Hallo!

Ich habe folgendes Problem:
Ich bekam heute eine E-Mail, in der stand folgendes:

Lieber Nutzer ##########,

wir mussten leider feststellen, dass unsere Rechnung ID: 4005050099 für den Mitglied ########## immer noch nicht gebucht wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach Paragraph 286 BGB könnten wir die offenen Rechnungen bereits jetzt durch Anwalt anmelden. Wir geben Ihnen trotzdem noch eine letzte Chance, Ihre Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Größe von 459.00 EURO an uns zur Zahlung bringen.

Die Dienste und die Bankdaten können Sie im Anhang sehen.

Bitte berücksichtigen Sie, die Folgen des Verzugs bestehen vor allem in der Regresspflicht des Schuldners sowie in einer verschärften Haftung.


Flirt-Fever GmbH mit Sitz in Berlin

Amtsgericht: München
Geschäftsleiter: Renate Huber, Sabine Egger

Ich habe der E-Mail geantwortet, ich glaube das sie auch meinen vollständigen Vor- und Nachnamen erfuhren, weil dieser sonst im Absender steht, wenn ich auf eine E-Mail antworte. Ich schrieb, das ich mich nicht erinnern kann, das ich mich da jemals angemeldet habe, aber es vielleicht sein kann und das ich nicht soviel Geld habe. Ich fragte ob sie nicht einmal darüber hinwegsehen könnten? Und das ich in Zukunft genaustens die AGBs lese, bevor ich mich irgendwo anmelde.
Kurz danach las ich im Internet, das es Betrüger sind. Darauf hin schrieb ich das ich nichts bezahlen werde und ich mich nie bei denen angemeldet habe.

War das ein Fehler?

Als Anhang waren "Unterlagen" dabei. Diese speicherte ich auf mein Rechner.
Ich wollte sie öffnen, weil ich wissen wollte was sie von mir wollen, denn ich wusste ich habe mich da noch nie angemeldet!
Unter Dateityp stand ich glaube "MS-Dos-Anwendung"
Ich versuchte es ein paar mal mit einem Doppelklick, aber nichts tat sich.
Ein paar Minuten später kam das Trojaner Fenster! Ich konnte nichts mehr machen! Ich schaltete das Netbook aus und wieder an.

Ich habe 2 Benutzer: einmal "Administrator" und ein anderes.
Hatte schon mal ein Trojaner Fenster auf dem Netbook, mir wurde unter
"forum.botfrei.de" geholfen. Dadurch auch der 2. Benutzer "Administrator" fürs Netbook.

Aber unter beiden Beutzern kommt nach Sekunden das Trojaner Fenster.

---

Als ich erst mich bei forum.botfrei.de angemeldet hatte sah ich:

"sie haben 1 Mitteilung"

In der stand:

*DEINE DATEN SIND IN GEFAHR*

Hallo mein Name ist Petra *** und ich bin, unter anderem hier, als Moderatorin tätig.

Leider mußte ich feststellen, daß dieses Forum auf einem Server liegt auf dem sich Seiten wie

www.adults-paradise.de
www.dating-only.de

befinden. Server IP: 212.227.141.40

Noch erschreckender fand ich, daß der Sponsor dieses Forums, die Cyscon GmbH hxxp://blog.botfrei.de/impressum/ auch der Betreiber dieser Seiten ist und mit diesen Diensten wirbt:

cyscon gmbh


• wir sind ihr ansprechpartner in sachen massen-e-mailversand und hosting von spezial-lösungen


• mailversand, massenversender, newsletterversand, mailserver, bulkmail-versand, hosting, domains, spezialhosting, dedicate mail servers, dedicatemail, dedicatehome, dedicateservices, dedicatemedia, provider, datenbank, datenbanken, web
Da ich diesen Zustand nicht mehr länger mittragen kann, möchte ich Dich warnen!

Schreibe an info@botfrei.de und info@eco.de oder Fax 0221-70 00 48-111 und verlange die sofortige Löschung aller über Dich hier gespeicherten Daten!


Nur so kannst Du sichergehen, daß Daten über Dich nicht für sonstige Zwecke mißbraucht werden können!

Lg
Petra

P.S. In Zukunft wende Dich an seriöse Foren wie: Hijack-This-Forum hxxp://bit.ly/I2i44J


Muss ich die 459€ zahlen?? Habe doch nicht soviel Geld!!

Was soll ich jetzt machen? Können Sie mir bitte helfen? Ich kenn mich nicht so mit Computern aus, bin eigentlich nur im Internet.
Ich schreibe gerade mit meinem Zweitrechner, dem Desktop PC.

Vielen Dank!

Hallo Lars1111,

bitte beachten: => Die 8 goldenen Regeln im Trojaner-Board

Bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten:

die Mail stammt natürlich nicht von mir. Das ist ein Typ der Botfrei.de schaden will. Hier gibt es schon einen Thread dazu: http://www.hijackthis-forum.de/off-t...ge-fragen.html

Du brauchst Dir also über Deine Daten keine Gedanken machen. Und nein, Du brauchst auch nichts zu bezahlen. Du solltest generell keine Anhänge in Mails öffnen. Oft ist darin ein Trojaner versteckt.



===== Punkt 1 =====

Wie ist der aktuelle Zustand des Computers?

- Welche Variante des GEMA-Trojaners hat Dich erwischt? => vergl. http://www.bka-trojaner.de

- Kommst Du in den abgesicherten Modus mit Eingabeaufforderung?

- Funktioniert der abgesicherte Modus mit Netzwerktreibern?

- Kommt der Sperrbildschirm auch, wenn Du den Rechner vom Netz trennst?

- Lässt sich der Taskmanager mit der Tastenkombination STRG - ALT - Entf. öffnen?

Hallo Lars,

kannst Du bitte nachschauen, ob die Mail, die angeblich von mir stammt, am 22.04.2012 von dem Nick -Petra abgesendet wurde? Falls ja, stammt sie aus dieser leidigen Geschichte, wo sich jemand der Botfrei schaden möchte, dort als -Petra angemeldet (und weiteren ähnlichen Nicknamen wie .Petra etc.) hatte und in "meinem Namen" diese Fake-PN verschickt hatte. Selbstverständlich ist dieser User inzwischen gesperrt.

Zurück zu Deinem Rechner, ist der aktuell wieder befallen, oder konnte das Problem hier gelöst werden? Falls wieder befallen, beantworte mir bitte die Fragen oben aus Punkt 1, dann sehen wir weiter :-)

Hallo Petra, der Nick war -Petra - mit einem Minus vor Petra und war vom 22.04.2012

Der Trojaner sieht genauso aus, wie auf der Startseite hier, das Trojaner-Bild.

Ich habe 2 Benutzer wenn ich hochfahre: 1. Administrator 2. Lars
Der Trojaner erscheint nicht im abgesicherten Modus unter keinen der beiden Benutzer.
Der Trojaner erscheint nicht im abgesicherten Modus (mit Netzwerktreibern) unter keinem der beiden Benutzer, auch nicht, wenn ich mit Firefox ins Internet gehe.
Der Trojaner erscheint nicht im abgesicherten Modus (mit Eingabeaufforderung) unter keinem der beiden Benutzer.
Der Trojaner erscheint nur im Normalen Modus und auch unter allen beiden Benutzern.

Hallo Lars,

dann gehe bitte in den abgesicherten Modus mit Netzwerktreibern und lasse laufen:

===== Punkt 1 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
  Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
• User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
• Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
  anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
  Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
  Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
  Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

===== Punkt 2 =====

Scan mit Malwarebytes' Anti-Malware - Funde nicht löschen!

Lade Malwarebytes Anti-Malware (ca. 10 MB) von hier herunter.

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
  Vista- und Windows 7 User starten die Installationsdatei per Rechtsklick und wählen "Als Administrator ausführen".
  
  
• Lasse Malwarebytes online über den Reiter Aktualisierung updaten, sofern sich das Programm bereits auf dem Rechner befand.
• Reiter Suchlauf: aktiviere "Vollständigen Suchlauf durchführen" und starte den Suchlauf über den Button Scannen.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
  
  
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Verdacht auf Verschlüsselungs-Trojaner bei allen Funden den Haken entfernen.
  Ansonsten wird eine evtl. später mögliche Entschlüsselung nicht funktionieren.
  Wir werden das Logfile durchsehen und zunächst schauen, ob wir vor dem Löschen der Malware noch Dateien sichern müssen!
  
  
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Logdateien" finden.
• Berichte, wie der Rechner nun läuft.

Extras.Txt ist für Anhang zu groß >>>OTL EXTRAS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 06.06.2012 16:43:22 - Run 1
OTL by OldTimer - Version 3.2.46.1     Folder = C:\Windows\system32\config\systemprofile\Desktop
 Starter Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
987,45 Mb Total Physical Memory | 694,02 Mb Available Physical Memory | 70,28% Memory free
1,96 Gb Paging File | 1,70 Gb Available in Paging File | 86,67% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 220,97 Gb Total Space | 93,52 Gb Free Space | 42,32% Space Free | Partition Type: NTFS
Drive D: | 11,62 Gb Total Space | 1,94 Gb Free Space | 16,69% Space Free | Partition Type: NTFS
Drive E: | 99,18 Mb Total Space | 92,59 Mb Free Space | 93,36% Space Free | Partition Type: FAT32
 
Computer Name: LARS-PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MIF5BA~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{047B503F-6813-4BA3-AB62-6BC4084DB3D8}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{31C14DF8-36FC-4A38-9FBA-0257DCE6098B}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{31E38606-8C1E-4C4E-917E-CA9677128BC7}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{3EB67487-CD01-4ACE-9A7E-0C9855508B71}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{4680EED8-D5F3-46F5-9775-E0216854FD13}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{4DD0F8DC-7381-423F-A8AF-7E7675FDD733}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) | 
"{918A45ED-0F73-40DA-801C-4AFFFFAC377F}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{A0B68D7D-9972-4D05-8404-4978A757A1D5}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{AF62E885-0120-465E-BD1B-0C0A27FED528}" = lport=808 | protocol=6 | dir=in | svc=nettcpactivator | app=c:\windows\microsoft.net\framework\v4.0.30319\smsvchost.exe | 
"{B335C676-7282-4911-8329-A41EC864D2CA}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{BE73689E-96A2-4C19-8FE1-6A2CCFB9BDDF}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{CAA80B39-1EEC-40FA-BA75-0C7C9847ED5D}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) | 
"{E583588E-44BB-4AAB-97A1-741C8C9B678F}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{F87E12B9-FB8C-42A3-A926-D39DF8BA711D}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{020BABD1-D819-474F-8CE9-89F8E6ADCF44}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{0681FC73-1DB6-44E0-9923-EBC48114EB9A}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{06C2247F-F5C1-49AA-B972-C82B0045E040}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{07FFB192-1A5D-4CC7-8C90-28A9D9BAFA71}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{08183C94-9F79-44E3-8871-BDEEBEE01F4D}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{09913B77-B28C-4015-AF7C-D6639CC8BAE9}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{0AAEB18B-9A0D-47E3-B0EE-353C7AADAEAD}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{0C6F38C1-C5BB-47B0-A4CC-1D93B9EE5215}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{0F541660-384D-4B89-A529-5FBA6EAB12BA}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{11A9AC07-DCB8-4768-B78E-9E924F054B64}" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe | 
"{11F6F1A6-0E5E-42AF-9C01-218F8972B669}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{14D6FAB0-AFCF-4168-8A48-0A22D52076DB}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{197CF9FD-7A39-44CC-AAD6-534D89FDE56C}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{1B07BC06-7F3A-4A06-B483-B0B9087E7E16}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{1B6EB4AD-1929-433B-B276-7229A0F7B0B8}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | 
"{1C6BD075-100D-4A15-A23C-318875AB4B97}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{1C9636D7-39C8-46CD-B8C3-2FE3DC7129A7}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{1EE69D6E-93AD-4E70-86A5-7E28BEBEF4E4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{1FBB009E-4885-4E4A-B238-BDCA7821C016}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{221924E0-5FC3-440B-985E-B4DAD778F27E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{254076A0-1C4F-491D-B5BC-82B41EF012E1}" = protocol=6 | dir=out | app=system | 
"{27BEF067-0A3B-4EDD-B0A6-772958592B79}" = dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe | 
"{2F5C730D-ECE5-42CB-A97A-61C849039B44}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{3030C0CB-66C6-431F-8D5D-6FEA960FCCC6}" = protocol=6 | dir=in | app=c:\program files\mail.ru\sputnik\sputnikhelper.exe | 
"{34174603-B41C-491D-8B98-C306F61DA061}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{36CFD127-13F0-4CCA-91EE-F57C3361B3DA}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{36FC7BF0-ECC9-483F-BA29-76E6594E7EE9}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{3C55F03A-E78B-4E64-8AEA-7EC797D13FAD}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{3D152BCA-6F6A-4C0C-810F-6DC2B62029AF}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{3D6DBA85-34D9-4044-B58A-81AD02D34433}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{40E235D3-756C-434C-B5BA-0A25E234EEEC}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{41069858-C8EE-4F47-A682-602487CB0EA4}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{46F58A73-4C5D-423B-BAAB-60171F482191}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{488F5260-03CF-43F9-BD0F-0AB47C62CDD1}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{49F08C73-27B2-45C6-8292-A50DE7E05C53}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{49FC14D5-9D13-487D-A16F-04121A9FA476}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{4B348481-828E-41BB-B2A7-D891DCC0052E}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{4EC024B3-801F-4B2F-B79B-029AE52C66E3}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{50968E25-8D76-419A-911A-DA0059A1E728}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe | 
"{5576D554-BC73-437C-B68C-D7DE68D85BD8}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{563DBE76-BC20-4169-989D-D869E1D1CB67}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{57DEECF2-4205-48AC-9087-FA33E9392AD4}" = protocol=6 | dir=in | app=c:\windows\system32\muzapp.exe | 
"{586792E9-C7B4-4487-833A-5DCCC0B7A13A}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{589D982B-9E81-460D-9FE5-D47C85348EF0}" = protocol=17 | dir=in | app=c:\program files\icq7.7\icq.exe | 
"{59A51410-7D2F-4CB2-A80C-EACFB2BC0191}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{59F13B7F-9149-458C-8FE3-E2C38869135E}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{5ADE9350-902A-4191-8C7C-0A5F8113FC97}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{5FB9A21C-163B-4846-BBF8-B0D3401891FF}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{68BE0F33-A69A-47D9-84C9-E0F57F6EB6F1}" = protocol=6 | dir=in | app=c:\program files\icq7.7\icq.exe | 
"{6FADD0D5-1201-4F4A-9F4B-E92F1ED888DB}" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe | 
"{702B233B-936C-4A18-98DF-B1FC3C465731}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe | 
"{712870A6-BC49-451E-8FBA-0C654F2AF066}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{71C31806-B61B-4CD7-AAE0-9E5B483D1F4E}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{72A43500-0C17-4865-AB6D-456E699F8F6C}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{75F4D6C1-A101-4B12-9431-2A94669CAF0C}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{76BC76DF-2FD1-4733-B196-C7BAAC5D3D92}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{77363696-59F3-4128-9804-3AD062339E91}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{78078089-3E7B-4648-84BA-445CC6CBD0F0}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{7C6CFAA0-3B27-42C1-AD18-C75DFE7A59E5}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{7DE9504C-B82A-4B83-A7BB-B527BEDA2DAE}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{7E320867-A2D9-4CB0-BCC4-00A79674BCA7}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{81282393-EE65-4474-AF67-6BC70BFA026F}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{825182DB-CE8E-4D8D-B7BB-4E6F524C22E6}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{83F7D748-6F7D-45BC-95E0-07FCC2294282}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{8A20249A-3F69-4351-BBB3-DF59688596D5}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{916C0A09-186A-48CF-A15B-E7271841EFB6}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{91B436DC-3332-4CF0-A660-174C5B924BB5}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{9242B134-0E68-4063-B36B-BD9862BC4290}" = protocol=17 | dir=in | app=c:\program files\mail.ru\sputnik\sputnikhelper.exe | 
"{98598F6A-2792-4617-9AC4-1DAE98994298}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{98EFB3FE-F67E-48D5-88C0-0B23597F542C}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{9C15593C-F5DF-4FB1-A65F-561417C2EE3E}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{9F75B2F0-4167-40CC-98F4-1C369321D529}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{9FB0FBB8-FBBD-4D42-A9CD-BECA11CE1BCA}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{A273FA64-A63C-473D-85B0-4D5C7571607B}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{A2F4E617-8082-4AEB-9B6B-90C44ED9AE7D}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{A904F57F-BA8B-4F55-A7B8-6B713203D37E}" = protocol=6 | dir=in | app=c:\program files\mail.ru\sputnik\sputnikflashplayer.exe | 
"{AEF36825-F1B8-4C1F-B229-098E2228E6EC}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B0B0792C-3AD0-4B64-A9CA-FFA92A5C2276}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B33BA3A8-EE47-4074-8046-06B91CB3DA17}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B4224802-6DD8-4AFB-B6F6-8F592BD9A72A}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B4910EC7-DA78-436A-890F-4679524EE7D3}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B513EB48-9829-45AE-8239-2AD96AE30757}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{B8CCAEE2-71A2-4273-8E3D-324701835109}" = protocol=6 | dir=in | app=c:\program files\icq7.7\icq.exe | 
"{B9CE905E-90AA-43AF-A871-5943D952E547}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{BA5D7C43-554F-440E-843E-312DBA11D657}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{BBC2C9CC-3F23-43C5-9C26-B24478324520}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{BBC64BE2-B262-41FE-AC73-9158FDAC0345}" = protocol=17 | dir=in | app=c:\windows\system32\muzapp.exe | 
"{C3D0A16C-0CE4-407C-8BC9-3C91212F2A61}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{C4C524B2-AC15-45C6-9EE9-CCF7B0F804E7}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{CAA9BF76-6782-4D4D-90A3-AEE2D8B4FDA0}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"{CD3370D9-27FD-450D-808A-F468967B3488}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{CD624962-B2B1-4638-8F33-3D65634FD4EF}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{D4C90F56-C182-4E28-9142-0CD3DCAF8992}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{D898AB06-1EF1-4FE3-84F1-4BB0C38362F2}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{DCEB89C6-A221-491E-BB46-3E12F2FD1420}" = protocol=17 | dir=in | app=c:\program files\icq7.7\icq.exe | 
"{DF308782-EB17-4645-B5E4-9E439B1B481D}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{DF4F998E-E20F-41DB-B248-F706E7EC1C0A}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{E03F1C4A-8D89-4278-B4A4-EDAB6729776C}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{E624252A-88BC-4E0A-B20E-0553601ECF9C}" = protocol=17 | dir=in | app=c:\program files\mail.ru\sputnik\sputnikflashplayer.exe | 
"{E648FC02-428C-402B-8BD3-A8738B6468B3}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{E98565AF-88B6-48CD-80CB-431D89881C16}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{EF9CBF85-4DF3-4176-8056-D63DFE29B505}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{EFD2841D-811D-455D-BFD8-F439D92A65E9}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{F6FCB200-F820-42A2-A7CE-134733C9BF81}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{F72A43C2-5C1E-4922-AA53-7AB52F529326}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{F78F7366-0A19-46DC-A08A-68641DAA551B}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{F8C65E5A-5DF0-4432-AB14-B53C5C2A9CFD}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"TCP Query User{011A256C-5D10-4426-9C1E-36A7E57DBBF1}C:\program files\myphoneexplorer\myphoneexplorer.exe" = protocol=6 | dir=in | app=c:\program files\myphoneexplorer\myphoneexplorer.exe | 
"TCP Query User{436BAD5A-3735-48E0-9B62-2239FACCCB3F}C:\program files\java\jre6\bin\java.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\java.exe | 
"TCP Query User{54E6F72B-85B1-4929-8C0A-39C583F8C1E2}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"TCP Query User{6F24088E-8F78-4F10-B534-7115F3ADDA63}C:\program files\nokia\nokia software updater\nsu_ui_client.exe" = protocol=6 | dir=in | app=c:\program files\nokia\nokia software updater\nsu_ui_client.exe | 
"TCP Query User{71C72E32-CC4D-4E16-AE4B-34F6CC97DED3}C:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe | 
"TCP Query User{78A6C718-09D7-442A-9EEE-7DF93D57E21C}C:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe | 
"TCP Query User{7DE6320F-4F1E-46FE-AFEA-AE1C6B56C3D2}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"TCP Query User{7E162DF9-5EB8-4AB7-94C6-B51B37BF57B3}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 
"TCP Query User{D17CADFB-80F0-49E7-860A-14F4A98F80C5}C:\program files\myphoneexplorer\myphoneexplorer.exe" = protocol=6 | dir=in | app=c:\program files\myphoneexplorer\myphoneexplorer.exe | 
"UDP Query User{0870D3E3-8BFC-41C1-A24E-13826202D6CB}C:\program files\nokia\nokia software updater\nsu_ui_client.exe" = protocol=17 | dir=in | app=c:\program files\nokia\nokia software updater\nsu_ui_client.exe | 
"UDP Query User{4CED51EA-E3B1-412D-B0E2-2791CF46B66E}C:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe | 
"UDP Query User{85497903-A9EA-49BE-8154-12478039BF74}C:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\hewlett-packard\hp quicksync\jre\bin\javaw.exe | 
"UDP Query User{8B750796-301C-4B94-9819-48F574B2F19E}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"UDP Query User{A334FCC9-1C5C-47B1-9E4B-CE8C6C58CF9D}C:\program files\myphoneexplorer\myphoneexplorer.exe" = protocol=17 | dir=in | app=c:\program files\myphoneexplorer\myphoneexplorer.exe | 
"UDP Query User{D96E7FB6-21E9-4C47-B6DD-B551D4B32333}C:\program files\myphoneexplorer\myphoneexplorer.exe" = protocol=17 | dir=in | app=c:\program files\myphoneexplorer\myphoneexplorer.exe | 
"UDP Query User{E3D76029-76E7-41BA-B7C8-7481449B270D}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 
"UDP Query User{FBC220C0-7090-437F-BFAB-868C8203EF57}C:\program files\java\jre6\bin\java.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\java.exe | 
"UDP Query User{FC6910DE-86DC-4898-9B01-D81198B32F1C}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{06F22256-8A8D-4F3F-B22C-6E07313D0FD1}" = HP Support Assistant
"{0711500B-9912-4D60-9A49-C577B4503D42}" = Nero Recode Help
"{07FA4960-B038-49EB-891B-9F95930AA544}" = HP Customer Experience Enhancements
"{07FF7593-9DEA-40B5-9F87-F557E65BBF60}" = Nero Recode
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0E532C84-4275-41B3-9D81-D4A1A20D8EE7}" = PlayStation(R)Store
"{0F895695-33CC-4203-9C47-25EF2AC9441C}" = Media Go
"{1061DF04-CF33-40B0-8360-D07C9BBEB122}" = HP Wireless Assistant
"{1122AAC4-AAAA-43BF-B2D4-3C8C12378952}" = Nero InfoTool
"{11A84FCA-C3C7-4AFD-A797-111DB8569DBC}" = Nero BurningROM
"{12345674-DE9A-677A-CCEE-666356D89777}" = Nero BurnRights
"{176c0afd-e740-423c-bbae-1bebb049ed62}" = Nero 9
"{17B4760F-334B-475D-829F-1A3E94A6A4E6}" = HP Setup
"{1B040683-C390-4711-ABC7-DA8D85E470E7}" = NeroBurningROM
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{21AE04E8-EBF6-40DB-9AA9-B7A80C5D057D}" = mkv2vob
"{21FFAF37-E51A-41AB-8749-ACD1F9CF8E37}" = HP QuickWeb
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{254C37AA-6B72-4300-84F6-98A82419187E}" = ActiveCheck component for HP Active Support Library
"{25CFEF55-A945-41FC-86ED-76469F31DF37}" = Nokia Connectivity Cable Driver
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{287ECFA4-719A-2143-A09B-D6A12DE54E40}" = Acrobat.com
"{2D3455A8-3B15-41A8-99F8-0D4215746463}" = Nero StartSmart
"{3097B151-1F61-4211-A4CC-D70127B226AE}" = SoundTrax
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{34985F59-8F6F-46F4-9AD5-53E2714294D2}" = ArcSoft WebCam Companion 3
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons
"{3717C4F2-7412-4793-9BB8-D73D2817B3D6}" = USB Video/Audio Device Driver
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3877C901-7B90-4727-A639-B6ED2DD59D43}" = ESU for Microsoft Windows 7
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3DE96337-68D2-48E0-A863-6E4A5CD3BC25}" = PC Connectivity Solution
"{3F30CC51-0788-487B-AA83-7214A239C0C0}" = Nero Disc Copy Gadget Help
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4414C431-245A-4AF7-8FE0-3ED2333FD8D2}" = HP MediaStream
"{44B2A0AB-412E-4F8C-B058-D1E8AECCDFF5}" = Recovery Manager
"{491ADA37-04EE-2ECE-9F86-DDC0106047AC}" = Times Reader
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B7057D5-6D5D-4088-8217-48EA20C44373}" = HP User Guides 0169
"{4CA10D13-F83A-487E-9B30-CC979FEF7A70}" = OviMPlatform
"{4D42353B-533F-4306-AD0B-7FEF292ADE04}" = Nero CoverDesigner Help
"{4D568C38-0552-4CDD-A643-01FAFA2957EF}" = Nokia Software Updater
"{4E8C27C2-D727-4C00-A90E-C3F6376EEE70}" = Nero ControlCenter
"{548F99E0-14CC-4D53-A7D6-4A62A5F2C748}" = Nero PhotoSnap
"{56BE5CC9-95E6-4128-ABEA-968414CA9C80}" = DolbyFiles
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5A62A775-A29A-4CE1-BBC2-4A9CD0B211EF}" = Nero Live Help
"{5AE12194-3EAA-40DF-B2BF-FE1D6B78BBF4}" = Nero Vision
"{5C2E8A0F-80E2-4C68-8CC0-D8D16E7196BF}" = Nero RescueAgent Help
"{5C42EAB8-54F9-423A-948C-1CBEF25F8DB4}" = Nero PhotoSnap Help
"{5C9BB0B3-E830-4814-BBA4-D93535E1C7B9}" = Nero Live
"{6339663B-F26F-4FE3-B813-0E1DEC4ED976}" = Nokia Ovi Suite
"{669D4A35-146B-4314-89F1-1AC3D7B88367}" = HPAsset component for HP Active Support Library
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{75321954-2589-11DC-DDCC-E98356D81493}" = Nero DriveSpeed
"{753973C4-B961-43BF-B2D4-3C8C92F7216E}" = Nero DriveSpeed
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE}" = ICQ7.7
"{78523651-D8B1-11DC-CCEE-741589645873}" = Nero DiscSpeed
"{7D62ABA3-35EC-623E-2C5F-1B3332CB705B}" = Media Go Video Playback Engine 1.64.101.02270
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{85309D89-7BE9-4094-BB17-24999C6118FC}" = ArcSoft PhotoStudio 5.5
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller Driver For Windows Vista and Later
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C654BD0-1949-43DE-84F2-EC2A1ABB0CB4}" = Nero ShowTime
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}" = Musicmatch® Jukebox
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{943CC0C0-2253-4FE0-9493-DD386F7857FD}" = Nero Express
"{948FFAAE-C57F-447B-9B07-3721E950BFDC}" = Nero ShowTime
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{961D53EA-40DC-4156-AD74-25684CE05F81}" = Nero Installer
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A875B56-A35C-46BA-A3AA-DF8D03EE9F2F}" = Nero ControlCenter
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9CF4A37B-A8C4-44D7-8C53-13B9D9594BB2}" = Paint.NET v3.5.8
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{9F3523F8-DAD7-AE52-6DA7-45CDDDF33726}" = Advertising Center
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A73BEC3C-40A0-480E-87EF-EFCD33629088}" = NeroExpress
"{A8399F58-234A-48C6-BA55-30C15738BF3C}" = Nero CoverDesigner
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A8F7FCEF-3CA6-4CE9-8FEA-8BB18F8686F0}" = Nokia Ovi Suite Software Updater
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAA12554-2589-11DC-92EF-E98356D81493}" = Nero InfoTool
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AABBCC54-D8B1-11DC-92EF-E98356D81493}" = Nero DiscSpeed
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}" = Adobe Shockwave Player
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{AF844339-2F8A-4593-81B3-9F4C54038C4E}" = Windows Live MIME IFilter
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B2C12C8D-65DC-40BD-B309-5ADB0C6C8D8F}" = Nero WaveEditor
"{B6659DD8-00A7-4A24-BBFB-C1F6982E5D66}" = PlayStation(R)Network Downloader
"{B93DCF58-AA57-41EC-8D69-B05C66C6312D}_is1" = SUPER © v2011.build.48 (April 23, 2011) Version v2011.build.48
"{B96C2601-52F5-4D5D-816A-63469EA311EF}" = "Nero SoundTrax Help
"{BA4DF4C3-196E-4128-969A-00996B5A46F8}" = Canon MP500
"{BCD82AB5-670D-4242-90FA-1F97103C16CD}" = Movie Templates - Starter Kit
"{BEF7FC5C-0182-4DDE-BDDD-F7D132AB833D}" = Ovi Desktop Sync Engine
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}" = Vodafone Mobile Connect Lite
"{C99C89A3-119A-45E6-B26E-DD5643CAA0C5}" = Menu Templates - Starter Kit
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{CD1826A5-CFCC-4C6E-9F9D-E181876162EA}" = Nero Rescue Agent
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{CFF8B8E8-E086-4DE0-935F-FE22CAB54F80}" = Microsoft Search Enhancement Pack
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{D46D081B-F60E-467E-A7C4-117B70D76731}" = HP Update
"{D7C206B6-1A63-4389-A8B1-8F607D0BFF1F}" = Nero StartSmart Help
"{DDA3C325-47B2-4730-9672-BF3771C08799}_is1" = XMedia Recode Version 3.1.0.0
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}" = IDT Audio
"{E4A8DD87-A746-4443-BF25-CAF99CED6767}" = Nero Disc Copy Gadget
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{E86156E5-9859-440D-8876-26CED1349802}" = Nero WaveEditor Help
"{EA9FFE54-D8B1-11DC-92EF-E98356D81493}" = Nero BurnRights
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{EEA95E6C-6847-49BE-83C9-ED92D8E18983}" = HP QuickSync
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1D7AC58-554A-4A58-B784-B61558B1449A}" = QLBCASL
"{F38FD0E4-B991-462B-873D-F2115EADD093}" = Nokia PC Suite
"{F53F6769-AC46-49E3-ABE3-2C8AFD39D0DD}" = Nero Vision
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"6DA48AFDE796708D5A4C9121A83E7617A63A9A15" = Windows-Treiberpaket - Nokia Modem  (10/07/2010 4.6)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Any Video Converter_is1" = Any Video Converter 3.2.5
"Audacity_is1" = Audacity 1.2.6
"Audiograbber" = Audiograbber 1.83 SE 
"Avidemux 2.5" = Avidemux 2.5
"Avira AntiVir Desktop" = Avira Free Antivirus
"AviSynth" = AviSynth 2.5
"Broadcom 802.11 Wireless LAN Adapter" = Broadcom 802.11 Wireless LAN Adapter
"CCleaner" = CCleaner
"CDex" = CDex - Open Source Digital Audio CD Extractor
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2010-10-10
"DD4F47DF-6540-4BDA-BEAD-2B19250B0C48_is1" = FLAC to MP3 Converter 6.1.2
"DivX Setup" = DivX-Setup
"DivX Total Pack" = DivX Total Pack
"DVD Shrink_is1" = DVD Shrink 3.2
"DVDFab 8 Qt_is1" = DVDFab 8.0.9.2 (12/05/2011) Qt
"E5372C32E8562C76C24DBA6525002B1031495F34" = Windows-Treiberpaket - Nokia Modem  (06/09/2010 7.01.0.8)
"FastStone Photo Resizer" = FastStone Photo Resizer 3.1
"foobar2000" = foobar2000 v1.1.7
"HaaliMkx" = Haali Media Splitter
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"InstallShield_{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"Magic ISO Maker v5.5 (build 0281)" = Magic ISO Maker v5.5 (build 0281)
"MailRuSputnik" = Mail.Ru Спутник 2.4.0.504
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"MKVtoolnix" = MKVtoolnix 4.9.1
"Monkey's Audio_is1" = Monkey's Audio
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MP Navigator 2.0" = Canon MP Navigator 2.0
"Mp3tag" = Mp3tag v2.48
"MPE" = MyPhoneExplorer
"MPEG AVI DVD Cutter 1" = MPEG AVI DVD Cutter 1
"Nokia Ovi Suite" = Nokia Ovi Suite
"Nokia PC Suite" = Nokia PC Suite
"NSS" = NSS (remove only)
"PartyPoker" = PartyPoker
"PS3 Media Server" = PS3 Media Server
"PS3 Video 9" = PS3 Video 9 6
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Total Video Converter 3.11_is1" = Total Video Converter 3.11 070908
"Universal Document Converter" = Universal Document Converter 5.1
"Universal Document Converter_is1" = Universal Document Converter (Demo)
"Unlocker" = Unlocker 1.9.1
"uTorrent" = µTorrent
"Video Player1.0" = Video Player
"VirtualCloneDrive" = VirtualCloneDrive
"VLC media player" = VLC media player 2.0.1
"WildTangent hp Master Uninstall" = HP Games
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"Xilisoft DVD Ripper Ultimate 6" = Xilisoft DVD Ripper Ultimate 6
"Xilisoft Video Converter Ultimate 6" = Xilisoft Video Converter Ultimate 6
"xTube Video Downloader_is1" = xTube Video Downloader 3.25
"Xvid Video Codec 1.3.1" = Xvid Video Codec
"ZumoDrive" = HP CloudDrive
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.12.2011 01:44:01 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 04.12.2011 01:44:07 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
Error - 04.12.2011 01:44:15 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
Error - 04.12.2011 15:42:31 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 04.12.2011 16:47:46 | Computer Name = LARS-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 04.12.2011 16:51:25 | Computer Name = LARS-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Nokia\Nokia
 PC Suite 7\TIS_Windows7PIM.dll".  Die abhängige Assemblierung "Microsoft.VC80.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 05.12.2011 03:41:40 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 05.12.2011 18:00:30 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 05.12.2011 18:00:37 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
Error - 05.12.2011 18:00:45 | Computer Name = LARS-PC | Source = VMCService | ID = 0
Description = GetLoggedOnUser
 
[ Hewlett-Packard Events ]
Error - 02.09.2011 17:40:58 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 16.09.2011 14:22:48 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 16.09.2011 14:22:49 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 06.01.2012 14:22:02 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 06.01.2012 14:22:03 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 03.04.2012 11:12:29 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 03.04.2012 11:12:30 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 03.04.2012 11:13:19 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 03.04.2012 11:13:20 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
Error - 11.05.2012 15:40:54 | Computer Name = LARS-PC | Source = Hewlett-Packard | ID = 0
Description = de-DE Die Datei "C:\Program Files\Hewlett-Packard\HP Support Framework\Logs\SystemInfoAA.xml"
 konnte nicht gefunden werden. mscorlib    bei System.IO.__Error.WinIOError(Int32 
errorCode, String maybeFullPath)     bei System.IO.FileStream.Init(String path, FileMode
 mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32
 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, 
Boolean bFromProxy)     bei System.IO.FileStream..ctor(String path, FileMode mode,
 FileAccess access, FileShare share, Int32 bufferSize, FileOptions options)     bei
 System.IO.StreamReader..ctor(String path, Encoding encoding, Boolean detectEncodingFromByteOrderMarks,
 Int32 bufferSize)     bei System.IO.StreamReader..ctor(String path, Encoding encoding)

   bei System.IO.File.ReadAllText(String path, Encoding encoding)     bei n.a(Object
 A_0, EventArgs A_1) 
 
[ System Events ]
Error - 06.06.2012 05:08:20 | Computer Name = LARS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.06.2012 05:08:21 | Computer Name = LARS-PC | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avipbb  avkmgr  DfsC  discache  DVMIO  ElbyCDIO  NetBIOS  NetBT  nsiproxy  Psched  rdbss  spldr  ssmdrv
tdx
vwififlt
Wanarpv6
WfpLwf
 
Error - 06.06.2012 10:39:16 | Computer Name = LARS-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?06.?06.?2012 um 11:11:20 unerwartet heruntergefahren.
 
Error - 06.06.2012 10:39:23 | Computer Name = LARS-PC | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   avipbb  avkmgr  discache  DVMIO  ElbyCDIO  spldr  ssmdrv  Wanarpv6
 
Error - 06.06.2012 10:39:32 | Computer Name = LARS-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 06.06.2012 10:39:39 | Computer Name = LARS-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 06.06.2012 10:39:41 | Computer Name = LARS-PC | Source = Microsoft-Windows-WLAN-AutoConfig | ID = 10000
Description = Das WLAN-Erweiterungsmodul konnte nicht gestartet werden.    Modulpfad:
 C:\Windows\System32\bcmihvsrv.dll  Fehlercode: 21  
 
Error - 06.06.2012 10:39:43 | Computer Name = LARS-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 06.06.2012 10:39:43 | Computer Name = LARS-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 06.06.2012 10:39:46 | Computer Name = LARS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
 
< End of report >
         

--- --- ---



>>>> Habe mit Malwarebytes Anti-Malware den Scan durchgeführt und anschließend die Logfile gespeichert, danach habe ich die 6 infizierten Funde gelöscht.

Hab neu hochgefahren (normaler Modus mit dem 2. Benutzer, nicht Administrator), doch das Trojaner-Fenster kommt nach 2-3 Minuten weiterhin.

Aber Strg + Alt + Entf funktioniert - so sieht der Bildschirm dann aus:

------------------------------------[Computer sperren]
---------------------------------------[Abmelden]
------------------------------------[Kennwort ändern]

---------------------------------------[Abbrechen]


[Erleichterte Bedienung*]-------------------------------------[Herunterfahren][Optionen f. Herunterfahren**]


*= es öffntet sich ein Eingabefenster:

Administrator C:\Windows\system32\ultiman.exe

Microsoft Windows [Version 6.1.7601]
Copyright <c> 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>_


**= es erscheinen 4 Auswahlmöglichkeiten:

- Neu starten
- Energie sparen
- Ruhezustand
- Herunterfahren


>>>> nach ca. 1 Minute erscheint auf einmal wieder das Trojaner-Fenster

Hallo Petra!

Bevor der Trojaner erscheint, kann ich für einen kurzen Moment in mein Computer sehen. Dort waren immer auf mein Desktop ein Ordner "Sonstiges" von mir, und in dem Ordner waren u.a. 3 wichtige txt.-Dateien, die ich mit Notepad erstellt hatte. Jetzt sind in dem Ordner u.a. lauter Dateien aber ohne Datei-Endung. Also z.B. wie AdFmTiThDbeLrenFEWWDGgRRc - so sehen die ungefähr aus, 5-6 Dateien sind das. Buchstabensalat und das bei 5-6 Dateien. Öffnen mit dem Editor lassen sich nur max 3-4, die anderen sind zu groß (ca. 40mb) - aber auch da völlig unsinniger Zeichensalat wie %$§"""§$$§§$%*.
Ich glaube das waren mal die txt.-Dateien.

Kann man das irgendwie reparieren? Vielleicht wenn wir den Trojaner entfernt haben, das die txt. Dateien dann wieder da sind?

Petra, ich merkte gerade sämtliche Dateien (Videos, Bilder, Musik, Txt-Dateien usw.) sind alle verschlüsselt. Na toll......

Guten Morgen Lars1111,

Zitat:

Petra, ich merkte gerade sämtliche Dateien (Videos, Bilder, Musik, Txt-Dateien usw.) sind alle verschlüsselt. Na toll......

ach herrje, auch das noch.
Hast Du Backups Deiner wichtigen Dateien wie Bilder, Musik und Dokumente auf einer externen Festplatte?
Falls nein, haben wir ein Problem, denn wir wissen noch nicht sehr viel über diese neue Variante von Verschlüsselungstrojaner.

Hier mal mein Textbaustein dazu:

Solltest Du von der ganz neuen Variante betroffen sein, in welcher der Trojaner die Dateien mit einer wirren undefinierbaren Buchstabenreihenfolge ohne Endung verschlüsselt, wie beispielsweise VUVoxyULtjfEGq - DsDNavsOXulrTJegp oder tGsLUyGEfjsLUyxEVjs, sieht es derzeit noch düster aus. Es gibt noch kein Tool zur Entschlüsselung. Hier könnte unter Vista und Windows 7 die Wiederherstellung aus Schattenkopien der letzte Strohhalm sein. Hier findest Du eine bebilderte Anleitung vom Trojanerboard zum Wiederherstellen von Dateien über die Schattenkopien mit dem ShadowExplorer.

Sollte auch das nicht möglich sein, weil die Systemwiederherstellung nicht aktiviert ist oder der Dienst Volumeschattenkopie deaktiviert wurde, gibt es derzeit keine Möglichkeit der Datenrettung. Die Experten arbeiten an Tools zum Entschlüsseln und haben schon herausgefunden, dass u.a. die Seriennummer der Festplatte eine Rolle bei der Verschlüsselung spielt. Aus diesem Grund nutzt bei dieser Variante ein Image oder Backup der Dateien vermutlich eher wenig, weil dabei die Seriennummer der Festplatten nicht gespeichert wird. Auch der Schädling selbst könnte bei der Entschlüsselung eine große Rolle spielen, deshalb sollte derzeit nichts gelöscht werden.

Wir raten daher derzeit bei sehr wichtigen Daten dazu, die Festplatte komplett unberührt zu lassen und auszubauen, diese durch eine neue Festplatte zu ersetzen und Windows auf der neuen Festplatte neu zu installieren. Sollten später Tools herauskommen, die in der Lage sind, die Dateien wieder zu entschlüsseln, kann die alte Festplatte wieder eingebaut werden und die Daten entschlüsselt werden.


Weitere Lösungsansätze

Neben der Möglichkeit einzelne Dateien mit dem SchadowExplorer aus den Schattenkopien (nur Vista und Windows 7) zu restaurieren, gibt es für einige Dateitypen einzelne Lösungsansätze:

• MP3: Bei diesem Dateityp muss nur die Extension angehängt werden.
  Durch Datenstrom und Header/Metainformationen lassen die sich MP3-Dateien weiterhin abspielen (vielleicht ein kurzes Knacken am Anfang).
  Mit dem uralten Tool PropertiesPlus ist das schnell auch für ganze Verzeichnisse gemacht.
  
  Beschreibung:
  Zitat:

  Dieses Werkzeug ist eine nützliche Erweiterung des Windows Explorers mit folgenden Eigenschaften:
  
  Änderung der Attribute: Archiv, Schreibgeschützt, System und Versteckt
  Selektierung eines Datums für die Erstellung, Veränderung und des letzten Zugriffes auf eine Datei.
  Umbennen der Dateiendungen (file extensions) selektierter Dateien eines Ordners
  Anzeige der Dateigrösse und des aktuellen Pfades
  
  Nach der Installation erhält das Kontextmenü der rechten Maustaste einen zusätzlichen Eintrag mit dem Menü Properties Plus.
  Man braucht nur noch die gewünschte/n Datei/en zu markieren und mit der rechten Maustaste das Kontextmenü zu aktivieren, um das Programm zu starten.

  Ich habe es unter Windows 7 getestet, läuft einwandfrei.
  Installieren und einfach im Windows-Explorer die gewünschten Dateien markieren.
  Dann Rechtsklick und PropertiesPlus wählen.
  Im Fenster von PropertiesPlus einen Haken bei Extension machen und als Endung mp3 eintragen.
  Ok klicken, das wars.
  Alle markierten bzw. ausgewählten Dateien werden mit der Endung .mp3 versehen und sollten wieder abspielbar sein.
  
  
  
  
  
  
  
• JPG: Reparatur möglich mit JPEGsnoop (nur für Einzeldateien).
  Es gibt auch ein Tool für ganze Verzeichnisse, das befindet sich allerdings noch im Betastadium.
  
  
• PST: Anleitung zur Reparatur von Outlook-.pst-Dateien.
  
  
• Office-Dokumente: Anleitung zur Reparatur von Office-Dokumenten.

Wir müssen jetzt überlegen, was am besten zu tun ist. Die zurzeit sicherste Variante wäre es, die Festplatte auszubauen und Windows auf einer neuen Festplatte neu zu installieren. Somit stünden alle nötigen Dateien zur Verfügung, so es mal ein Entschlüsselungs-Tool geben sollte. Wobei in dem Fall auch besser gewesen wäre, ich hätte Dir nicht zu MBAM geraten, aber die gelöschten Dateien sind ja noch in Quarantäne.

Alternative wäre, den Rechner soweit möglich zu bereinigen und somit zu riskieren, dass Dateien endgültig verloren gehen. Oben habe ich verschiedene Lösungsansätze gepostet, die bei einzelnen Dateitypen greifen könnten.

Eine weitere Alternative wäre es, Windows 7 auf einer zweiten Partition erneut zu installieren, dann nur noch von dieser neu installierten Windows-Version zu booten und erst wenn es ein Entschlüsselungstool gibt, die alte Partion booten und dann entschlüsseln.

Die Entscheidung, welche Version wir durchführen, kann ich Dir leider nicht abnehmen.

Vielen Dank, Petra! Aber bitte sei mir nicht böse, ich werde Windows auf mein Netbook neu installieren! Hab kann keine Nerven mehr für die Rettung meiner Dateien aufbringen. Und der Trojaner ist immer noch nicht weg.

Habe ohnehin nicht viel Ahnung von der Materie....

Ist zwar schade um meine Daten, aber dann sie sie halt weg!

Trotzdem vielen Dank für deine Hilfe!!

Werde in Zukunft besser aufpassen müssen, welche Anhänge ich von welchen Emails abspeichere.

Eine Frage habe ich noch: Ist der Trojaner dann wenigstens weg, wenn Windows neu installiert wurde?

Danke.

EDIT:

Hallo Petra, ich werde noch etwas warten mit der Neuinstallation, weil sich jemand auf meine Suchanfrage gemaldet hat, weil ich fragte wer sich diesen E-Mail Anhang, den ich bekam, mal genauer angucken möchte.
Mal sehen was dabei heraus kommt...

Ich werde den Anhang dann an virus@trojaner-board.de senden.

Hallo Lars1111,

ok, wenn Du eh noch nicht neu aufsetzt und den Verlust einiger Dateien verschmerzen kannst, können wir auf jeden Fall schonmal einen ersten Fix mit OTL probieren:


===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\Users\LARS\AppData\Roaming\11001
[2012.03.23 16:15:01 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Programme\Mozilla Firefox\extensions\quickstores@quickstores.de
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\6B3ED4C05C9A3BBD6460.exe) - C:\Windows\System32\6B3ED4C05C9A3BBD6460.exe (Adobe Systems Incorporated)
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL) -  File not found
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No CLSID value found.
[2012.06.05 14:03:51 | 000,081,920 | -H-- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\6B3ED4C05C9A3BBD6460.exe
[2012.06.05 14:08:47 | 000,000,177 | ---- | M] () -- C:\qsnnVVjxEvXOlQaEUqsL
[2012.05.11 21:50:50 | 000,481,078 | ---- | M] () -- C:\Windows\System32\winsh323
[2012.05.11 21:50:40 | 000,481,078 | ---- | M] () -- C:\Windows\System32\winsh322
[2012.05.11 21:50:32 | 000,481,078 | ---- | M] () -- C:\Windows\System32\winsh321
[2012.05.11 21:50:22 | 000,481,078 | ---- | M] () -- C:\Windows\System32\winsh320
[2012.06.05 14:05:35 | 000,481,078 | ---- | C] () -- C:\Windows\System32\winsh325
[2012.06.05 14:05:35 | 000,481,078 | ---- | C] () -- C:\Windows\System32\winsh324
[2012.06.05 14:38:34 | 000,000,177 | -H-- | C] () -- C:\dvmexp.idx

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


===== Punkt 2 =====

Einträge mit HijackThis fixen

Bitte alle Anwendungen inkl. Browser schließen.
Folgende Einträge mit HJT fixen (falls noch vorhanden):
Starte HijackThis (bei Vista mit Rechtsklick als Adminstrator)
Hijackthis solltest Du hier finden => C:\Programme\Trend Micro\HijackThis\<hijackthis> oder <Benutzername>.exe
=> Do a system scan only => mache vor folgenden Zeilen einen Haken klicke und dann "Fix checked":

Code: Alles auswählenAufklappen

ATTFilter

  
O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT ()
O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\DEFAULT.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SAM.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SECURITY.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SOFTWARE.LOG2 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM.LOG1 ()
O4 - Startup: C:\Windows\System32\config\RegBack\SYSTEM.LOG2 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\Anwendungsdaten [2011.01.30 10:48:10 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\AppData [2009.07.14 06:36:39 | 000,000,000 | --SD | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Contacts [2011.02.10 11:13:25 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Cookies [2011.01.30 10:48:10 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Desktop [2012.06.06 16:40:13 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Links [2011.02.10 11:13:26 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Lokale Einstellungen [2011.01.30 10:48:10 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG1 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat.LOG2 ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{ec822514-9b37-11de-8f89-806e6f6e6963}.TM.blf ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{ec822514-9b37-11de-8f89-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\systemprofile\ntuser.dat{ec822514-9b37-11de-8f89-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\systemprofile\Saved Games [2011.02.10 11:13:26 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\systemprofile\Searches [2011.02.10 11:13:25 | 000,000,000 | R--D | M]
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.0.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.1.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.2.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced300-6e01-11de-8bed-001e0bcd1824}.TxR.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TM.blf ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Windows\System32\config\TxR\{6cced301-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()
         

Den Rechner neu starten.

Hab den Abgesicherten Modus mit Netzwerkunterstützung, da im normalen Modus immer noch nach 1-2 min das Trojanerfenster kommt.

Punkt 1:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\Users\LARS\AppData\Roaming\11001 not found.
C:\Programme\Mozilla Firefox\extensions\quickstores@quickstores.de\chrome folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\quickstores@quickstores.de folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Windows\system32\6B3ED4C05C9A3BBD6460.exe deleted successfully.
C:\Windows\System32\6B3ED4C05C9A3BBD6460.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}\ not found.
File C:\Windows\System32\6B3ED4C05C9A3BBD6460.exe not found.
C:\qsnnVVjxEvXOlQaEUqsL moved successfully.
C:\Windows\System32\winsh323 moved successfully.
C:\Windows\System32\winsh322 moved successfully.
C:\Windows\System32\winsh321 moved successfully.
C:\Windows\System32\winsh320 moved successfully.
C:\Windows\System32\winsh325 moved successfully.
C:\Windows\System32\winsh324 moved successfully.
C:\dvmexp.idx moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Windows\system32\config\systemprofile\Desktop\cmd.bat deleted successfully.
C:\Windows\system32\config\systemprofile\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Journal
-> No Temporary Internet Files cache folder defined!
 
User: RegBack
-> No Temporary Internet Files cache folder defined!
 
User: systemprofile
-> No Temporary Internet Files cache folder defined!
 
User: TxR
-> No Temporary Internet Files cache folder defined!
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 27158 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.46.1 log created on 06082012_120753

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Mit Punkt 2 komme ich einfach nicht klar.

HHallo Lars,

meine Schuld, die Anleitung war unvollständig ;-)

HijackThis installieren

Lade HijackThis Version 2.04 von TrendMicro herunter. Starte den Installer mit einem Doppelklick auf die Datei HiJackThis.msi. Das folgende Fenster mit Install bestätigen, damit das Programm in einen eigenen Ordner installiert wird (nicht auf dem Desktop, sondern in den vorgegebenen Pfad). HJT muss in einem eigenen Ordner laufen, damit evtl. falsch gefixte Einträge wiederhergestellt werden können.

Anleitung: HijackThis

Dann arbeitest Du den Punkt 2 ab.

Petra, ich hab keine Nerven mehr, sogar die Recovery Partition ist kaputt, geht gar nichts mehr, wie soll ich jetzt windows neu installieren? Das alles nur wegen diesen E-Mails. Haben die keine Hobbys?

Hallo Lars,

ich verstehe Deine Aufregung, ist echt Mist, was die Schreiber von solchen Schädlingen abziehen, aber hier hilft leider nur, die Ruhe zu bewahren. Da kann man schon verzweifeln, keine Frage. Ich weiß, willst Du gerade sicher nicht hören, aber am besten erstmal in Ruhe ein Käffchen/Tee oder sonstwas trinken, eine Weile entspannen und dann wieder ran an den Versuch, das System wieder funktionsfähig zu bekommen.

Um was für einen Computer genau handelt es sich? Typ, Modell wären gut.

Und versuche trotzdem bitte noch, den Punkt 2 zu erledigen.

Hallo Petra, bitte sei nicht böse, ich hab das System neu aufgesetzt & Windows XP Home installiert, was ich auch auf diesen PC hier habe. Und so wie es aussieht läuft alles recht gut! Manche Menschen, so wie du, haben einfach bessere Nerven und mehr Durchblick.
Ich hingegen noch nicht. Ich habe aber die Anhänge samt E-Mails zu eurer E-Mail Adresse geschickt. So könnt ihr wenigstens versuchen mehr über die Schädlinge herauszufinden und so den anderen helfen, die von den gleichen Mails heimgesucht wurden

Danke dir für alles!

Ich weiß nicht ob das jetzt noch was bringt.

Hersteller: HP
Modell: HP Mini 210-1020eg
Bildschirmdiagonale: 25,7cm (10,1")
Prozessor: Intel Atom N450 1.6GHz
Arbeitsspeicher: 1GB RAM
Festplatte: 250GB HDD
Grafikchip: Intel GMA 3150
Betriebssystem: Win 7 Starter
Farbe: Silber



Ich glaub es nicht, bekam grad schon wieder eine E-Mail samt Trojaner!

Betreff: Lars #### Mitgliedskonto 74932731217
Anhang: 08_2012.zip (mit Sicherheit ein Trojaner)
Inhalt: Guten Tag Lars ####,

Danke für Ihren Kauf bei fotokasten GmbH, nachfolgend finden Sie Ihre Bezahbestätigung.

Ihre Bestellnummer: 584737195828
Bestellung: Siemens 5474800925 8482,83 Euro
Rechnung auf: Lars ####
Abbuchung erfolgt durch: Mastercard

Adresse und detaillierte Rechnungsdaten finden Sie zwecks Sicherheitsmaßnahmen in beigefügtem Anhang.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgeschrieben.
Kaufeinzelheiten und Widerspruch Erklärung finden Sie im Anhang.


Dein Kunden-Support

Berger GmbH
Dahrendorfweg 69
43508 Bielefeld

Telefon: (+49) 192 1049327
(Mo-Fr 10.00 - 16.00 Uhr, Sa 9.00 bis 16.00 Uhr)
Gesellschaftssitz Arnsberg
Umsatzsteuer-Id: CH895133703
Geschäftsleiter: Julian Haas

>>> Ich hab nicht mal eine Mastercard!

Aber wird diesmal sofort gelöscht!

Absender: info@sassonericambi.it