 2
[2011.06.19 20:17:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\thejoyoffarming
[2011.11.08 10:56:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\VC 2 Paradise Resort
[2012.05.24 11:18:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Wlou
[2011.06.22 20:04:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\World-Loom
[2012.01.23 16:16:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\YoudaGames
[2011.09.29 10:50:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Zylom
[2012.05.29 10:44:00 | 000,000,418 | -H-- | M] () -- C:\windows\Tasks\User_Feed_Synchronization-{AB1697E0-92EB-4109-952C-71AA64C8E88C}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
[2011.11.23 19:56:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\Cateia Games
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.01.21 20:30:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\1morebee
[2012.03.01 16:33:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Adobe
[2012.04.20 12:45:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Alawar
[2011.07.10 20:13:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AlderGames
[2011.10.26 13:48:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\aliasworlds
[2012.03.14 15:38:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Anarchy
[2011.05.12 18:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Awem
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BeachPartyCraze
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\BOM
[2011.07.17 16:19:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Boolat Games
[2011.09.27 14:29:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Colibri Games
[2012.05.15 14:23:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\dekovir
[2011.05.11 19:27:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\DivoGames
[2011.10.11 12:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Farm Mania 2.1
[2012.01.10 16:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Friday's games
[2011.10.19 12:58:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Funzai!
[2011.09.09 15:37:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Google
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GraveyardShift
[2012.04.25 12:40:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Happy Chef
[2011.05.19 12:51:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Help
[2011.09.29 10:50:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Identities
[2012.05.20 19:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InImages
[2012.04.10 18:41:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\intenium
[2012.05.08 19:34:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\LegacyGames
[2011.05.20 13:31:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Macromedia
[2012.05.24 10:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
[2011.12.07 17:45:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Meridian93
[2011.07.17 18:56:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Merscom
[2012.03.01 16:33:30 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft
[2011.06.19 18:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NevoSoft
[2011.10.28 14:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NevoSoft Games
[2011.05.15 14:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\OpenOffice.org
[2011.10.01 17:32:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PeaceCraft3
[2011.07.02 20:35:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ph03nixNewMedia
[2011.09.26 14:47:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PlayFirst
[2011.08.27 20:16:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\playmink
[2011.05.15 15:39:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Playrix Entertainment
[2011.05.14 20:01:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\RainbowGames
[2011.10.07 18:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Realore_Whiterra Roads Of Rome
[2012.04.16 11:07:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Samsung
[2011.05.05 18:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Shape games
[2011.06.27 16:51:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Stand O'Food 3
[2011.05.04 19:18:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Sun
[2011.06.19 18:44:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Supermarket Mania 2
[2011.06.19 20:17:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\thejoyoffarming
[2011.11.08 10:56:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\VC 2 Paradise Resort
[2012.05.22 10:51:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\vlc
[2011.07.10 14:32:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\WinRAR
[2012.05.24 11:18:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Wlou
[2011.06.22 20:04:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\World-Loom
[2012.01.23 16:16:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\YoudaGames
[2011.09.29 10:50:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Zylom
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2004.08.05 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2011.05.05 10:04:34 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2011.05.05 10:04:34 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: AHCIX86.SYS  >
[2011.06.28 12:09:10 | 000,183,824 | ---- | M] (AMD Technologies Inc.) MD5=BFED486888067B7935B3C9F5951C41BE -- C:\Programme\Driver Checker\download\AMD_690G_780G_SB750_System For WinXP_XP64\RAID7xx\x86\ahcix86.sys
[2011.06.28 12:09:09 | 000,123,392 | ---- | M] (Promise Technology, Inc.) MD5=DDD2E4A9AA3A57C510962B862663A3B6 -- C:\Programme\Driver Checker\download\AMD_690G_780G_SB750_System For WinXP_XP64\RAID\x86\ahcix86.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.05 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2011.05.05 10:04:34 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2011.05.05 10:04:34 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.05 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.05 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.05 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll
 
< MD5 for: NVATABUS.SYS  >
[2011.05.04 20:22:54 | 000,079,360 | ---- | M] (NVIDIA Corporation) MD5=46DEED4C6C5FA765F9A2C723BE60348D -- C:\Programme\Driver Checker\download\NVIDIA_nForce_MCP_Audio_Processing_Unit_For_WinXP_Vista_Vista64\ide11\win2k\nvatabus.sys
[2011.05.04 20:22:54 | 000,079,360 | ---- | M] (NVIDIA Corporation) MD5=46DEED4C6C5FA765F9A2C723BE60348D -- C:\Programme\Driver Checker\download\NVIDIA_nForce_MCP_Audio_Processing_Unit_For_WinXP_Vista_Vista64\ide11\winxp\nvatabus.sys
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.05 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.05 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.05 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004.08.05 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.05 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.05 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2011.05.04 20:35:11 | 000,094,208 | ---- | M] () -- C:\windows\System32\config\default.sav
[2011.05.04 20:35:11 | 000,663,552 | ---- | M] () -- C:\windows\System32\config\software.sav
[2011.05.04 20:35:11 | 000,434,176 | ---- | M] () -- C:\windows\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2 C:\windows\system32\*.tmp files -> C:\windows\system32\*.tmp -> ]
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 140 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E5F8E280
@Alternate Data Stream - 134 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9CF728A6
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7AF9CAEB
@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:62525FE7
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:35629AE6
@Alternate Data Stream - 107 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6BF0805F

< End of report >

22.05.2012, 20:11	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme... Bist du irre hier Malware öffentlich reinzustellen? Die Hinweise stehen doch oben ganz deutlich sichtbar da, da steht ganz genau sohin du es senden möchtest __________________ __________________

25.05.2012, 11:14	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme... Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht (wieder) der normale Modus von Windows uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme...

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme...