|
Plagegeister aller Art und deren Bekämpfung: Auch GVU-Trojaner? (aber ein wenig anders...)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.07.2012, 17:13 | #1 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Hallo liebe Leute, Problembeschreibung: Gestern abend popt plötzlich eine Seite im Kioskmode auf, die behauptet den Rechner gesperrt zu haben, mit ellenlangem Text über Paragraphen von verbotenen Dingen und einem netten Bild meiner Webcam in der rechten oberen Ecke. Ich war gerade nicht am Rechner als das passierte, sah es aber aus dem Augenwinkel und nachdem ich mir die Seite kurz angesehen hatte, war ich doch ein wenig erschrocken. Diese Seite ließ sich nicht weg klicken, strg+alt+entf ging auch nicht, also habe ich kurzerhand die Internetverbindung gekappt und den Rechner stromlos gemacht. Ein Telefonat mit einem Freund, der dann für mich googlete ergab, dass ich mir wohl einen Trojaner eingefangen habe. Aber eben GVU-Trojaner mit Webcambild und ohne Geldforderung (zumindest habe ich keine gesehen). Kurz darauf habe ich den Rechner wieder gestartet (ich hatte normalen Zugriff, wie jetzt auch) und erstmal wild nach verdächtigen Dateien gesucht. Mein Virenscanner (Avira) meldete eine versteckte Datei, welche ich mit der Avira Rescue CD entfernen wollte. Dumm nur, dass diese CD nicht funktioniert. Gerade im Moment läuft der Virenscan wieder. Bisher meldet er ein verstecktes Objekt und 4 Funde (EXP/0507.BX.2, JAVA/Dldr.Lama.AE.1, EXP/JAVA.Ternub.Gen, EXP/2008-5353.CN). Sieht mächtig verseucht aus... Wie werde ich diese Dinger wieder los? Und ist einer dieser 4 Funde dieser GVU-Trojaner oder kommt der noch oben drauf und wurde von Avira gar nicht entdeckt? Wäre sehr dankbar für Hilfe, die mich da durch lotst, bin eben doch nur ein DAU. Platte putzen würde ich gerne vermeiden, wenn es geht. Danke schonmal im voraus! Ach ja, falls ich etwas vergessen habe zu erwähnen, wäre nett wenn ihr einfach fragt, werde nach bestem Wissen antworten. P.S.: OS ist Win 7 Home premium 64 bit. Geändert von Moicke (03.07.2012 um 17:32 Uhr) |
03.07.2012, 19:35 | #2 |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) poste bitte das scan log.
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex netsvcs msconfig %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs CREATERESTOREPOINT
__________________ |
03.07.2012, 20:04 | #3 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Ich hoffe du meinst das Avira-Log?
__________________Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 3. Juli 2012 14:24 Es wird nach 3826712 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Computername : Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 18:07:35 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 18:07:35 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 18:07:41 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:07:43 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:06:50 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:41:15 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:47:03 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:16:11 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:16:11 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:16:11 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:16:11 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:16:12 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:16:12 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:16:12 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:16:12 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:16:12 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 19:09:43 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 19:09:44 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 19:09:44 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 19:09:44 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 19:09:44 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 19:09:44 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 19:09:44 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 19:09:44 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 19:09:44 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 19:09:44 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 19:09:44 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 19:09:44 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 19:09:44 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 19:09:44 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 19:09:44 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 19:09:44 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 19:09:45 VBASE031.VDF : 7.11.34.220 2048 Bytes 02.07.2012 19:09:45 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:15:40 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:17:46 AESCN.DLL : 8.1.8.2 131444 Bytes 16.03.2012 21:45:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 18:19:38 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:17:43 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:18:10 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 18:18:05 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:16:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 18:19:35 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 18:18:11 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:19:00 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 18:07:33 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 18:07:35 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:07:43 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 18:07:34 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 18:07:35 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 18:07:42 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 18:07:36 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 18:07:41 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 18:07:34 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 18:07:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Q:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 99 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM), Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Dienstag, 3. Juli 2012 14:24 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf nach versteckten Objekten wird begonnen. Versteckter Treiber [HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MGSysCtrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ImpWiFiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSIService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\windows\system32\svchost.exe' Signiert -> 'C:\windows\system32\winlogon.exe' Signiert -> 'C:\windows\explorer.exe' Signiert -> 'C:\windows\system32\smss.exe' Signiert -> 'C:\windows\system32\wininet.DLL' Signiert -> 'C:\windows\system32\wsock32.DLL' Signiert -> 'C:\windows\system32\ws2_32.DLL' Signiert -> 'C:\windows\system32\services.exe' Signiert -> 'C:\windows\system32\lsass.exe' Signiert -> 'C:\windows\system32\csrss.exe' Signiert -> 'C:\windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\windows\system32\spoolsv.exe' Signiert -> 'C:\windows\system32\alg.exe' Signiert -> 'C:\windows\system32\wuauclt.exe' Signiert -> 'C:\windows\system32\advapi32.DLL' Signiert -> 'C:\windows\system32\user32.DLL' Signiert -> 'C:\windows\system32\gdi32.DLL' Signiert -> 'C:\windows\system32\kernel32.DLL' Signiert -> 'C:\windows\system32\ntdll.DLL' Signiert -> 'C:\windows\system32\ntoskrnl.exe' Signiert -> 'C:\windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Windows\Sysnative\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Die Registry wurde durchsucht ( '1472' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <OS_Install> C:\Program Files (x86)\WinRAR 3.61 Multi\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\1d05b880-3a2e1af8 [0] Archivtyp: ZIP --> lla/lla.class [FUND] Enthält Erkennungsmuster des Exploits EXP/0507.BX.2 --> lla/llb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lama.AE.1 --> lla/llc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\6dec9624-5d534fd0 [0] Archivtyp: ZIP --> q_a/q_a.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CN Beginne mit der Suche in 'D:\' <Data> D:\Installation\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Suche in 'Q:\' Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden! Systemfehler [5]: Zugriff verweigert Beginne mit der Desinfektion: C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\6dec9624-5d534fd0 [FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CN [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56a1b9a7.qua' verschoben! C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\1d05b880-3a2e1af8 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e4d9601.qua' verschoben! Ende des Suchlaufs: Dienstag, 3. Juli 2012 18:03 Benötigte Zeit: 3:38:00 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 28961 Verzeichnisse wurden überprüft 676561 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 676556 Dateien ohne Befall 7227 Archive wurden durchsucht 3 Warnungen 3 Hinweise 77039 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden Thx so far! |
03.07.2012, 20:09 | #4 |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) wenn du noch mehr erstellt hast, dann die auch :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
03.07.2012, 20:49 | #5 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Malwarebytes-Log: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 ********* :: ********* [Administrator] Schutz: Aktiviert 03.07.2012 19:11:44 mbam-log-2012-07-03 (19-11-44).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 359686 Laufzeit: 2 Stunde(n), 14 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) OTL-Log Code:
ATTFilter OTL logfile created on: 03.07.2012 22:41:13 - Run 1 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\**********\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,79 Gb Total Physical Memory | 2,61 Gb Available Physical Memory | 68,83% Memory free 7,59 Gb Paging File | 5,92 Gb Available in Paging File | 78,01% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 172,19 Gb Total Space | 114,55 Gb Free Space | 66,52% Space Free | Partition Type: NTFS Drive D: | 114,80 Gb Total Space | 108,40 Gb Free Space | 94,43% Space Free | Partition Type: NTFS Computer Name: ********** | User Name: ********** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.03 20:48:11 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe PRC - [2012.06.11 06:15:08 | 000,686,280 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe PRC - [2012.05.08 20:07:42 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.08 20:07:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.08 20:07:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) -- C:\Program Files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe PRC - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe PRC - [2010.03.04 05:16:06 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe PRC - [2010.03.04 05:16:04 | 000,284,696 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe PRC - [2010.02.05 22:39:10 | 002,408,448 | ---- | M] (Micro-Star International Co., Ltd.) -- C:\Program Files (x86)\System Control Manager\MGSysCtrl.exe PRC - [2010.01.15 14:49:20 | 000,255,536 | ---- | M] (McAfee, Inc.) -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe PRC - [2009.12.02 22:23:38 | 000,209,768 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe PRC - [2009.12.02 22:23:32 | 000,483,688 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe PRC - [2009.10.01 06:01:32 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe PRC - [2009.10.01 06:01:30 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe PRC - [2009.07.10 00:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) -- C:\Program Files (x86)\System Control Manager\MSIService.exe ========== Modules (No Company Name) ========== MOD - [2012.06.13 17:28:09 | 012,436,480 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\7b7fbe651c6e72f12099a298654c9594\System.Windows.Forms.ni.dll MOD - [2012.06.13 17:27:56 | 001,591,808 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\6bb439b3f87736d3248ae27d43e2c0d6\System.Drawing.ni.dll MOD - [2012.05.11 19:54:32 | 000,452,608 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\635b3aec298ad5e8c903b2323d79cc5a\IAStorUtil.ni.dll MOD - [2012.05.11 06:22:58 | 000,771,584 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\03dee80574f4ec770b6f77ca030ded6c\System.Runtime.Remoting.ni.dll MOD - [2012.05.11 06:21:48 | 003,347,968 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\46fce56db7685a586d3eeb7c373e3c1c\WindowsBase.ni.dll MOD - [2012.05.11 06:21:40 | 005,452,800 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml\ba3d70b651454c7d49b407b93663bfed\System.Xml.ni.dll MOD - [2012.05.11 06:21:34 | 000,971,264 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\cfa9c506bfb9254c89dace7b83bc9f9d\System.Configuration.ni.dll MOD - [2012.05.11 06:21:32 | 007,967,232 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System\ce9ff6baf9053ed2ed673d948179195c\System.ni.dll MOD - [2012.05.11 06:21:21 | 011,492,864 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\mscorlib\acfc1391e45fedd2a359778ea57d914c\mscorlib.ni.dll MOD - [2010.11.13 02:08:41 | 000,315,392 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ========== Win32 Services (SafeList) ========== SRV:64bit: - [2009.07.14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) SRV - [2012.06.17 13:03:38 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.06.07 19:12:14 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.05.08 20:07:42 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.08 20:07:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2011.11.25 16:32:36 | 000,687,400 | ---- | M] (Nero AG) [Auto | Stopped] -- C:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate) @C:\Program Files (x86) SRV - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) [Auto | Running] -- C:\Program Files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe -- (TGCM_ImportWiFiSvc) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2010.03.04 05:16:06 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R) SRV - [2009.12.02 22:23:38 | 000,209,768 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa) SRV - [2009.12.02 22:23:32 | 000,483,688 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist) SRV - [2009.10.01 06:01:32 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R) SRV - [2009.10.01 06:01:30 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R) SRV - [2009.07.10 00:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) [Auto | Running] -- C:\Program Files (x86)\System Control Manager\MSIService.exe -- (Micro Star SCM) SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\msi\msi Software Install\MGHwCtrl.sys -- (MGHwCtrl) DRV:64bit: - [2012.05.08 20:07:43 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.05.08 20:07:43 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2012.04.04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2012.01.10 23:28:18 | 012,311,904 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2011.10.02 07:44:41 | 000,526,392 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) DRV:64bit: - [2011.09.16 17:08:07 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2011.06.10 07:34:52 | 000,539,240 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2010.10.09 08:49:52 | 000,085,504 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ew_jubusenum.sys -- (huawei_enumerator) DRV:64bit: - [2010.08.31 12:09:00 | 000,256,000 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbnet.sys -- (ewusbnet) DRV:64bit: - [2010.08.07 11:49:04 | 000,121,600 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbmdm.sys -- (hwdatacard) DRV:64bit: - [2010.07.27 03:52:16 | 000,117,248 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys -- (ew_hwusbdev) DRV:64bit: - [2010.05.10 10:42:06 | 000,271,872 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud) Intel(R) DRV:64bit: - [2010.05.10 10:42:06 | 000,158,976 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Impcd.sys -- (Impcd) DRV:64bit: - [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2010.02.08 22:10:02 | 000,855,328 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\netr28x.sys -- (netr28x) DRV:64bit: - [2010.01.07 14:46:20 | 000,302,128 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP) DRV:64bit: - [2009.12.05 03:50:22 | 000,087,888 | ---- | M] (ENE Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\EUCR6SK.sys -- (EUCR) DRV:64bit: - [2009.12.02 22:23:38 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol) DRV:64bit: - [2009.12.02 22:23:34 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir) DRV:64bit: - [2009.12.02 22:23:32 | 000,269,672 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay) DRV:64bit: - [2009.12.02 22:23:26 | 000,721,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs) DRV:64bit: - [2009.09.17 22:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Intel(R) DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.05.26 23:32:04 | 000,019,968 | ---- | M] (ArcSoft, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ArcSoftKsUFilter.sys -- (ArcSoftKsUFilter) DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {350E87B0-6B6D-4907-8569-825F0DFDC196} IE:64bit: - HKLM\..\SearchScopes\{350E87B0-6B6D-4907-8569-825F0DFDC196}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=MSITDF&pc=MAMI&src=IE-SearchBox IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {21061388-E187-497A-BE9B-C75BAFC8EDA6} IE - HKLM\..\SearchScopes\{21061388-E187-497A-BE9B-C75BAFC8EDA6}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=MSITDF&pc=MAMI&src=IE-SearchBox IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://msi.msn.com IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\..\URLSearchHook: {64ead72b-ffd4-4e01-aa3a-4c71665d73e4} - No CLSID value found IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\..\SearchScopes,DefaultScope = {21061388-E187-497A-BE9B-C75BAFC8EDA6} IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 203.42.246.231:80 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2849855&SearchSource=2&q=" FF - prefs.js..network.proxy.type: 0 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/VirtualEarth3D,version=4.0: C:\Program Files (x86)\Virtual Earth 3D\ File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 13:03:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.05.24 15:10:42 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 13:03:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.05.24 15:10:42 | 000,000,000 | ---D | M] [2012.06.15 23:11:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Extensions [2012.06.15 23:11:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Extensions\{a79fe89b-6662-4ff4-8e88-09950ad4dfde} [2012.07.03 00:08:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Firefox\Profiles\ew4cbln8.default\extensions [2012.05.27 12:01:36 | 000,000,000 | ---D | M] (BittorrentBar_DE Community Toolbar) -- C:\Users\**********\AppData\Roaming\mozilla\Firefox\Profiles\ew4cbln8.default\extensions\{64ead72b-ffd4-4e01-aa3a-4c71665d73e4} [2012.03.18 10:27:02 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2012.06.17 13:03:38 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.10.14 11:08:22 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.14 11:08:22 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.10.14 11:08:22 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.10.14 11:08:22 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.14 11:08:22 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.14 11:08:22 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-3706501026-331518204-1113534185-1000\..\Toolbar\WebBrowser: (no name) - {64EAD72B-FFD4-4E01-AA3A-4C71665D73E4} - No CLSID value found. O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4:64bit: - HKLM..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [MGSysCtrl] C:\Program Files (x86)\System Control Manager\MGSysCtrl.exe (Micro-Star International Co., Ltd.) O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} hxxp://www.myheritage.de/Genoogle/Components/ActiveX/SearchEngineQuery.dll (CSEQueryObject Object) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6C03A682-E5FA-4229-BB04-D09BB49ACB23}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C41CFFDC-6F65-4E6A-B26F-AE8A933F2B25}: DhcpNameServer = 192.168.1.1 O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\windows\SysNative\igfxdev.dll (Intel Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{0332c5d3-ba28-11e0-8dc2-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{0332c5d3-ba28-11e0-8dc2-6c626d29b8b0}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true O33 - MountPoints2\{165ab91e-8289-11e1-8a6a-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{165ab91e-8289-11e1-8a6a-6c626d29b8b0}\Shell\AutoRun\command - "" = F:\AutoRun.exe O33 - MountPoints2\{165ab92d-8289-11e1-8a6a-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{165ab92d-8289-11e1-8a6a-6c626d29b8b0}\Shell\AutoRun\command - "" = F:\AutoRun.exe O33 - MountPoints2\{d30c04c0-ecb9-11e0-8345-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{d30c04c0-ecb9-11e0-8345-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Setup.exe O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Windows Media Player 5.2 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP MsConfig:64bit - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found MsConfig:64bit - StartUpReg: ArcSoft Connection Service - hkey= - key= - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) MsConfig:64bit - StartUpReg: DAEMON Tools Lite - hkey= - key= - File not found MsConfig:64bit - State: "bootini" - Reg Error: Key error. MsConfig:64bit - State: "services" - Reg Error: Key error. MsConfig:64bit - State: "startup" - Reg Error: Key error. CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.07.03 22:35:21 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe [2012.07.03 19:03:45 | 000,000,000 | ---D | C] -- C:\Users\**********\AppData\Roaming\Malwarebytes [2012.07.03 19:03:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.07.03 19:03:35 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\windows\SysNative\drivers\mbam.sys [2012.07.03 19:03:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.07.03 19:03:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2012.07.03 13:46:22 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee Security Scan [2012.07.03 13:46:22 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee [2012.06.23 17:33:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiskInternals [2012.06.23 15:23:45 | 000,000,000 | ---D | C] -- C:\Users\**********\AppData\Local\Macromedia [2012.06.15 22:53:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dictionary [2012.06.11 14:34:42 | 000,140,800 | ---- | C] (The Duck Corporation) -- C:\windows\SysWow64\tm20dec.ax [2012.06.11 14:34:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeLL me Again-Reihe [2012.06.09 21:06:20 | 000,000,000 | -H-D | C] -- C:\Users\**********\Desktop\Fortbildung [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.03 20:48:11 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe [2012.07.03 16:24:27 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2012.07.03 14:06:15 | 000,017,376 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.07.03 14:06:15 | 000,017,376 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.07.03 13:58:42 | 3056,099,328 | -HS- | M] () -- C:\hiberfil.sys [2012.07.03 13:58:07 | 000,003,288 | ---- | M] () -- C:\bootsqm.dat [2012.07.01 11:19:40 | 000,996,044 | ---- | M] () -- C:\Users\**********\Desktop\xxxxxx.pdf [2012.06.29 16:58:22 | 000,069,795 | ---- | M] () -- C:\Users\**********\Desktop\fahrplanauskunft_ xxxxx.pdf [2012.06.29 16:58:06 | 000,069,829 | ---- | M] () -- C:\Users\**********\Desktop\fahrplanauskunf xxxxxxx.pdf [2012.06.25 15:18:27 | 000,000,017 | ---- | M] () -- C:\windows\SysWow64\shortcut_ex.dat [2012.06.24 13:09:45 | 000,090,737 | ---- | M] () -- C:\Users\**********\Desktop\Smileys.pdf [2012.06.24 10:46:36 | 000,027,792 | ---- | M] () -- C:\Users\**********\Desktop\smiley20sad.jpg [2012.06.24 10:44:12 | 000,039,324 | ---- | M] () -- C:\Users\**********\Desktop\Smiley gut.jpg [2012.06.17 10:56:10 | 000,348,374 | ---- | M] () -- C:\Users\**********\Documents\**********.de-fr-vtu [2012.06.13 17:21:22 | 000,282,888 | ---- | M] () -- C:\windows\SysNative\FNTCACHE.DAT [2012.06.13 09:20:51 | 001,521,530 | ---- | M] () -- C:\windows\SysNative\PerfStringBackup.INI [2012.06.13 09:20:51 | 000,654,666 | ---- | M] () -- C:\windows\SysNative\perfh007.dat [2012.06.13 09:20:51 | 000,616,508 | ---- | M] () -- C:\windows\SysNative\perfh009.dat [2012.06.13 09:20:51 | 000,130,248 | ---- | M] () -- C:\windows\SysNative\perfc007.dat [2012.06.13 09:20:51 | 000,106,630 | ---- | M] () -- C:\windows\SysNative\perfc009.dat [2012.06.12 14:18:06 | 000,184,328 | ---- | M] () -- C:\windows\SysWow64\T7M6S0.TAL [2012.06.12 14:18:00 | 000,138,332 | ---- | M] () -- C:\windows\SysWow64\0R75L0.TAL [2012.06.08 23:15:20 | 000,000,011 | ---- | M] () -- C:\trace.ini [2012.06.05 09:35:22 | 000,241,798 | ---- | M] () -- C:\Users\**********\Desktop\xxxxxxxxxxxxx.pdf [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.03 13:58:07 | 000,003,288 | ---- | C] () -- C:\bootsqm.dat [2012.07.01 11:19:40 | 000,996,044 | ---- | C] () -- C:\Users\**********\Desktop\xxxxxxxxxx.pdf [2012.06.29 16:58:22 | 000,069,795 | ---- | C] () -- C:\Users\**********\Desktop\fahrplanauskunft_ xxxxx.pdf [2012.06.29 16:58:06 | 000,069,829 | ---- | C] () -- C:\Users\**********\Desktop\fahrplanauskunf xxxxxxx.pdf [2012.06.25 15:18:26 | 000,000,017 | ---- | C] () -- C:\windows\SysWow64\shortcut_ex.dat [2012.06.24 13:09:43 | 000,090,737 | ---- | C] () -- C:\Users\**********\Desktop\Smileys.pdf [2012.06.24 10:46:36 | 000,027,792 | ---- | C] () -- C:\Users\**********\Desktop\smiley20sad.jpg [2012.06.24 10:44:09 | 000,039,324 | ---- | C] () -- C:\Users\**********\Desktop\Smiley gut.jpg [2012.06.13 09:24:22 | 000,348,374 | ---- | C] () -- C:\Users\**********\Documents\**********.de-fr-vtu [2012.06.11 14:48:50 | 000,184,328 | ---- | C] () -- C:\windows\SysWow64\T7M6S0.TAL [2012.06.11 14:48:45 | 000,138,332 | ---- | C] () -- C:\windows\SysWow64\0R75L0.TAL [2012.06.11 14:34:36 | 000,010,240 | ---- | C] () -- C:\windows\SysWow64\vidx16.dll [2012.06.11 14:34:36 | 000,005,672 | ---- | C] () -- C:\windows\SysWow64\quartz.vxd [2012.06.08 23:15:20 | 000,000,011 | ---- | C] () -- C:\trace.ini [2012.06.05 09:35:22 | 000,241,798 | ---- | C] () -- C:\Users\**********\Desktop\xxxxxxxxxxx.pdf [2012.01.10 22:29:54 | 013,904,384 | ---- | C] () -- C:\windows\SysWow64\ig4icd32.dll [2011.10.21 18:27:54 | 000,867,020 | ---- | C] () -- C:\windows\SysWow64\igkrng575.bin [2011.10.21 18:27:54 | 000,128,204 | ---- | C] () -- C:\windows\SysWow64\igcompkrng575.bin [2011.10.21 18:27:54 | 000,105,608 | ---- | C] () -- C:\windows\SysWow64\igfcg575m.bin [2011.08.04 12:40:47 | 004,020,924 | ---- | C] () -- C:\windows\SysWow64\PerfStringBackup.INI [2011.07.29 23:55:03 | 000,000,655 | ---- | C] () -- C:\windows\eReg.dat [2011.07.27 18:23:48 | 000,000,108 | ---- | C] () -- C:\ProgramData\CameraRecorder.ini [2010.09.09 22:16:39 | 000,361,808 | ---- | C] () -- C:\windows\EMCRI_E.dll ========== LOP Check ========== [2011.11.25 22:47:26 | 000,000,000 | ---D | M] -- C:\Users\Gast\AppData\Roaming\GHISLER [2011.10.06 10:46:29 | 000,000,000 | ---D | M] -- C:\Users\Gast\AppData\Roaming\SoftGrid Client [2011.11.25 22:47:20 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\GHISLER [2012.01.03 11:23:07 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\Opera [2012.06.24 23:16:48 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\SoftGrid Client [2012.07.02 23:02:55 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\TeamViewer [2012.04.10 12:03:10 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\Telefónica [2011.07.28 14:35:20 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\The Bat! [2011.08.04 12:41:27 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\TP [2012.05.07 21:45:16 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.07.29 13:12:25 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin [2010.08.18 22:19:08 | 000,000,000 | -HSD | M] -- C:\Boot [2009.07.14 07:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings [2010.09.09 22:10:31 | 000,000,000 | ---D | M] -- C:\Intel [2009.07.14 05:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs [2012.07.03 00:54:08 | 000,000,000 | R--D | M] -- C:\Program Files [2012.07.03 19:03:34 | 000,000,000 | R--D | M] -- C:\Program Files (x86) [2012.07.03 19:03:35 | 000,000,000 | -H-D | M] -- C:\ProgramData [2011.07.27 13:51:02 | 000,000,000 | -HSD | M] -- C:\Recovery [2012.07.03 22:45:02 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.07.29 13:12:17 | 000,000,000 | R--D | M] -- C:\Users [2011.07.27 16:36:42 | 000,000,000 | ---D | M] -- C:\Utility [2012.07.03 09:23:16 | 000,000,000 | ---D | M] -- C:\Windows < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\windows\SysNative\drivers\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\windows\SysNative\DriverStore\FileRepository\machine.inf_amd64_neutral_a2f120466549d68b\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_1607dee2d861e021\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_1838f2aad55063bb\AGP440.sys < MD5 for: ATAPI.SYS > [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\windows\SysNative\drivers\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\windows\SysNative\DriverStore\FileRepository\mshdc.inf_amd64_neutral_aad30bdeec04ea5e\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys < MD5 for: CNGAUDIT.DLL > [2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\SysWOW64\cngaudit.dll [2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll [2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\windows\SysNative\cngaudit.dll [2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_4458dccc49458461\cngaudit.dll < MD5 for: EXPLORER.EXE > [2010.09.09 22:14:42 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_b8b0208ee0ce1889\explorer.exe [2011.02.26 08:23:14 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=0862495E0C825893DB75EF44FAEA8E93 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe [2011.02.26 07:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe [2011.02.26 07:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_b8ce9756e0b786a4\explorer.exe [2010.09.09 22:21:34 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_b819b343c7ba6202\explorer.exe [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe [2011.02.25 08:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\explorer.exe [2011.02.25 08:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe [2011.02.26 08:14:34 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=3B69712041F3D63605529BD66DC00C48 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe [2010.11.20 14:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe [2010.09.09 22:14:42 | 002,868,736 | ---- | M] (Microsoft Corporation) MD5=6D4F9E4B640B413C6F73414327484C80 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_addea9f19345cd81\explorer.exe [2010.09.09 22:15:54 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=700073016DAC1C3D2E7E2CE4223334B6 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\SysWOW64\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe [2010.09.09 22:21:34 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=9AAAEC8DAC27AA17B053E6352AD233AE -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe [2010.09.09 22:15:54 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_b8d95faae0af7617\explorer.exe [2010.11.20 15:24:45 | 002,872,320 | ---- | M] (Microsoft Corporation) MD5=AC4C51EB24AA95B77F705AB159189E24 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe [2010.09.09 22:21:34 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=B8EC4BD49CE8F6FC457721BFC210B67F -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe [2010.09.09 22:15:54 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_b853c407c78e3ba9\explorer.exe [2009.07.14 03:39:10 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=C235A51CB740E45FFA0EBFB9BAFCDA64 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe [2010.09.09 22:21:34 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_b89b8100e0dd69c2\explorer.exe [2010.09.09 22:14:42 | 002,868,736 | ---- | M] (Microsoft Corporation) MD5=CA17F8620815267DC838E30B68CB5052 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_ae5b763cac6d568e\explorer.exe [2011.02.26 08:26:45 | 002,870,784 | ---- | M] (Microsoft Corporation) MD5=E38899074D4951D31B4040E994DD7C8D -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_ae79ed04ac56c4a9\explorer.exe [2010.09.09 22:15:54 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=F170B4A061C9E026437B193B4D571799 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe [2010.09.09 22:14:42 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_b8335443c7a68f7c\explorer.exe < MD5 for: IASTOR.SYS > [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) MD5=ABBF174CB394F5C437410A788B7E404A -- C:\windows\SysNative\drivers\iaStor.sys [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) MD5=ABBF174CB394F5C437410A788B7E404A -- C:\windows\SysNative\DriverStore\FileRepository\iaahci.inf_amd64_neutral_78ebae21a80aa2b4\iaStor.sys < MD5 for: IASTORV.SYS > [2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_668286aa35d55928\iaStorV.sys [2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_0d3757e79e6784d0\iaStorV.sys [2011.03.11 08:19:16 | 000,410,496 | ---- | M] (Intel Corporation) MD5=5B3DE7208E5000D5B451B9D290D2579C -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_0d714416b7c182d5\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\windows\SysNative\drivers\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_0bcee2057afcc090\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_0cf9793d9e95787b\iaStorV.sys [2011.03.11 08:23:00 | 000,410,496 | ---- | M] (Intel Corporation) MD5=B75E45C564E944A2657167D197AB29DA -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iaStorV.sys [2011.03.11 08:25:49 | 000,410,496 | ---- | M] (Intel Corporation) MD5=BFDC9D75698800CFE4D1698BF2750EA2 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_0bccc8c8ba6985c1\iaStorV.sys [2009.07.14 03:48:04 | 000,410,688 | ---- | M] (Intel Corporation) MD5=D83EFB6FD45DF9D55E9A1AFC63640D50 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iaStorV.sys < MD5 for: NETLOGON.DLL > [2009.07.14 03:41:52 | 000,692,736 | ---- | M] (Microsoft Corporation) MD5=956D030D375F207B22FB111E06EF9C35 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_59aca8ea51aaeefe\netlogon.dll [2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\windows\SysNative\netlogon.dll [2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_5bddbcb24e997298\netlogon.dll [2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\SysWOW64\netlogon.dll [2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_6632670482fa3493\netlogon.dll [2009.07.14 03:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_6401533c860bb0f9\netlogon.dll < MD5 for: NVSTOR.SYS > [2009.07.14 03:45:45 | 000,167,488 | ---- | M] (NVIDIA Corporation) MD5=477DC4D6DEB99BE37084C9AC6D013DA1 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvstor.sys [2011.03.11 08:23:06 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=6C1D5F70E7A6A3FD1C90D840EDC048B9 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvstor.sys [2011.03.11 08:25:53 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=AE274836BA56518E279087363A781214 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_96963977f1a02f99\nvstor.sys [2011.03.11 08:19:21 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=D23C7E8566DA2B8A7C0DBBB761D54888 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_983ab4c5eef82cad\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\windows\SysNative\drivers\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_0276fc3b3ea60d41\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_97c2e9ecd5cc2253\nvstor.sys [2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_dd659ed032d28a14\nvstor.sys [2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_9800c896d59e2ea8\nvstor.sys < MD5 for: SCECLI.DLL > [2009.07.14 03:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9e577e55272d37b4\scecli.dll [2009.07.14 03:41:53 | 000,232,448 | ---- | M] (Microsoft Corporation) MD5=398712DDDAEFB85EDF61DF6A07B65C79 -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9402d402f2cc75b9\scecli.dll [2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\SysWOW64\scecli.dll [2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_a088921d241bbb4e\scecli.dll [2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\windows\SysNative\scecli.dll [2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_9633e7caefbaf953\scecli.dll < MD5 for: USER32.DLL > [2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll [2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll [2009.07.14 03:41:56 | 001,008,640 | ---- | M] (Microsoft Corporation) MD5=72D7B3EA16946E8F0CF7458150031CC6 -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll [2009.07.14 03:11:24 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=E8B0FFC209E504CB7E79FC24E6C085F0 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll [2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\windows\SysNative\user32.dll [2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll < MD5 for: USERINIT.EXE > [2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe [2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe [2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe [2009.07.14 03:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_381dabbceb60feb2\userinit.exe [2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\windows\SysNative\userinit.exe [2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe < MD5 for: WINLOGON.EXE > [2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\windows\SysNative\winlogon.exe [2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe [2009.07.14 03:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe [2010.09.09 22:21:34 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=A93D41A4D4B0D91C072D11DD8AF266DE -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe [2010.09.09 22:21:34 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe < MD5 for: WS2IFSL.SYS > [2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\windows\SysNative\drivers\ws2ifsl.sys [2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_ab7b927be17eace8\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > < %systemroot%\system32\*.dll /lockedfiles > < %USERPROFILE%\*.* > [2012.07.03 22:56:01 | 002,621,440 | -HS- | M] () -- C:\Users\**********\ntuser.dat [2012.07.03 22:56:01 | 000,262,144 | -HS- | M] () -- C:\Users\**********\ntuser.dat.LOG1 [2011.07.27 13:53:14 | 000,000,000 | -HS- | M] () -- C:\Users\**********\ntuser.dat.LOG2 [2011.07.27 17:09:15 | 000,065,536 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf [2011.07.27 17:09:15 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms [2011.07.27 17:09:15 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms [2012.07.03 00:15:49 | 000,065,536 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TM.blf [2012.07.03 00:15:49 | 000,524,288 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TMContainer00000000000000000001.regtrans-ms [2012.07.03 00:15:49 | 000,524,288 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TMContainer00000000000000000002.regtrans-ms [2011.11.05 23:14:31 | 000,065,536 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TM.blf [2011.11.05 23:14:31 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TMContainer00000000000000000001.regtrans-ms [2011.11.05 23:14:31 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TMContainer00000000000000000002.regtrans-ms [2011.07.27 13:53:14 | 000,000,020 | -HS- | M] () -- C:\Users\**********\ntuser.ini < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 < End of report > [code]OTL Extras logfile created on: 03.07.2012 22:41:13 - Run 1 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\**********\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,79 Gb Total Physical Memory | 2,61 Gb Available Physical Memory | 68,83% Memory free 7,59 Gb Paging File | 5,92 Gb Available in Paging File | 78,01% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 172,19 Gb Total Space | 114,55 Gb Free Space | 66,52% Space Free | Partition Type: NTFS Drive D: | 114,80 Gb Total Space | 108,40 Gb Free Space | 94,43% Space Free | Partition Type: NTFS Computer Name: ********** | User Name: ********** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .url[@ = InternetShortcut] -- C:\windows\SysNative\rundll32.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\windows\SysWow64\control.exe (Microsoft Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{04EE44C5-AAF8-45AD-87D6-40C83F3513CF}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{2613ABAB-B290-441C-ADB1-8092A9968598}" = lport=10243 | protocol=6 | dir=in | app=system | "{26A0DCEB-7B60-4E33-8B94-DB01FE5AA213}" = rport=445 | protocol=6 | dir=out | app=system | "{29704CC3-7FE7-474E-8E2B-D048B3EE3092}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | "{2CA16515-0F14-4E6C-A96F-2A784295DBE3}" = lport=445 | protocol=6 | dir=in | app=system | "{2DCD3518-2652-4608-A26C-8DF6BCBF211C}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{33BD5DF6-53C5-4FAF-9268-C9A46CB26D1E}" = rport=10243 | protocol=6 | dir=out | app=system | "{551B34E7-B12B-42C0-AC19-F9CB2C8AC1BD}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{60436BEC-5DF1-4E12-9307-FFB2A211AB18}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{6148D486-1EDA-4287-A8E1-F6019F202049}" = rport=139 | protocol=6 | dir=out | app=system | "{700D1475-9F64-4326-B903-91A4C4318C67}" = lport=138 | protocol=17 | dir=in | app=system | "{8DB0AA22-D0DA-4121-B973-44C7372C810A}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{93243170-EA38-44D0-B008-F6F909FAB2F2}" = rport=138 | protocol=17 | dir=out | app=system | "{9D2CB51C-5D49-4FB1-A1D6-BFA0C2C05C5E}" = rport=137 | protocol=17 | dir=out | app=system | "{9DE17426-6099-44CE-9611-6C5D0D8DBC67}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{B464899C-6393-48CA-9255-F548207D21CA}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{BA172DA5-9047-4F46-9449-B95105676014}" = lport=2869 | protocol=6 | dir=in | app=system | "{CA8ADCC0-8188-4F78-8BCB-8B1071AEF315}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{CDF66BF2-0077-4A16-AD2F-036E9EF2161E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{E172A72F-B6FE-42FC-97D4-FF5448A06D06}" = lport=139 | protocol=6 | dir=in | app=system | "{EAD7B42C-6CA8-4FA4-978D-33369B1A596E}" = lport=137 | protocol=17 | dir=in | app=system | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{057F42A9-7F0D-4A39-8A95-AB6F5ACFC7B5}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{08BAB323-6F88-4169-8E98-91F95AF673A0}" = protocol=6 | dir=out | app=system | "{15D0E39D-A8A3-4FFF-9A1F-674B7A42B098}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{1976B94C-38BA-4962-BC0D-1860430ED349}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{23D488CC-E874-4B5E-ABDD-3BBAABC01E7B}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{38149D49-9B1C-4D4F-860B-EB12309380E0}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{385714AA-7119-4959-BFC7-495FBE1F0738}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{48C0EAB3-26AD-4760-8F9D-D274109CF3C7}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | "{54BF146C-31D1-41DE-8C27-71E49B65726D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{575925F8-3D0A-41B9-89AB-0DF85E4D85E2}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{686523D3-2A84-4140-93DE-FD56CEDF9996}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{82C8F6AB-D964-4AA4-BB27-53FA526CECB9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{860A0DDA-F2EE-4385-88EE-A0E362CED65F}" = protocol=6 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "{91405F03-CB2E-46B4-AB71-96A8E305C774}" = protocol=17 | dir=in | app=c:\program files\opera labs oopp x64\opera.exe | "{9509EEB8-F3B1-4601-BFC5-8BC81E5AD938}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{A2AF34F4-8721-4E14-8995-8CEA7651240A}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{AEC6FE6B-DEEE-48F7-B5D9-BC2F4C8DB5D6}" = protocol=17 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "{CC24C7A9-BBFD-47BB-AFC7-C6E8C175D2BD}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{CFF4D4D5-8EB6-4CFB-AD75-DFAB8E7BE640}" = protocol=6 | dir=in | app=c:\program files\opera labs oopp x64\opera.exe | "{D4CE660E-B3F9-4CEF-B62A-F8AC265677DE}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{DA20FBA9-DBD1-44F9-B9CB-72EB035C65AE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{ED0BC8DC-D65A-4ACF-B9CF-549408524EA0}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | "{F077F80F-3077-4775-BA2F-5689DAA958E5}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{FFFC6DF9-82D1-4BCA-B695-D6E22C4548D2}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "TCP Query User{40E6412C-312D-4982-B6E4-7CC41C4E9950}C:\windows\syswow64\dpnsvr.exe" = protocol=6 | dir=in | app=c:\windows\syswow64\dpnsvr.exe | "TCP Query User{4D0E230F-9B8D-430B-A82A-3FB0B587E43B}C:\program files (x86)\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "TCP Query User{5F95DB90-01EF-47DF-9278-BF198EE8177F}C:\program files (x86)\ea games\battlefield 1942\bf1942.exe" = protocol=6 | dir=in | app=c:\program files (x86)\ea games\battlefield 1942\bf1942.exe | "TCP Query User{64A16682-B4A7-4B1D-9959-591AA0387D1D}C:\program files (x86)\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files (x86)\opera\opera.exe | "TCP Query User{65E15890-42A3-4EA1-ACAB-9CAB40F50CD7}C:\program files (x86)\tmunitedforever\tmforever.exe" = protocol=6 | dir=in | app=c:\program files (x86)\tmunitedforever\tmforever.exe | "TCP Query User{86318995-1BFB-409D-9D08-BFE0183C7447}C:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe | "TCP Query User{E0ABF2F0-B354-4E02-BCD4-3CDD55663755}C:\program files (x86)\microsoft games\freelancer\exe\flserver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\flserver.exe | "TCP Query User{F337CEE5-15BE-4176-81F9-A4BFC3C8DCC1}C:\program files (x86)\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{073EFDF0-B400-40D7-B975-64F575DF36FD}C:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe | "UDP Query User{183D54B3-B804-48C9-B8CE-A043ADBDB479}C:\windows\syswow64\dpnsvr.exe" = protocol=17 | dir=in | app=c:\windows\syswow64\dpnsvr.exe | "UDP Query User{58962831-D815-4EC8-A364-74BF9773830B}C:\program files (x86)\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "UDP Query User{8A0AF2C0-07B0-4275-BE50-A7259D0C90F4}C:\program files (x86)\microsoft games\freelancer\exe\flserver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\flserver.exe | "UDP Query User{A9ED30A1-C5F0-45AC-84AE-4B5346BD1BEF}C:\program files (x86)\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{D1DF56BB-34B6-4A0D-8840-76F81CDFB84D}C:\program files (x86)\tmunitedforever\tmforever.exe" = protocol=17 | dir=in | app=c:\program files (x86)\tmunitedforever\tmforever.exe | "UDP Query User{FA089EEA-85C4-4979-9D83-6827E5257617}C:\program files (x86)\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{FF0CA3E3-6152-469E-B87D-62BE89169A4C}C:\program files (x86)\ea games\battlefield 1942\bf1942.exe" = protocol=17 | dir=in | app=c:\program files (x86)\ea games\battlefield 1942\bf1942.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{1D8E6291-B0D5-35EC-8441-6616F567A0F7}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 "{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 "{90140000-006D-0407-1000-0000000FF1CE}" = Microsoft Office Klick-und-Los 2010 "{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile "7F973C87231D745EBF31E772CC38BB9B185D3819" = Windows Driver Package - ENE (EUCR) USB (12/04/2009 5.89.0.64) "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "SynTPDeinstKey" = Synaptics Pointing Device Driver [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{007B37D9-0C45-4202-834B-DD5FAAE99D63}" = ArcSoft Print Creations - Slimline Card "{01A1A019-E1D8-482A-BE17-5E118D17C0A0}" = ArcSoft Print Creations - Brochures & Flyers "{01E9B2FF-DAF4-4529-9CC9-2101625517C7}" = nero.prerequisites.msi "{034DCAF9-96E7-4936-9A07-712F80B5181E}" = Nero RescueAgent 11 "{05A6B1CD-AA10-46A0-8D5C-6AD2A9EEFC8B}" = Nero Burning ROM 11 "{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "{11D3EF85-63E1-4AE4-A7C1-9241BDB16B51}" = Nero ControlCenter 11 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{25478065-4CB1-448C-80E4-8C4529017EE3}" = ArcSoft WebCam Companion 3 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31 "{2892E1B7-E24D-4CCB-B8A7-B63D4B66F89F}" = BurnRecovery "{3BDDA587-7CDE-430C-90A4-E2C4E48D3AE9}" = Camera Recorder "{3CE47E6B-AE27-4E40-AC54-329EED96B933}" = ArcSoft Print Creations - Funhouse II "{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{53F7746A-96AA-49A5-86B8-59989680DAC5}" = Nero Burning ROM 11 Help (CHM) "{56589DFE-0C29-4DFE-8E42-887B771ECD23}" = ArcSoft Print Creations - Photo Book "{5D1C82E7-7EC0-4404-A8AD-36C3B444BC34}" = ArcSoft Print Creations - Poster Creator "{5E5F4BCA-8064-4A39-83CB-9C086E571535}" = The Bat! Professional v4.2.10 "{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components "{65BB0407-4CC8-4DC7-952E-3EEFDF05602A}" = Nero Update "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8136 8168 8169 Ethernet Driver "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8E90189A-A5D4-4C0E-A908-06C4236F98EE}" = ArcSoft Magic-i Visual Effects 2 "{90140011-0066-0407-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Deutsch "{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195 "{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 "{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer "{9591C049-5CAE-4E89-A8D9-191F1899628B}" = ArcSoft Print Creations - Funhouse "{95F875CC-1B85-43E6-B3E0-13EA04F3D995}" = ArcSoft Print Creations - Photo Prints "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3324BBB-3A83-40CE-AA8C-759D849B7EA1}" = ArcSoft Print Creations "{A840FFFB-3A80-4C24-AB34-BE9F56BEB4CE}" = msi Software Install "{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Deutsch "{B0D83FCD-9D42-43ED-8315-250326AADA02}" = ArcSoft Print Creations - Scrapbook "{B1846721-A8E6-46C7-83B6-0DCF7ADB4267}" = Nero Burning ROM 11 "{B5FDA445-CAC4-4BA6-A8FB-A7212BD439DE}" = Microsoft XML Parser "{BEBEE34D-84A2-4EDD-8BEA-96CC54371263}" = Nero Core Components 11 "{C9CF5815-A175-46F2-A802-F49B9F6A580A}" = FormsForWeb® Filler 3.2 "{CA9ED5E4-1548-485B-A293-417840060158}" = ArcSoft Print Creations - Photo Calendar "{CE7CB214-DB11-4B5D-A6AF-3B4ED47C68B7}" = Microsoft Game Studios Common Redistributables Pack 1 "{D01CE99A-8802-483C-A79F-298B691EB432}" = Nero RescueAgent 11 Help (CHM) "{D4D66270-9147-4BDF-9946-FCA2B303AA8F}" = Nero ControlCenter 11 Help (CHM) "{E6B4117F-AC59-4B13-9274-EB136E8897EE}" = ArcSoft Print Creations - Album Page "{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}" = System Control Manager "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "{F04F9557-81A9-4293-BC49-2C216FA325A7}" = ArcSoft Print Creations - Greeting Card "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Avira AntiVir Desktop" = Avira Free Antivirus "HUAWEI DataCard Driver" = HUAWEI DataCard Driver 4.20.12.00 "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400 "McAfee Security Scan" = McAfee Security Scan Plus "Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "o2DE" = Mobile Connection Manager "Office14.Click2Run" = Microsoft Office Klick-und-Los 2010 "Totalcmd" = Total Commander (Remove or Repair) "WinRAR archiver" = WinRAR archiver ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Opera 11.64.1403" = Opera 11.64 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 14.06.2012 09:54:31 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 17.06.2012 08:42:08 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 19.06.2012 14:53:14 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 20.06.2012 00:15:56 | Computer Name = ********** | Source = CVHSVC | ID = 100 Description = Nur zur Information. (Patch task for {90140011-0066-0407-0000-0000000FF1CE}): DownloadLatest Failed: Error - 20.06.2012 04:00:51 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 21.06.2012 05:11:53 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 22.06.2012 01:18:43 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 23.06.2012 12:03:44 | Computer Name = **********123 | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 25.06.2012 08:52:53 | Computer Name = **********123 | Source = Application Hang | ID = 1002 Description = Programm iexplore.exe, Version 9.0.8112.16446 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: bbc Startzeit: 01cd52c08e630844 Endzeit: 40 Anwendungspfad: C:\Program Files (x86)\Internet Explorer\iexplore.exe Berichts-ID: Error - 26.06.2012 01:19:34 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 26.06.2012 13:10:01 | Computer Name = **********123 | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. [ System Events ] Error - 02.07.2012 17:08:48 | Computer Name = ********** | Source = VDS Basic Provider | ID = 33554433 Description = Error - 02.07.2012 17:27:28 | Computer Name = ********** | Source = Service Control Manager | ID = 7009 Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 erreicht. Error - 02.07.2012 18:22:10 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:19 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:29 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:39 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:48 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 03.07.2012 00:59:41 | Computer Name = ********** | Source = DCOM | ID = 10010 Description = Error - 03.07.2012 07:45:48 | Computer Name = ********** | Source = EventLog | ID = 6008 Description = Das System wurde zuvor am ?03.?07.?2012 um 13:44:40 unerwartet heruntergefahren. Error - 03.07.2012 16:18:57 | Computer Name = ********** | Source = Service Control Manager | ID = 7034 Description = Dienst "Nero Update" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. < End of report > So, nun bin ich mal gespannt... Grüßle Sorry, aber kann den obigen Beitrag nicht editieren, deswegen hier noch mal mit dem fehlenden /close-tag das OTL-Extras-Log Code:
ATTFilter OTL Extras logfile created on: 03.07.2012 22:41:13 - Run 1 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\**********\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,79 Gb Total Physical Memory | 2,61 Gb Available Physical Memory | 68,83% Memory free 7,59 Gb Paging File | 5,92 Gb Available in Paging File | 78,01% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 172,19 Gb Total Space | 114,55 Gb Free Space | 66,52% Space Free | Partition Type: NTFS Drive D: | 114,80 Gb Total Space | 108,40 Gb Free Space | 94,43% Space Free | Partition Type: NTFS Computer Name: ********** | User Name: ********** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .url[@ = InternetShortcut] -- C:\windows\SysNative\rundll32.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\windows\SysWow64\control.exe (Microsoft Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [edit] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicPr ofile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Firewall Rules] "{04EE44C5-AAF8-45AD-87D6-40C83F3513CF}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{2613ABAB-B290-441C-ADB1-8092A9968598}" = lport=10243 | protocol=6 | dir=in | app=system | "{26A0DCEB-7B60-4E33-8B94-DB01FE5AA213}" = rport=445 | protocol=6 | dir=out | app=system | "{29704CC3-7FE7-474E-8E2B-D048B3EE3092}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | "{2CA16515-0F14-4E6C-A96F-2A784295DBE3}" = lport=445 | protocol=6 | dir=in | app=system | "{2DCD3518-2652-4608-A26C-8DF6BCBF211C}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{33BD5DF6-53C5-4FAF-9268-C9A46CB26D1E}" = rport=10243 | protocol=6 | dir=out | app=system | "{551B34E7-B12B-42C0-AC19-F9CB2C8AC1BD}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{60436BEC-5DF1-4E12-9307-FFB2A211AB18}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{6148D486-1EDA-4287-A8E1-F6019F202049}" = rport=139 | protocol=6 | dir=out | app=system | "{700D1475-9F64-4326-B903-91A4C4318C67}" = lport=138 | protocol=17 | dir=in | app=system | "{8DB0AA22-D0DA-4121-B973-44C7372C810A}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | "{93243170-EA38-44D0-B008-F6F909FAB2F2}" = rport=138 | protocol=17 | dir=out | app=system | "{9D2CB51C-5D49-4FB1-A1D6-BFA0C2C05C5E}" = rport=137 | protocol=17 | dir=out | app=system | "{9DE17426-6099-44CE-9611-6C5D0D8DBC67}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{B464899C-6393-48CA-9255-F548207D21CA}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | "{BA172DA5-9047-4F46-9449-B95105676014}" = lport=2869 | protocol=6 | dir=in | app=system | "{CA8ADCC0-8188-4F78-8BCB-8B1071AEF315}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{CDF66BF2-0077-4A16-AD2F-036E9EF2161E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{E172A72F-B6FE-42FC-97D4-FF5448A06D06}" = lport=139 | protocol=6 | dir=in | app=system | "{EAD7B42C-6CA8-4FA4-978D-33369B1A596E}" = lport=137 | protocol=17 | dir=in | app=system | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Firewall Rules] "{057F42A9-7F0D-4A39-8A95-AB6F5ACFC7B5}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{08BAB323-6F88-4169-8E98-91F95AF673A0}" = protocol=6 | dir=out | app=system | "{15D0E39D-A8A3-4FFF-9A1F-674B7A42B098}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{1976B94C-38BA-4962-BC0D-1860430ED349}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{23D488CC-E874-4B5E-ABDD-3BBAABC01E7B}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{38149D49-9B1C-4D4F-860B-EB12309380E0}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | "{385714AA-7119-4959-BFC7-495FBE1F0738}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{48C0EAB3-26AD-4760-8F9D-D274109CF3C7}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | "{54BF146C-31D1-41DE-8C27-71E49B65726D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{575925F8-3D0A-41B9-89AB-0DF85E4D85E2}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{686523D3-2A84-4140-93DE-FD56CEDF9996}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{82C8F6AB-D964-4AA4-BB27-53FA526CECB9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{860A0DDA-F2EE-4385-88EE-A0E362CED65F}" = protocol=6 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "{91405F03-CB2E-46B4-AB71-96A8E305C774}" = protocol=17 | dir=in | app=c:\program files\opera labs oopp x64\opera.exe | "{9509EEB8-F3B1-4601-BFC5-8BC81E5AD938}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | "{A2AF34F4-8721-4E14-8995-8CEA7651240A}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{AEC6FE6B-DEEE-48F7-B5D9-BC2F4C8DB5D6}" = protocol=17 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "{CC24C7A9-BBFD-47BB-AFC7-C6E8C175D2BD}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{CFF4D4D5-8EB6-4CFB-AD75-DFAB8E7BE640}" = protocol=6 | dir=in | app=c:\program files\opera labs oopp x64\opera.exe | "{D4CE660E-B3F9-4CEF-B62A-F8AC265677DE}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{DA20FBA9-DBD1-44F9-B9CB-72EB035C65AE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{ED0BC8DC-D65A-4ACF-B9CF-549408524EA0}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | "{F077F80F-3077-4775-BA2F-5689DAA958E5}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{FFFC6DF9-82D1-4BCA-B695-D6E22C4548D2}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "TCP Query User{40E6412C-312D-4982-B6E4-7CC41C4E9950}C:\windows\syswow64\dpnsvr.exe" = protocol=6 | dir=in | app=c:\windows\syswow64\dpnsvr.exe | "TCP Query User{4D0E230F-9B8D-430B-A82A-3FB0B587E43B}C:\program files (x86)\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "TCP Query User{5F95DB90-01EF-47DF-9278-BF198EE8177F}C:\program files (x86)\ea games\battlefield 1942\bf1942.exe" = protocol=6 | dir=in | app=c:\program files (x86)\ea games\battlefield 1942\bf1942.exe | "TCP Query User{64A16682-B4A7-4B1D-9959-591AA0387D1D}C:\program files (x86)\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files (x86)\opera\opera.exe | "TCP Query User{65E15890-42A3-4EA1-ACAB-9CAB40F50CD7}C:\program files (x86)\tmunitedforever\tmforever.exe" = protocol=6 | dir=in | app=c:\program files (x86)\tmunitedforever\tmforever.exe | "TCP Query User{86318995-1BFB-409D-9D08-BFE0183C7447}C:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe | "TCP Query User{E0ABF2F0-B354-4E02-BCD4-3CDD55663755}C:\program files (x86)\microsoft games\freelancer\exe\flserver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\flserver.exe | "TCP Query User{F337CEE5-15BE-4176-81F9-A4BFC3C8DCC1}C:\program files (x86)\opera\opera.exe" = protocol=6 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{073EFDF0-B400-40D7-B975-64F575DF36FD}C:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\freelancer.exe | "UDP Query User{183D54B3-B804-48C9-B8CE-A043ADBDB479}C:\windows\syswow64\dpnsvr.exe" = protocol=17 | dir=in | app=c:\windows\syswow64\dpnsvr.exe | "UDP Query User{58962831-D815-4EC8-A364-74BF9773830B}C:\program files (x86)\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files (x86)\java\jre6\bin\javaw.exe | "UDP Query User{8A0AF2C0-07B0-4275-BE50-A7259D0C90F4}C:\program files (x86)\microsoft games\freelancer\exe\flserver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\freelancer\exe\flserver.exe | "UDP Query User{A9ED30A1-C5F0-45AC-84AE-4B5346BD1BEF}C:\program files (x86)\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{D1DF56BB-34B6-4A0D-8840-76F81CDFB84D}C:\program files (x86)\tmunitedforever\tmforever.exe" = protocol=17 | dir=in | app=c:\program files (x86)\tmunitedforever\tmforever.exe | "UDP Query User{FA089EEA-85C4-4979-9D83-6827E5257617}C:\program files (x86)\opera\opera.exe" = protocol=17 | dir=in | app=c:\program files (x86)\opera\opera.exe | "UDP Query User{FF0CA3E3-6152-469E-B87D-62BE89169A4C}C:\program files (x86)\ea games\battlefield 1942\bf1942.exe" = protocol=17 | dir=in | app=c:\program files (x86)\ea games\battlefield 1942\bf1942.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{1D8E6291-B0D5-35EC-8441-6616F567A0F7}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 "{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 "{90140000-006D-0407-1000-0000000FF1CE}" = Microsoft Office Klick-und-Los 2010 "{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile "7F973C87231D745EBF31E772CC38BB9B185D3819" = Windows Driver Package - ENE (EUCR) USB (12/04/2009 5.89.0.64) "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "SynTPDeinstKey" = Synaptics Pointing Device Driver [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{007B37D9-0C45-4202-834B-DD5FAAE99D63}" = ArcSoft Print Creations - Slimline Card "{01A1A019-E1D8-482A-BE17-5E118D17C0A0}" = ArcSoft Print Creations - Brochures & Flyers "{01E9B2FF-DAF4-4529-9CC9-2101625517C7}" = nero.prerequisites.msi "{034DCAF9-96E7-4936-9A07-712F80B5181E}" = Nero RescueAgent 11 "{05A6B1CD-AA10-46A0-8D5C-6AD2A9EEFC8B}" = Nero Burning ROM 11 "{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "{11D3EF85-63E1-4AE4-A7C1-9241BDB16B51}" = Nero ControlCenter 11 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{25478065-4CB1-448C-80E4-8C4529017EE3}" = ArcSoft WebCam Companion 3 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31 "{2892E1B7-E24D-4CCB-B8A7-B63D4B66F89F}" = BurnRecovery "{3BDDA587-7CDE-430C-90A4-E2C4E48D3AE9}" = Camera Recorder "{3CE47E6B-AE27-4E40-AC54-329EED96B933}" = ArcSoft Print Creations - Funhouse II "{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{53F7746A-96AA-49A5-86B8-59989680DAC5}" = Nero Burning ROM 11 Help (CHM) "{56589DFE-0C29-4DFE-8E42-887B771ECD23}" = ArcSoft Print Creations - Photo Book "{5D1C82E7-7EC0-4404-A8AD-36C3B444BC34}" = ArcSoft Print Creations - Poster Creator "{5E5F4BCA-8064-4A39-83CB-9C086E571535}" = The Bat! Professional v4.2.10 "{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components "{65BB0407-4CC8-4DC7-952E-3EEFDF05602A}" = Nero Update "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8136 8168 8169 Ethernet Driver "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8E90189A-A5D4-4C0E-A908-06C4236F98EE}" = ArcSoft Magic-i Visual Effects 2 "{90140011-0066-0407-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Deutsch "{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195 "{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 "{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer "{9591C049-5CAE-4E89-A8D9-191F1899628B}" = ArcSoft Print Creations - Funhouse "{95F875CC-1B85-43E6-B3E0-13EA04F3D995}" = ArcSoft Print Creations - Photo Prints "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3324BBB-3A83-40CE-AA8C-759D849B7EA1}" = ArcSoft Print Creations "{A840FFFB-3A80-4C24-AB34-BE9F56BEB4CE}" = msi Software Install "{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.2) - Deutsch "{B0D83FCD-9D42-43ED-8315-250326AADA02}" = ArcSoft Print Creations - Scrapbook "{B1846721-A8E6-46C7-83B6-0DCF7ADB4267}" = Nero Burning ROM 11 "{B5FDA445-CAC4-4BA6-A8FB-A7212BD439DE}" = Microsoft XML Parser "{BEBEE34D-84A2-4EDD-8BEA-96CC54371263}" = Nero Core Components 11 "{C9CF5815-A175-46F2-A802-F49B9F6A580A}" = FormsForWeb® Filler 3.2 "{CA9ED5E4-1548-485B-A293-417840060158}" = ArcSoft Print Creations - Photo Calendar "{CE7CB214-DB11-4B5D-A6AF-3B4ED47C68B7}" = Microsoft Game Studios Common Redistributables Pack 1 "{D01CE99A-8802-483C-A79F-298B691EB432}" = Nero RescueAgent 11 Help (CHM) "{D4D66270-9147-4BDF-9946-FCA2B303AA8F}" = Nero ControlCenter 11 Help (CHM) "{E6B4117F-AC59-4B13-9274-EB136E8897EE}" = ArcSoft Print Creations - Album Page "{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}" = System Control Manager "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "{F04F9557-81A9-4293-BC49-2C216FA325A7}" = ArcSoft Print Creations - Greeting Card "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Avira AntiVir Desktop" = Avira Free Antivirus "HUAWEI DataCard Driver" = HUAWEI DataCard Driver 4.20.12.00 "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400 "McAfee Security Scan" = McAfee Security Scan Plus "Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "o2DE" = Mobile Connection Manager "Office14.Click2Run" = Microsoft Office Klick-und-Los 2010 "Totalcmd" = Total Commander (Remove or Repair) "WinRAR archiver" = WinRAR archiver ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Opera 11.64.1403" = Opera 11.64 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 14.06.2012 09:54:31 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 17.06.2012 08:42:08 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 19.06.2012 14:53:14 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 20.06.2012 00:15:56 | Computer Name = ********** | Source = CVHSVC | ID = 100 Description = Nur zur Information. (Patch task for {90140011-0066-0407-0000-0000000FF1CE}): DownloadLatest Failed: Error - 20.06.2012 04:00:51 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 21.06.2012 05:11:53 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 22.06.2012 01:18:43 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 23.06.2012 12:03:44 | Computer Name = **********123 | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 25.06.2012 08:52:53 | Computer Name = **********123 | Source = Application Hang | ID = 1002 Description = Programm iexplore.exe, Version 9.0.8112.16446 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: bbc Startzeit: 01cd52c08e630844 Endzeit: 40 Anwendungspfad: C:\Program Files (x86)\Internet Explorer\iexplore.exe Berichts-ID: Error - 26.06.2012 01:19:34 | Computer Name = ********** | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. Error - 26.06.2012 13:10:01 | Computer Name = **********123 | Source = SideBySide | ID = 16842811 Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest". Fehler in Manifest- oder Richtliniendatei "C:\Users\**********\AppData\Local\Programs\Lucom\FormsForWeb\Filler3.2\xerces-c_2_8.dll.Manifest" in Zeile 6. Ungültige XML-Syntax. [ System Events ] Error - 02.07.2012 17:08:48 | Computer Name = ********** | Source = VDS Basic Provider | ID = 33554433 Description = Error - 02.07.2012 17:27:28 | Computer Name = ********** | Source = Service Control Manager | ID = 7009 Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 erreicht. Error - 02.07.2012 18:22:10 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:19 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:29 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:39 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 02.07.2012 18:22:48 | Computer Name = ********** | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 03.07.2012 00:59:41 | Computer Name = ********** | Source = DCOM | ID = 10010 Description = Error - 03.07.2012 07:45:48 | Computer Name = ********** | Source = EventLog | ID = 6008 Description = Das System wurde zuvor am ?03.?07.?2012 um 13:44:40 unerwartet heruntergefahren. Error - 03.07.2012 16:18:57 | Computer Name = ********** | Source = Service Control Manager | ID = 7034 Description = Dienst "Nero Update" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. < End of report > |
04.07.2012, 12:07 | #6 |
| Auch GVU-Trojaner? (aber ein wenig anders...) So, kleines Update: Habe inzwischen Java deinstalliert und neu installiert. Danach habe ich wieder Avira laufen lassen. Scan-Log: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 10:46 Es wird nach 3831298 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : ********** Computername : ********** Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 18:07:35 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 18:07:35 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 18:07:41 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:07:43 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:06:50 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:41:15 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:47:03 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:16:11 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:16:11 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:16:11 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:16:11 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:16:12 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:16:12 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:16:12 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:16:12 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:16:12 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 19:09:43 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 19:09:44 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 19:09:44 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 19:09:44 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 19:09:44 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 19:09:44 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 19:09:44 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 19:09:44 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 19:09:44 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 19:09:44 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 19:09:44 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 19:09:44 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 19:09:44 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 19:09:44 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 19:09:44 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 19:09:44 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 19:09:45 VBASE031.VDF : 7.11.34.248 67072 Bytes 03.07.2012 19:10:16 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:15:40 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:17:46 AESCN.DLL : 8.1.8.2 131444 Bytes 16.03.2012 21:45:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 18:19:38 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:17:43 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:18:10 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 18:18:05 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:16:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 18:19:35 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 18:18:11 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:19:00 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 18:07:33 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 18:07:35 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:07:43 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 18:07:34 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 18:07:35 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 18:07:42 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 18:07:36 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 18:07:41 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 18:07:34 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 18:07:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Q:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 10:46 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Q:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf nach versteckten Objekten wird begonnen. Versteckter Treiber [HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'iexplore.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'tcmadmin.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'TOTALCMD.EXE' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashUtil32_11_3_300_257_ActiveX.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'MGSysCtrl.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'NASvc.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'ImpWiFiSvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'MSIService.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\windows\system32\svchost.exe' Signiert -> 'C:\windows\system32\winlogon.exe' Signiert -> 'C:\windows\explorer.exe' Signiert -> 'C:\windows\system32\smss.exe' Signiert -> 'C:\windows\system32\wininet.DLL' Signiert -> 'C:\windows\system32\wsock32.DLL' Signiert -> 'C:\windows\system32\ws2_32.DLL' Signiert -> 'C:\windows\system32\services.exe' Signiert -> 'C:\windows\system32\lsass.exe' Signiert -> 'C:\windows\system32\csrss.exe' Signiert -> 'C:\windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\windows\system32\spoolsv.exe' Signiert -> 'C:\windows\system32\alg.exe' Signiert -> 'C:\windows\system32\wuauclt.exe' Signiert -> 'C:\windows\system32\advapi32.DLL' Signiert -> 'C:\windows\system32\user32.DLL' Signiert -> 'C:\windows\system32\gdi32.DLL' Signiert -> 'C:\windows\system32\kernel32.DLL' Signiert -> 'C:\windows\system32\ntdll.DLL' Signiert -> 'C:\windows\system32\ntoskrnl.exe' Signiert -> 'C:\windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Windows\Sysnative\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Die Registry wurde durchsucht ( '1581' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <OS_Install> C:\Program Files (x86)\WinRAR 3.61 Multi\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt Beginne mit der Suche in 'D:\' <Data> D:\Installation\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt Beginne mit der Suche in 'Q:\' Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden! Systemfehler [5]: Zugriff verweigert Ende des Suchlaufs: Mittwoch, 4. Juli 2012 11:39 Benötigte Zeit: 53:09 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 24634 Verzeichnisse wurden überprüft 324845 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 324844 Dateien ohne Befall 1694 Archive wurden durchsucht 3 Warnungen 1 Hinweise 485415 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden OTL-Log: Code:
ATTFilter OTL logfile created on: 04.07.2012 11:44:23 - Run 2 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\**********\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,79 Gb Total Physical Memory | 2,35 Gb Available Physical Memory | 61,86% Memory free 7,59 Gb Paging File | 5,96 Gb Available in Paging File | 78,50% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 172,19 Gb Total Space | 126,62 Gb Free Space | 73,54% Space Free | Partition Type: NTFS Drive D: | 114,80 Gb Total Space | 108,36 Gb Free Space | 94,39% Space Free | Partition Type: NTFS Computer Name: ********** | User Name: ********** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.03 20:48:11 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe PRC - [2012.06.11 06:15:08 | 000,686,280 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_3_300_257_ActiveX.exe PRC - [2012.05.08 20:07:42 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.08 20:07:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.08 20:07:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2011.11.25 16:32:36 | 000,687,400 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Nero\Update\NASvc.exe PRC - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) -- C:\Program Files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe PRC - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe PRC - [2010.03.04 05:16:06 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe PRC - [2010.03.04 05:16:04 | 000,284,696 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe PRC - [2010.02.05 22:39:10 | 002,408,448 | ---- | M] (Micro-Star International Co., Ltd.) -- C:\Program Files (x86)\System Control Manager\MGSysCtrl.exe PRC - [2009.12.02 22:23:38 | 000,209,768 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe PRC - [2009.12.02 22:23:32 | 000,483,688 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe PRC - [2009.10.01 06:01:32 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe PRC - [2009.10.01 06:01:30 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe PRC - [2009.07.10 00:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) -- C:\Program Files (x86)\System Control Manager\MSIService.exe ========== Modules (No Company Name) ========== MOD - [2012.06.13 17:28:09 | 012,436,480 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\7b7fbe651c6e72f12099a298654c9594\System.Windows.Forms.ni.dll MOD - [2012.06.13 17:27:56 | 001,591,808 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\6bb439b3f87736d3248ae27d43e2c0d6\System.Drawing.ni.dll MOD - [2012.05.11 19:54:32 | 000,452,608 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\635b3aec298ad5e8c903b2323d79cc5a\IAStorUtil.ni.dll MOD - [2012.05.11 06:22:58 | 000,771,584 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\03dee80574f4ec770b6f77ca030ded6c\System.Runtime.Remoting.ni.dll MOD - [2012.05.11 06:21:48 | 003,347,968 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\46fce56db7685a586d3eeb7c373e3c1c\WindowsBase.ni.dll MOD - [2012.05.11 06:21:40 | 005,452,800 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml\ba3d70b651454c7d49b407b93663bfed\System.Xml.ni.dll MOD - [2012.05.11 06:21:34 | 000,971,264 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\cfa9c506bfb9254c89dace7b83bc9f9d\System.Configuration.ni.dll MOD - [2012.05.11 06:21:32 | 007,967,232 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System\ce9ff6baf9053ed2ed673d948179195c\System.ni.dll MOD - [2012.05.11 06:21:21 | 011,492,864 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\mscorlib\acfc1391e45fedd2a359778ea57d914c\mscorlib.ni.dll MOD - [2010.11.13 02:08:41 | 000,315,392 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ========== Win32 Services (SafeList) ========== SRV:64bit: - [2009.07.14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) SRV - [2012.06.17 13:03:38 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.06.07 19:12:14 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.05.08 20:07:42 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.08 20:07:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2011.11.25 16:32:36 | 000,687,400 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate) @C:\Program Files (x86) SRV - [2010.09.29 15:08:58 | 000,200,624 | ---- | M] (Telefónica I+D) [Auto | Running] -- C:\Program Files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe -- (TGCM_ImportWiFiSvc) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.03.18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2010.03.04 05:16:06 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R) SRV - [2009.12.02 22:23:38 | 000,209,768 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa) SRV - [2009.12.02 22:23:32 | 000,483,688 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist) SRV - [2009.10.01 06:01:32 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R) SRV - [2009.10.01 06:01:30 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R) SRV - [2009.07.10 00:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) [Auto | Running] -- C:\Program Files (x86)\System Control Manager\MSIService.exe -- (Micro Star SCM) SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\msi\msi Software Install\MGHwCtrl.sys -- (MGHwCtrl) DRV:64bit: - [2012.05.08 20:07:43 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.05.08 20:07:43 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2012.04.04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2012.01.10 23:28:18 | 012,311,904 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2011.10.02 07:44:41 | 000,526,392 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) DRV:64bit: - [2011.09.16 17:08:07 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2011.06.10 07:34:52 | 000,539,240 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2010.10.09 08:49:52 | 000,085,504 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ew_jubusenum.sys -- (huawei_enumerator) DRV:64bit: - [2010.08.31 12:09:00 | 000,256,000 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbnet.sys -- (ewusbnet) DRV:64bit: - [2010.08.07 11:49:04 | 000,121,600 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ewusbmdm.sys -- (hwdatacard) DRV:64bit: - [2010.07.27 03:52:16 | 000,117,248 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ew_hwusbdev.sys -- (ew_hwusbdev) DRV:64bit: - [2010.05.10 10:42:06 | 000,271,872 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud) Intel(R) DRV:64bit: - [2010.05.10 10:42:06 | 000,158,976 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Impcd.sys -- (Impcd) DRV:64bit: - [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2010.02.08 22:10:02 | 000,855,328 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\netr28x.sys -- (netr28x) DRV:64bit: - [2010.01.07 14:46:20 | 000,302,128 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP) DRV:64bit: - [2009.12.05 03:50:22 | 000,087,888 | ---- | M] (ENE Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\EUCR6SK.sys -- (EUCR) DRV:64bit: - [2009.12.02 22:23:38 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol) DRV:64bit: - [2009.12.02 22:23:34 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir) DRV:64bit: - [2009.12.02 22:23:32 | 000,269,672 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay) DRV:64bit: - [2009.12.02 22:23:26 | 000,721,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs) DRV:64bit: - [2009.09.17 22:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Intel(R) DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.05.26 23:32:04 | 000,019,968 | ---- | M] (ArcSoft, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ArcSoftKsUFilter.sys -- (ArcSoftKsUFilter) DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {350E87B0-6B6D-4907-8569-825F0DFDC196} IE:64bit: - HKLM\..\SearchScopes\{350E87B0-6B6D-4907-8569-825F0DFDC196}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=MSITDF&pc=MAMI&src=IE-SearchBox IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {21061388-E187-497A-BE9B-C75BAFC8EDA6} IE - HKLM\..\SearchScopes\{21061388-E187-497A-BE9B-C75BAFC8EDA6}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=MSITDF&pc=MAMI&src=IE-SearchBox IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://msi.msn.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: {64ead72b-ffd4-4e01-aa3a-4c71665d73e4} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {21061388-E187-497A-BE9B-C75BAFC8EDA6} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 203.42.246.231:80 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2849855&SearchSource=2&q=" FF - prefs.js..network.proxy.type: 0 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.0: C:\windows\system32\npDeployJava1.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.0: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/VirtualEarth3D,version=4.0: C:\Program Files (x86)\Virtual Earth 3D\ File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 13:03:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.05.24 15:10:42 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 13:03:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.05.24 15:10:42 | 000,000,000 | ---D | M] [2012.06.15 23:11:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Extensions [2012.06.15 23:11:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Extensions\{a79fe89b-6662-4ff4-8e88-09950ad4dfde} [2012.07.03 00:08:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\**********\AppData\Roaming\mozilla\Firefox\Profiles\ew4cbln8.default\extensions [2012.05.27 12:01:36 | 000,000,000 | ---D | M] (BittorrentBar_DE Community Toolbar) -- C:\Users\**********\AppData\Roaming\mozilla\Firefox\Profiles\ew4cbln8.default\extensions\{64ead72b-ffd4-4e01-aa3a-4c71665d73e4} [2012.03.18 10:27:02 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2012.06.17 13:03:38 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.10.14 11:08:22 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.14 11:08:22 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.10.14 11:08:22 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.10.14 11:08:22 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.14 11:08:22 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.14 11:08:22 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {64EAD72B-FFD4-4E01-AA3A-4C71665D73E4} - No CLSID value found. O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4:64bit: - HKLM..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [MGSysCtrl] C:\Program Files (x86)\System Control Manager\MGSysCtrl.exe (Micro-Star International Co., Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} hxxp://www.myheritage.de/Genoogle/Components/ActiveX/SearchEngineQuery.dll (CSEQueryObject Object) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6C03A682-E5FA-4229-BB04-D09BB49ACB23}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C41CFFDC-6F65-4E6A-B26F-AE8A933F2B25}: DhcpNameServer = 192.168.1.1 O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\windows\SysNative\igfxdev.dll (Intel Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{0332c5d3-ba28-11e0-8dc2-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{0332c5d3-ba28-11e0-8dc2-6c626d29b8b0}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true O33 - MountPoints2\{165ab91e-8289-11e1-8a6a-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{165ab91e-8289-11e1-8a6a-6c626d29b8b0}\Shell\AutoRun\command - "" = F:\AutoRun.exe O33 - MountPoints2\{165ab92d-8289-11e1-8a6a-6c626d29b8b0}\Shell - "" = AutoRun O33 - MountPoints2\{165ab92d-8289-11e1-8a6a-6c626d29b8b0}\Shell\AutoRun\command - "" = F:\AutoRun.exe O33 - MountPoints2\{d30c04c0-ecb9-11e0-8345-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{d30c04c0-ecb9-11e0-8345-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Setup.exe O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Windows Media Player 5.2 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP MsConfig:64bit - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found MsConfig:64bit - StartUpReg: ArcSoft Connection Service - hkey= - key= - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) MsConfig:64bit - StartUpReg: DAEMON Tools Lite - hkey= - key= - File not found MsConfig:64bit - State: "bootini" - Reg Error: Key error. MsConfig:64bit - State: "services" - Reg Error: Key error. MsConfig:64bit - State: "startup" - Reg Error: Key error. CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.07.04 10:08:18 | 000,000,000 | ---D | C] -- C:\Program Files\Java [2012.07.03 22:35:21 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe [2012.07.03 19:03:45 | 000,000,000 | ---D | C] -- C:\Users\**********\AppData\Roaming\Malwarebytes [2012.07.03 19:03:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.07.03 19:03:35 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\windows\SysNative\drivers\mbam.sys [2012.07.03 19:03:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.07.03 19:03:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2012.06.23 17:33:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiskInternals [2012.06.23 15:23:45 | 000,000,000 | ---D | C] -- C:\Users\**********\AppData\Local\Macromedia [2012.06.15 22:53:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dictionary [2012.06.11 14:34:42 | 000,140,800 | ---- | C] (The Duck Corporation) -- C:\windows\SysWow64\tm20dec.ax [2012.06.11 14:34:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeLL me Again-Reihe [2012.06.09 21:06:20 | 000,000,000 | -H-D | C] -- C:\Users\**********\Desktop\Fortbildung [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.04 08:35:17 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2012.07.04 06:37:37 | 000,302,592 | ---- | M] () -- C:\Users\**********\Desktop\f2nnluih.exe [2012.07.04 06:08:46 | 000,017,376 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.07.04 06:08:46 | 000,017,376 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.07.04 06:01:10 | 3056,099,328 | -HS- | M] () -- C:\hiberfil.sys [2012.07.03 20:48:11 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\**********\Desktop\OTL.exe [2012.07.03 13:58:07 | 000,003,288 | ---- | M] () -- C:\bootsqm.dat [2012.07.01 11:19:40 | 000,996,044 | ---- | M] () -- C:\Users\**********\Desktop\xxxxxxxxx.pdf [2012.06.29 16:58:22 | 000,069,795 | ---- | M] () -- C:\Users\**********\Desktop\fahrplanauskunft_ xxxxxxx.pdf [2012.06.29 16:58:06 | 000,069,829 | ---- | M] () -- C:\Users\**********\Desktop\fahrplanauskunf xxxxxxxx.pdf [2012.06.25 15:18:27 | 000,000,017 | ---- | M] () -- C:\windows\SysWow64\shortcut_ex.dat [2012.06.24 13:09:45 | 000,090,737 | ---- | M] () -- C:\Users\**********\Desktop\Smileys.pdf [2012.06.24 10:46:36 | 000,027,792 | ---- | M] () -- C:\Users\**********\Desktop\smiley20sad.jpg [2012.06.24 10:44:12 | 000,039,324 | ---- | M] () -- C:\Users\**********\Desktop\Smiley gut.jpg [2012.06.17 10:56:10 | 000,348,374 | ---- | M] () -- C:\Users\**********\Documents\**********.de-fr-vtu [2012.06.13 17:21:22 | 000,282,888 | ---- | M] () -- C:\windows\SysNative\FNTCACHE.DAT [2012.06.13 09:20:51 | 001,521,530 | ---- | M] () -- C:\windows\SysNative\PerfStringBackup.INI [2012.06.13 09:20:51 | 000,654,666 | ---- | M] () -- C:\windows\SysNative\perfh007.dat [2012.06.13 09:20:51 | 000,616,508 | ---- | M] () -- C:\windows\SysNative\perfh009.dat [2012.06.13 09:20:51 | 000,130,248 | ---- | M] () -- C:\windows\SysNative\perfc007.dat [2012.06.13 09:20:51 | 000,106,630 | ---- | M] () -- C:\windows\SysNative\perfc009.dat [2012.06.12 14:18:06 | 000,184,328 | ---- | M] () -- C:\windows\SysWow64\T7M6S0.TAL [2012.06.12 14:18:00 | 000,138,332 | ---- | M] () -- C:\windows\SysWow64\0R75L0.TAL [2012.06.08 23:15:20 | 000,000,011 | ---- | M] () -- C:\trace.ini [2012.06.05 09:35:22 | 000,241,798 | ---- | M] () -- C:\Users\**********\Desktop\xxxxxxxxxxxxxx.pdf [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.04 06:40:19 | 000,302,592 | ---- | C] () -- C:\Users\**********\Desktop\f2nnluih.exe [2012.07.03 13:58:07 | 000,003,288 | ---- | C] () -- C:\bootsqm.dat [2012.07.01 11:19:40 | 000,996,044 | ---- | C] () -- C:\Users\**********\Desktop\xxxxxxxxxxx.pdf [2012.06.29 16:58:22 | 000,069,795 | ---- | C] () -- C:\Users\**********\Desktop\fahrplanauskunft_ xxxxxxx.pdf [2012.06.29 16:58:06 | 000,069,829 | ---- | C] () -- C:\Users\**********\Desktop\fahrplanauskunf xxxxxxxx.pdf [2012.06.25 15:18:26 | 000,000,017 | ---- | C] () -- C:\windows\SysWow64\shortcut_ex.dat [2012.06.24 13:09:43 | 000,090,737 | ---- | C] () -- C:\Users\**********\Desktop\Smileys.pdf [2012.06.24 10:46:36 | 000,027,792 | ---- | C] () -- C:\Users\**********\Desktop\smiley20sad.jpg [2012.06.24 10:44:09 | 000,039,324 | ---- | C] () -- C:\Users\**********\Desktop\Smiley gut.jpg [2012.06.13 09:24:22 | 000,348,374 | ---- | C] () -- C:\Users\**********\Documents\**********.de-fr-vtu [2012.06.11 14:48:50 | 000,184,328 | ---- | C] () -- C:\windows\SysWow64\T7M6S0.TAL [2012.06.11 14:48:45 | 000,138,332 | ---- | C] () -- C:\windows\SysWow64\0R75L0.TAL [2012.06.11 14:34:36 | 000,010,240 | ---- | C] () -- C:\windows\SysWow64\vidx16.dll [2012.06.11 14:34:36 | 000,005,672 | ---- | C] () -- C:\windows\SysWow64\quartz.vxd [2012.06.08 23:15:20 | 000,000,011 | ---- | C] () -- C:\trace.ini [2012.06.05 09:35:22 | 000,241,798 | ---- | C] () -- C:\Users\**********\Desktop\xxxxxxxxxx.pdf [2012.01.10 22:29:54 | 013,904,384 | ---- | C] () -- C:\windows\SysWow64\ig4icd32.dll [2011.10.21 18:27:54 | 000,867,020 | ---- | C] () -- C:\windows\SysWow64\igkrng575.bin [2011.10.21 18:27:54 | 000,128,204 | ---- | C] () -- C:\windows\SysWow64\igcompkrng575.bin [2011.10.21 18:27:54 | 000,105,608 | ---- | C] () -- C:\windows\SysWow64\igfcg575m.bin [2011.08.04 12:40:47 | 004,020,924 | ---- | C] () -- C:\windows\SysWow64\PerfStringBackup.INI [2011.07.29 23:55:03 | 000,000,655 | ---- | C] () -- C:\windows\eReg.dat [2011.07.27 18:23:48 | 000,000,108 | ---- | C] () -- C:\ProgramData\CameraRecorder.ini [2010.09.09 22:16:39 | 000,361,808 | ---- | C] () -- C:\windows\EMCRI_E.dll ========== LOP Check ========== [2011.11.25 22:47:20 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\GHISLER [2012.01.03 11:23:07 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\Opera [2012.06.24 23:16:48 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\SoftGrid Client [2012.07.02 23:02:55 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\TeamViewer [2012.04.10 12:03:10 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\Telefónica [2011.07.28 14:35:20 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\The Bat! [2011.08.04 12:41:27 | 000,000,000 | ---D | M] -- C:\Users\**********\AppData\Roaming\TP [2012.05.07 21:45:16 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.07.29 13:12:25 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin [2010.08.18 22:19:08 | 000,000,000 | -HSD | M] -- C:\Boot [2009.07.14 07:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings [2010.09.09 22:10:31 | 000,000,000 | ---D | M] -- C:\Intel [2009.07.14 05:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs [2012.07.04 10:48:47 | 000,000,000 | R--D | M] -- C:\Program Files [2012.07.04 10:47:54 | 000,000,000 | R--D | M] -- C:\Program Files (x86) [2012.07.04 10:49:56 | 000,000,000 | -H-D | M] -- C:\ProgramData [2011.07.27 13:51:02 | 000,000,000 | -HSD | M] -- C:\Recovery [2012.07.04 11:48:20 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.07.29 13:12:17 | 000,000,000 | R--D | M] -- C:\Users [2011.07.27 16:36:42 | 000,000,000 | ---D | M] -- C:\Utility [2012.07.03 09:23:16 | 000,000,000 | ---D | M] -- C:\Windows < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\windows\SysNative\drivers\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\windows\SysNative\DriverStore\FileRepository\machine.inf_amd64_neutral_a2f120466549d68b\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_1607dee2d861e021\AGP440.sys [2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_1838f2aad55063bb\AGP440.sys < MD5 for: ATAPI.SYS > [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\windows\SysNative\drivers\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\windows\SysNative\DriverStore\FileRepository\mshdc.inf_amd64_neutral_aad30bdeec04ea5e\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys [2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys < MD5 for: CNGAUDIT.DLL > [2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\SysWOW64\cngaudit.dll [2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll [2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\windows\SysNative\cngaudit.dll [2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_4458dccc49458461\cngaudit.dll < MD5 for: EXPLORER.EXE > [2010.09.09 22:14:42 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_b8b0208ee0ce1889\explorer.exe [2011.02.26 08:23:14 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=0862495E0C825893DB75EF44FAEA8E93 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe [2011.02.26 07:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe [2011.02.26 07:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_b8ce9756e0b786a4\explorer.exe [2010.09.09 22:21:34 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_b819b343c7ba6202\explorer.exe [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe [2011.02.25 08:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\explorer.exe [2011.02.25 08:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe [2011.02.26 08:14:34 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=3B69712041F3D63605529BD66DC00C48 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe [2010.11.20 14:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe [2010.09.09 22:14:42 | 002,868,736 | ---- | M] (Microsoft Corporation) MD5=6D4F9E4B640B413C6F73414327484C80 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_addea9f19345cd81\explorer.exe [2010.09.09 22:15:54 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=700073016DAC1C3D2E7E2CE4223334B6 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\SysWOW64\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe [2010.09.09 22:21:34 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=9AAAEC8DAC27AA17B053E6352AD233AE -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe [2010.09.09 22:15:54 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_b8d95faae0af7617\explorer.exe [2010.11.20 15:24:45 | 002,872,320 | ---- | M] (Microsoft Corporation) MD5=AC4C51EB24AA95B77F705AB159189E24 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe [2010.09.09 22:21:34 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=B8EC4BD49CE8F6FC457721BFC210B67F -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe [2010.09.09 22:15:54 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_b853c407c78e3ba9\explorer.exe [2009.07.14 03:39:10 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=C235A51CB740E45FFA0EBFB9BAFCDA64 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe [2010.09.09 22:21:34 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_b89b8100e0dd69c2\explorer.exe [2010.09.09 22:14:42 | 002,868,736 | ---- | M] (Microsoft Corporation) MD5=CA17F8620815267DC838E30B68CB5052 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_ae5b763cac6d568e\explorer.exe [2011.02.26 08:26:45 | 002,870,784 | ---- | M] (Microsoft Corporation) MD5=E38899074D4951D31B4040E994DD7C8D -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_ae79ed04ac56c4a9\explorer.exe [2010.09.09 22:15:54 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=F170B4A061C9E026437B193B4D571799 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe [2010.09.09 22:14:42 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_b8335443c7a68f7c\explorer.exe < MD5 for: IASTOR.SYS > [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) MD5=ABBF174CB394F5C437410A788B7E404A -- C:\windows\SysNative\drivers\iaStor.sys [2010.03.04 04:51:40 | 000,540,696 | ---- | M] (Intel Corporation) MD5=ABBF174CB394F5C437410A788B7E404A -- C:\windows\SysNative\DriverStore\FileRepository\iaahci.inf_amd64_neutral_78ebae21a80aa2b4\iaStor.sys < MD5 for: IASTORV.SYS > [2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_668286aa35d55928\iaStorV.sys [2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_0d3757e79e6784d0\iaStorV.sys [2011.03.11 08:19:16 | 000,410,496 | ---- | M] (Intel Corporation) MD5=5B3DE7208E5000D5B451B9D290D2579C -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_0d714416b7c182d5\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\windows\SysNative\drivers\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_0bcee2057afcc090\iaStorV.sys [2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_0cf9793d9e95787b\iaStorV.sys [2011.03.11 08:23:00 | 000,410,496 | ---- | M] (Intel Corporation) MD5=B75E45C564E944A2657167D197AB29DA -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iaStorV.sys [2011.03.11 08:25:49 | 000,410,496 | ---- | M] (Intel Corporation) MD5=BFDC9D75698800CFE4D1698BF2750EA2 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_0bccc8c8ba6985c1\iaStorV.sys [2009.07.14 03:48:04 | 000,410,688 | ---- | M] (Intel Corporation) MD5=D83EFB6FD45DF9D55E9A1AFC63640D50 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iaStorV.sys < MD5 for: NETLOGON.DLL > [2009.07.14 03:41:52 | 000,692,736 | ---- | M] (Microsoft Corporation) MD5=956D030D375F207B22FB111E06EF9C35 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_59aca8ea51aaeefe\netlogon.dll [2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\windows\SysNative\netlogon.dll [2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_5bddbcb24e997298\netlogon.dll [2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\SysWOW64\netlogon.dll [2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_6632670482fa3493\netlogon.dll [2009.07.14 03:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_6401533c860bb0f9\netlogon.dll < MD5 for: NVSTOR.SYS > [2009.07.14 03:45:45 | 000,167,488 | ---- | M] (NVIDIA Corporation) MD5=477DC4D6DEB99BE37084C9AC6D013DA1 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvstor.sys [2011.03.11 08:23:06 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=6C1D5F70E7A6A3FD1C90D840EDC048B9 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvstor.sys [2011.03.11 08:25:53 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=AE274836BA56518E279087363A781214 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_96963977f1a02f99\nvstor.sys [2011.03.11 08:19:21 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=D23C7E8566DA2B8A7C0DBBB761D54888 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_983ab4c5eef82cad\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\windows\SysNative\drivers\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_0276fc3b3ea60d41\nvstor.sys [2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_97c2e9ecd5cc2253\nvstor.sys [2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_dd659ed032d28a14\nvstor.sys [2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_9800c896d59e2ea8\nvstor.sys < MD5 for: SCECLI.DLL > [2009.07.14 03:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9e577e55272d37b4\scecli.dll [2009.07.14 03:41:53 | 000,232,448 | ---- | M] (Microsoft Corporation) MD5=398712DDDAEFB85EDF61DF6A07B65C79 -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9402d402f2cc75b9\scecli.dll [2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\SysWOW64\scecli.dll [2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_a088921d241bbb4e\scecli.dll [2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\windows\SysNative\scecli.dll [2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_9633e7caefbaf953\scecli.dll < MD5 for: USER32.DLL > [2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll [2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll [2009.07.14 03:41:56 | 001,008,640 | ---- | M] (Microsoft Corporation) MD5=72D7B3EA16946E8F0CF7458150031CC6 -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll [2009.07.14 03:11:24 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=E8B0FFC209E504CB7E79FC24E6C085F0 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll [2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\windows\SysNative\user32.dll [2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll < MD5 for: USERINIT.EXE > [2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe [2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe [2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe [2009.07.14 03:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_381dabbceb60feb2\userinit.exe [2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\windows\SysNative\userinit.exe [2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe < MD5 for: WINLOGON.EXE > [2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\windows\SysNative\winlogon.exe [2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe [2009.07.14 03:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe [2010.09.09 22:21:34 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=A93D41A4D4B0D91C072D11DD8AF266DE -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe [2010.09.09 22:21:34 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe < MD5 for: WS2IFSL.SYS > [2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\windows\SysNative\drivers\ws2ifsl.sys [2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_ab7b927be17eace8\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > < %systemroot%\system32\*.dll /lockedfiles > < %USERPROFILE%\*.* > [2012.07.04 11:51:15 | 002,621,440 | -HS- | M] () -- C:\Users\**********\ntuser.dat [2012.07.04 11:51:15 | 000,262,144 | -HS- | M] () -- C:\Users\**********\ntuser.dat.LOG1 [2011.07.27 13:53:14 | 000,000,000 | -HS- | M] () -- C:\Users\**********\ntuser.dat.LOG2 [2011.07.27 17:09:15 | 000,065,536 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf [2011.07.27 17:09:15 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms [2011.07.27 17:09:15 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms [2012.07.03 00:15:49 | 000,065,536 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TM.blf [2012.07.03 00:15:49 | 000,524,288 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TMContainer00000000000000000001.regtrans-ms [2012.07.03 00:15:49 | 000,524,288 | -HS- | M] () -- C:\Users\**********\ntuser.dat{45e61f62-c48c-11e1-a948-6c626d29b8b0}.TMContainer00000000000000000002.regtrans-ms [2011.11.05 23:14:31 | 000,065,536 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TM.blf [2011.11.05 23:14:31 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TMContainer00000000000000000001.regtrans-ms [2011.11.05 23:14:31 | 000,524,288 | -HS- | M] () -- C:\Users\**********\NTUSER.DAT{4c81a183-07ee-11e1-830e-6c626d29b8b0}.TMContainer00000000000000000002.regtrans-ms [2011.07.27 13:53:14 | 000,000,020 | -HS- | M] () -- C:\Users\**********\ntuser.ini < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 < End of report > So, wat nu? |
04.07.2012, 13:52 | #7 |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) und wo ist das log mit den funden.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.07.2012, 14:36 | #8 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Sorry, bin jetzt scheinbar etwas vernagelt. Welches Log meinst du jetzt genau? Das von Avira hatte ich gestern abend geposted. Ach ich glaub ich weiß welches du meinst. Malwarebytes Log 1: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 ********** :: ********** [Administrator] Schutz: Aktiviert 03.07.2012 19:06:05 mbam-log-2012-07-03 (19-06-05).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 225806 Laufzeit: 4 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 ********* :: ********* [Administrator] Schutz: Aktiviert 03.07.2012 19:11:44 mbam-log-2012-07-03 (19-11-44).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 359686 Laufzeit: 2 Stunde(n), 14 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Gast\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\33516V6V\SoftonicDownloader_fuer_visual-basic-runtime.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Von Avira habe ich auch noch eins von heute morgen: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 08:59 Es wird nach 3831298 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : ********** Computername : ********** Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 18:07:35 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 18:07:35 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 18:07:41 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:07:43 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:06:50 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:41:15 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:47:03 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:16:11 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:16:11 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:16:11 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:16:11 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:16:12 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:16:12 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:16:12 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:16:12 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:16:12 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 19:09:43 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 19:09:44 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 19:09:44 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 19:09:44 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 19:09:44 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 19:09:44 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 19:09:44 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 19:09:44 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 19:09:44 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 19:09:44 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 19:09:44 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 19:09:44 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 19:09:44 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 19:09:44 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 19:09:44 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 19:09:44 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 19:09:45 VBASE031.VDF : 7.11.34.248 67072 Bytes 03.07.2012 19:10:16 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:15:40 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:17:46 AESCN.DLL : 8.1.8.2 131444 Bytes 16.03.2012 21:45:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 18:19:38 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:17:43 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:18:10 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 18:18:05 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:16:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 18:19:35 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 18:18:11 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:19:00 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 18:07:33 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 18:07:35 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:07:43 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 18:07:34 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 18:07:35 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 18:07:42 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 18:07:36 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 18:07:41 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 18:07:34 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 18:07:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Schnelle Systemprüfung Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\quicksysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 99 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM), Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 08:59 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Versteckter Treiber [HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashUtil32_11_3_300_257_ActiveX.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MGSysCtrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ImpWiFiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSIService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\windows\system32\svchost.exe' Signiert -> 'C:\windows\system32\winlogon.exe' Signiert -> 'C:\windows\explorer.exe' Signiert -> 'C:\windows\system32\smss.exe' Signiert -> 'C:\windows\system32\wininet.DLL' Signiert -> 'C:\windows\system32\wsock32.DLL' Signiert -> 'C:\windows\system32\ws2_32.DLL' Signiert -> 'C:\windows\system32\services.exe' Signiert -> 'C:\windows\system32\lsass.exe' Signiert -> 'C:\windows\system32\csrss.exe' Signiert -> 'C:\windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\windows\system32\spoolsv.exe' Signiert -> 'C:\windows\system32\alg.exe' Signiert -> 'C:\windows\system32\wuauclt.exe' Signiert -> 'C:\windows\system32\advapi32.DLL' Signiert -> 'C:\windows\system32\user32.DLL' Signiert -> 'C:\windows\system32\gdi32.DLL' Signiert -> 'C:\windows\system32\kernel32.DLL' Signiert -> 'C:\windows\system32\ntdll.DLL' Signiert -> 'C:\windows\system32\ntoskrnl.exe' Signiert -> 'C:\windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Windows\Sysnative\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Die Registry wurde durchsucht ( '1593' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\**********' C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\74188b60-166b4aa8 [0] Archivtyp: ZIP --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BB --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\13fa69e9-2a53a06d [0] Archivtyp: ZIP --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BB --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\d5c687b-2ca0a1c6 [0] Archivtyp: ZIP --> C2.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BD Beginne mit der Suche in 'C:\windows' Beginne mit der Suche in 'C:\Users\' C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\74188b60-166b4aa8 [0] Archivtyp: ZIP --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BB --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\13fa69e9-2a53a06d [0] Archivtyp: ZIP --> sIda/sIdc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ --> sIda/sIdb.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BB --> sIda/sIda.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\d5c687b-2ca0a1c6 [0] Archivtyp: ZIP --> C2.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BD Beginne mit der Suche in 'C:\Program Files (x86)' C:\Program Files (x86)\WinRAR 3.61 Multi\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt Beginne mit der Desinfektion: C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\d5c687b-2ca0a1c6 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.BD [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5643ad5f.qua' verschoben! C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\13fa69e9-2a53a06d [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed982fe.qua' verschoben! C:\Users\**********\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\74188b60-166b4aa8 [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1cf9d817.qua' verschoben! Ende des Suchlaufs: Mittwoch, 4. Juli 2012 10:35 Benötigte Zeit: 1:36:20 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 25417 Verzeichnisse wurden überprüft 468675 Dateien wurden geprüft 16 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 468658 Dateien ohne Befall 2260 Archive wurden durchsucht 2 Warnungen 4 Hinweise 32165 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden |
04.07.2012, 14:40 | #9 | |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) ja meinte ich. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.07.2012, 16:27 | #10 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Hallo Markus, habe noch defogger drüber laufen lassen, bevor du geschrieben hast dass ich Combofix drüber laufen lassen soll, weil ich diesen versteckten Eintrag in dem Virenscan noch loswerden wollte. Hat leider nicht so ganz funktioniert. Nu hab ich statt einem versteckten Objekt 26.... Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 14:25 Es wird nach 3831298 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : ********** Computername : ********** Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 18:07:35 AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 18:07:35 LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 18:07:41 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:07:43 AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:06:50 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:41:15 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:47:03 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:16:11 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:16:11 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:16:11 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:16:11 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:16:12 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:16:12 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:16:12 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:16:12 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:16:12 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 19:09:43 VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 19:09:44 VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 19:09:44 VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 19:09:44 VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 19:09:44 VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 19:09:44 VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 19:09:44 VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 19:09:44 VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 19:09:44 VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 19:09:44 VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 19:09:44 VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 19:09:44 VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 19:09:44 VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 19:09:44 VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 19:09:44 VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 19:09:44 VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 19:09:45 VBASE031.VDF : 7.11.34.248 67072 Bytes 03.07.2012 19:10:16 Engineversion : 8.2.10.102 AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:15:40 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:17:46 AESCN.DLL : 8.1.8.2 131444 Bytes 16.03.2012 21:45:51 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 18:19:38 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:17:43 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 18:18:10 AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 18:18:05 AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 18:16:40 AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 18:19:35 AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 18:18:11 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:19:00 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 18:07:33 AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 18:07:35 AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:07:43 AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 18:07:34 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 18:07:35 SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 18:07:42 AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 18:07:36 NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 18:07:41 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 18:07:34 RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 18:07:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits und aktiver Malware Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 99 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM), Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 14:25 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{13A23063-A022-4142-AE53-634F94EF7808} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0016\Linkage\UpperBind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{845E9A43-8BD5-442E-8E0B-DE0DBA5DB835}\Connection\Name [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{845E9A43-8BD5-442E-8E0B-DE0DBA5DB835}\Connection\Name HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{845E9A43-8BD5-442E-8E0B-DE0DBA5DB835}\Connection\Name HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{845E9A43-8BD5-442E-8E0B-DE0DBA5DB835}\Connection\Name HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Bind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Route [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Export [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0016\Linkage\UpperBind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}\##?#ROOT#*ISATAP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}\#{93698D85-96A9-44EC-BCD9-659DE6DC33DA} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\Config [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{93698D85-96A9-44EC-BCD9-659DE6DC33DA} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Bind [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Route [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Export [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Enum\PCI\VEN_8086&DEV_3B32&SUBSYS_10331462&REV_05\3&11583659&1&FE\LogConf\BootConfig [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\services\iphlpsvc\Parameters\Isatap\{93698D85-96A9-44EC-BCD9-659DE6DC33DA} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\services\iphlpsvc\Teredo\PreviousState\00-23-08-9e-ee-6f\TeredoAddress [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\services\sptd\ImagePath [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\services\TCPIP6\Parameters\Interfaces\{93698d85-96a9-44ec-bcd9-659de6dc33da} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Health\{B0F00BA5-E4C4-4610-8A6A-5982A6FBCEEC} [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Action Center\Checks\{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}.check.101\CheckSetting [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Action Center\Checks\{E8433B72-5842-4d43-8645-BC2C35960837}.check.100\CheckSetting [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Action Center\Checks\{E8433B72-5842-4d43-8645-BC2C35960837}.check.102\CheckSetting [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\MRUListEx [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'UNS.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'NASvc.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'MGSysCtrl.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'CVHSVC.EXE' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'sftlist.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'ImpWiFiSvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'MSIService.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\windows\system32\svchost.exe' Signiert -> 'C:\windows\system32\winlogon.exe' Signiert -> 'C:\windows\explorer.exe' Signiert -> 'C:\windows\system32\smss.exe' Signiert -> 'C:\windows\system32\wininet.DLL' Signiert -> 'C:\windows\system32\wsock32.DLL' Signiert -> 'C:\windows\system32\ws2_32.DLL' Signiert -> 'C:\windows\system32\services.exe' Signiert -> 'C:\windows\system32\lsass.exe' Signiert -> 'C:\windows\system32\csrss.exe' Signiert -> 'C:\windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\windows\system32\spoolsv.exe' Signiert -> 'C:\windows\system32\alg.exe' Signiert -> 'C:\windows\system32\wuauclt.exe' Signiert -> 'C:\windows\system32\advapi32.DLL' Signiert -> 'C:\windows\system32\user32.DLL' Signiert -> 'C:\windows\system32\gdi32.DLL' Signiert -> 'C:\windows\system32\kernel32.DLL' Signiert -> 'C:\windows\system32\ntdll.DLL' Signiert -> 'C:\windows\system32\ntoskrnl.exe' Signiert -> 'C:\windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1591' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' <OS_Install> C:\Program Files (x86)\WinRAR 3.61 Multi\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt Ende des Suchlaufs: Mittwoch, 4. Juli 2012 16:01 Benötigte Zeit: 1:36:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 23916 Verzeichnisse wurden überprüft 558615 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 558615 Dateien ohne Befall 2365 Archive wurden durchsucht 1 Warnungen 23 Hinweise 485212 Objekte wurden beim Rootkitscan durchsucht 26 Versteckte Objekte wurden gefunden Nachdem ich hier noch einmal ein wenig gestöbert habe, habe ich mich entschieden, Combofix durchlaufen zu lassen. Es lief genauso wie beschrieben. Hier das ComboFix-Log: Code:
ATTFilter ComboFix 12-07-04.03 - ********** 04.07.2012 17:57:56.1.2 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3886.2218 [GMT 2:00] ausgeführt von:: c:\users\**********\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\users\**********\AppData\Local\Temp\{9DA7889E-3E5D-4AB0-9BF5-F42DC8EB6EBE}\fpb.tmp c:\users\**********\AppData\Local\Temp\{9DA7889E-3E5D-4AB0-9BF5-F42DC8EB6EBE}\fpb.tmp c:\windows\pkunzip.pif c:\windows\pkzip.pif . . ((((((((((((((((((((((( Dateien erstellt von 2012-06-04 bis 2012-07-04 )))))))))))))))))))))))))))))) . . 2012-07-04 10:49 . 2012-07-04 10:49 -------- d-----w- c:\program files\CCleaner 2012-07-04 08:08 . 2012-07-04 08:08 -------- d-----w- c:\program files\Java 2012-07-04 08:05 . 2012-07-04 08:08 839096 ----a-w- c:\windows\system32\deployJava1.dll 2012-07-04 08:05 . 2012-07-04 08:08 955840 ----a-w- c:\windows\system32\npDeployJava1.dll 2012-07-03 17:03 . 2012-07-03 17:03 -------- d-----w- c:\users\**********\AppData\Roaming\Malwarebytes 2012-07-03 17:03 . 2012-07-03 17:03 -------- d-----w- c:\programdata\Malwarebytes 2012-07-03 17:03 . 2012-04-04 13:56 24904 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-07-03 17:03 . 2012-07-03 17:03 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-07-02 21:28 . 2012-05-31 04:04 9013136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{6995F686-B47F-40EC-9522-B42BC69986FB}\mpengine.dll 2012-06-23 13:23 . 2012-06-23 13:23 -------- d-----w- c:\users\**********\AppData\Local\Macromedia 2012-06-21 04:41 . 2012-06-02 22:19 2428952 ----a-w- c:\windows\system32\wuaueng.dll 2012-06-21 04:41 . 2012-06-02 22:19 57880 ----a-w- c:\windows\system32\wuauclt.exe 2012-06-21 04:41 . 2012-06-02 22:19 44056 ----a-w- c:\windows\system32\wups2.dll 2012-06-21 04:41 . 2012-06-02 22:15 2622464 ----a-w- c:\windows\system32\wucltux.dll 2012-06-21 04:41 . 2012-06-02 22:19 38424 ----a-w- c:\windows\system32\wups.dll 2012-06-21 04:41 . 2012-06-02 22:19 701976 ----a-w- c:\windows\system32\wuapi.dll 2012-06-21 04:41 . 2012-06-02 22:15 99840 ----a-w- c:\windows\system32\wudriver.dll 2012-06-21 04:40 . 2012-06-02 13:19 186752 ----a-w- c:\windows\system32\wuwebv.dll 2012-06-21 04:40 . 2012-06-02 13:15 36864 ----a-w- c:\windows\system32\wuapp.exe 2012-06-13 06:55 . 2012-05-18 01:56 304640 ----a-w- c:\program files\Internet Explorer\IEShims.dll 2012-06-13 06:54 . 2012-05-04 11:00 366592 ----a-w- c:\windows\system32\qdvd.dll 2012-06-13 06:54 . 2012-05-04 09:59 514560 ----a-w- c:\windows\SysWow64\qdvd.dll 2012-06-13 06:54 . 2012-05-15 01:32 3146752 ----a-w- c:\windows\system32\win32k.sys 2012-06-13 06:54 . 2012-04-28 03:55 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-06-13 06:54 . 2012-05-04 11:06 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe 2012-06-13 06:53 . 2012-05-04 10:03 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe 2012-06-13 06:53 . 2012-05-04 10:03 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe 2012-06-13 06:53 . 2012-05-01 05:40 209920 ----a-w- c:\windows\system32\profsvc.dll 2012-06-13 06:53 . 2012-04-26 05:41 77312 ----a-w- c:\windows\system32\rdpwsx.dll 2012-06-13 06:53 . 2012-04-26 05:41 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll 2012-06-13 06:53 . 2012-04-26 05:34 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe 2012-06-13 06:53 . 2012-04-07 12:31 3216384 ----a-w- c:\windows\system32\msi.dll 2012-06-13 06:53 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\SysWow64\msi.dll 2012-06-13 06:51 . 2012-04-24 05:37 1462272 ----a-w- c:\windows\system32\crypt32.dll 2012-06-13 06:51 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\SysWow64\crypt32.dll 2012-06-13 06:51 . 2012-04-24 05:37 184320 ----a-w- c:\windows\system32\cryptsvc.dll 2012-06-13 06:51 . 2012-04-24 05:37 140288 ----a-w- c:\windows\system32\cryptnet.dll 2012-06-13 06:51 . 2012-04-24 04:36 140288 ----a-w- c:\windows\SysWow64\cryptsvc.dll 2012-06-13 06:51 . 2012-04-24 04:36 103936 ----a-w- c:\windows\SysWow64\cryptnet.dll 2012-06-06 13:24 . 2012-06-06 13:24 770384 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr100.dll 2012-06-06 13:24 . 2012-06-06 13:24 421200 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp100.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-06-30 08:43 . 2012-04-13 15:41 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2012-06-30 08:43 . 2011-07-28 23:10 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-05-08 18:07 . 2012-03-16 21:38 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-05-08 18:07 . 2012-03-16 21:38 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-03-04 284696] "MGSysCtrl"="c:\program files (x86)\System Control Manager\MGSysCtrl.exe" [2010-02-05 2408448] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624] "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" . R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944] R3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2009-05-26 19968] R3 EUCR;EUCR;c:\windows\system32\DRIVERS\EUCR6SK.SYS [2009-12-05 87888] R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [2010-07-27 117248] R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2010-08-31 256000] R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [x] R3 MGHwCtrl;MGHwCtrl;c:\program files\msi\msi Software Install\MGHwCtrl.sys [x] R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-17 113120] R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392] R4 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-09-16 27760] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224] S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664] S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336] S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408] S2 Micro Star SCM;Micro Star SCM;c:\program files (x86)\System Control Manager\MSIService.exe [2009-07-09 160768] S2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2011-11-25 687400] S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2009-12-02 483688] S2 TGCM_ImportWiFiSvc;TGCM_ImportWiFiSvc;c:\program files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe [2010-09-29 200624] S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2320920] S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344] S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [2010-10-09 85504] S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-05-10 158976] S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-05-10 271872] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 24904] S3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS\netr28x.sys [2010-02-08 855328] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-06-10 539240] S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2009-12-02 721768] S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2009-12-02 269672] S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2009-12-02 25960] S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2009-12-02 22376] S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2009-12-02 209768] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-02 7938080] "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-02 1833504] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-01-10 167704] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-01-10 392984] "Persistence"="c:\windows\system32\igfxpers.exe" [2012-01-10 417560] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.google.de/ mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyServer = 203.42.246.231:80 uInternet Settings,ProxyOverride = <local> TCP: DhcpNameServer = 192.168.2.1 DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} - hxxp://www.myheritage.de/Genoogle/Components/ActiveX/SearchEngineQuery.dll DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab FF - ProfilePath - c:\users\**********\AppData\Roaming\Mozilla\Firefox\Profiles\ew4cbln8.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2849855&SearchSource=2&q= FF - prefs.js: network.proxy.type - 0 FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . URLSearchHooks-{64ead72b-ffd4-4e01-aa3a-4c71665d73e4} - (no file) Toolbar-Locked - (no file) Toolbar-Locked - (no file) WebBrowser-{64EAD72B-FFD4-4E01-AA3A-4C71665D73E4} - (no file) HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-3706501026-331518204-1113534185-1000\Software\SecuROM\License information*] "datasecu"=hex:fe,0d,c1,f9,05,61,61,5d,c8,85,96,31,2b,b1,5e,4a,cb,c3,4f,6b,56, 37,bb,d3,fc,e1,05,01,34,bf,c7,b4,53,53,24,df,cf,a7,20,3d,99,f9,9a,a8,9d,9a,\ "rkeysecu"=hex:99,66,e1,7a,83,1e,9d,df,c8,30,02,1e,02,e1,14,bc . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.11" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe . ************************************************************************** . Zeit der Fertigstellung: 2012-07-04 18:35:28 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-07-04 16:35 . Vor Suchlauf: 8 Verzeichnis(se), 134.167.568.384 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 133.898.641.408 Bytes frei . - - End Of File - - 4169D86F1F8C328641252F92F8A39050 Wie geht es nun weiter? |
04.07.2012, 18:41 | #11 |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) mach doch einfach mal nur das, was da steht wenn das versteckte objekt schädlich gewesen währe, hätte ichs dir sicher schon gesagt. lade den CCleaner standard: CCleaner Download - CCleaner 3.20.1750 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.07.2012, 19:25 | #12 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Auftrag erledigt - War das ne Strafarbeit? |
04.07.2012, 21:22 | #13 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Bevor ich es mir mit dir verderbe: das war selbstverständlich nur ein Scherz. Habe hier schon des öfteren gelesen, dass jemand seine Progs so auflisten sollte. Ich finde das bewundernswert, was du/ihr hier leistet und bin dafür sehr dankbar! |
04.07.2012, 22:42 | #14 |
/// Malware-holic | Auch GVU-Trojaner? (aber ein wenig anders...) weil du heute nicht aufgegessen hast, deswegen :d deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: ArcSoft : alle Camera Opera Windows Live öffne CCleaner analysieren, ccleaner starten, otl öffnen, cleanup pc startet neu, testen wie der pc läuft
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
05.07.2012, 09:15 | #15 |
| Auch GVU-Trojaner? (aber ein wenig anders...) Bin gerade dabei, die De- und Reinstallationen abzuarbeiten. Beim deinstall von Adobe Reader kam da jetzt eine Meldung dass da irgend ein Snap In zur Konsole hinzugefügt werden soll. Ist das normal? So, alles abgearbeitet. PC läuft ohne Probleme, WLan-Verbindung war heute und auch schon gestern abend bisher stabil. Heute morgen beim ersten Virenscan wurden wieder diese angeblichen Java-Viren gefunden, den habe ich dann aber abgebrochen, weil ich erstmal aufräumen wollte. Nachdem alles erledigt war, neuen Virenscan gestartet. 1 verstecktes Objekt gefunden: c:\combofix\catchme.sys mit dem Hinweis dass der Registrierungseintrag nicht sichtbar ist. Kann ich das löschen? Sonst zeigt Avira nix mehr an. Auch Malwarebytes findet nix mehr. Was nun? |
Themen zu Auch GVU-Trojaner? (aber ein wenig anders...) |
antworten, avira, avira rescue, bild, dateien, entfernen, gen, gesperrt, google, gvu-trojaner?, internetverbindung, klicke, leute, plötzlich, rechner, rescue cd, scan, scanner, seite, strg, trojaner, verbindung, verseucht, versteckte, virenscanner, webcam, zugriff |