|
Log-Analyse und Auswertung: GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglosWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.08.2012, 18:10 | #1 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hallo alle zusammen, ich habe mir heute den GVU Trojaner eingefangen und erstelle hiermit wie gewünscht ein neues Thema. Das Kaspersky-tool von chip.de habe ich ohne Erfolg laufen lassen - will heissen, dass im offline-Betrieb der Taskmanager nach einigen Sekunden selbstständig schließt und nicht wieder zu öffnen ist und im online-Betrieb nach einer gewissen Zeit die Desktop-Sperrung auftritt...ziemlich nervig das Ganze wie ihr vermutlich alle wisst. Ich habe die beschriebenen Schritte ausgeführt und werde die Extras.txt und die OLR.txt anhängen. Ganz als erstes habe ich eine ctfmon aus meinem Autostart entfernt (nur die Verknüfung) welche sich aber offenbar erneuert und jetzt wieder da ist.... Ich hoffe ja, dass mir bereits übers Wochenende helfen kann, aber hetzt euch bitte nicht extra - ihr macht auch so schon einen geilen Job! MfG infectet 17.08.2012 KunZ |
17.08.2012, 19:25 | #2 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglosIch habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld
__________________ |
17.08.2012, 20:35 | #3 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hallo,
__________________habe inzwischen einen vollständigen Suchlauf mit Malwarebytes Anti-Malware durchgeführt. Log-Datei folgt. Die C:\Games\Anno\solidcore32.dll , die als erster Eintrag angezeigt wird, ist ein alter Bekannter von mir. Das Problem trat direkt nach Installation der (Original!)Software auf und wurde mir von ANtivir gemeldet. Auch nach Neuinstallation wieder das gleiche Spiel - auch wenn ich davon ausgehe, dass die Datei unschädlich ist, ziehe ich immer das Internetkabel bevor ich das Spiel spiele... Die wtbt0.dll scheint der neue Störenfried zu sein. Die Datei ist noch nie aufgetaucht und der Ordner sieht ja auch irgendwie nach drive-by-infektion aus.... Vielen Dank schonmal für deine schnelle Antwort! Du hast mir damit Mut gemacht... Ich freu mich schon auf deine Hilfe! MfG KunZ Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 KunZ :: RITCHIE [Administrator] 17.08.2012 19:24:38 mbam-log-2012-08-17 (21-16-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 506964 Laufzeit: 1 Stunde(n), 30 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\Users\KunZ\AppData\Local\Temp\wpbt0.dll (Exploit.Drop.GS) -> Keine Aktion durchgeführt. Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Games\Anno\solidcore32.dll (Trojan.Krypt) -> Keine Aktion durchgeführt. C:\Users\KunZ\AppData\Local\Temp\wpbt0.dll (Exploit.Drop.GS) -> Keine Aktion durchgeführt. (Ende) |
18.08.2012, 13:12 | #4 | |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hallo und Ich bin Christoph und möchte dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
18.08.2012, 15:17 | #5 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hallo Christoph, erstmal recht herzlichen Dank für deine schnelle Antwort und deine Absicht, mir zu helfen! Und danke dass du am wochenende am PC sitzt um mir zu helfen! Ich habe 2 log-files produziert. Beim ersten Mal hatte ich vergessen den windows-defender zu deaktivieren. beim zweiten mal hab ichs gemacht aber ich scheine Antivir und den Defender nicht vollständig deaktivieren zu können.... Im Folgenden also die log.txt´s: Die erste mit Defender, die zweite (hoffentlich) ohne... Code:
ATTFilter ComboFix 12-08-17.03 - KunZ 18.08.2012 15:03:48.1.2 - x64 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.3327.2308 [GMT 2:00] ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\0tbpw.pad c:\users\KunZ\AppData\Local\Temp\wpbt0.dll c:\users\KunZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk c:\windows\IsUn0407.exe c:\windows\SysWow64\URTTemp c:\windows\SysWow64\URTTemp\regtlib.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-07-18 bis 2012-08-18 )))))))))))))))))))))))))))))) . . 2012-08-18 13:08 . 2012-08-18 13:08 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-08-17 17:49 . 2012-08-17 18:05 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\users\KunZ\AppData\Roaming\Malwarebytes 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\programdata\Malwarebytes 2012-08-17 17:22 . 2012-08-17 17:23 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-08-17 17:22 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-08-15 23:03 . 2012-08-15 23:03 -------- d-----w- c:\users\KunZ\AppData\Roaming\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\program files (x86)\Common Files\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\users\KunZ\AppData\Local\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple 2012-07-28 11:20 . 2012-07-28 11:20 -------- d-----w- c:\users\KunZ\AppData\Local\Macromedia 2012-07-28 11:19 . 2012-07-28 11:19 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-07-28 11:19 . 2011-12-10 01:01 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-06-02 22:19 . 2012-06-28 14:31 38424 ----a-w- c:\windows\system32\wups.dll 2012-06-02 22:19 . 2012-06-28 14:31 2428952 ----a-w- c:\windows\system32\wuaueng.dll 2012-06-02 22:19 . 2012-06-28 14:31 57880 ----a-w- c:\windows\system32\wuauclt.exe 2012-06-02 22:19 . 2012-06-28 14:31 44056 ----a-w- c:\windows\system32\wups2.dll 2012-06-02 22:19 . 2012-06-28 14:31 701976 ----a-w- c:\windows\system32\wuapi.dll 2012-06-02 22:15 . 2012-06-28 14:31 2622464 ----a-w- c:\windows\system32\wucltux.dll 2012-06-02 22:15 . 2012-06-28 14:31 99840 ----a-w- c:\windows\system32\wudriver.dll 2012-06-02 13:19 . 2012-06-28 14:31 186752 ----a-w- c:\windows\system32\wuwebv.dll 2012-06-02 13:15 . 2012-06-28 14:31 36864 ----a-w- c:\windows\system32\wuapp.exe 2012-05-23 20:29 . 2012-01-07 23:33 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-05-23 20:29 . 2012-01-07 23:33 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304] "GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux2"=wdmaud.drv . R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752] R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x] R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120] R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760] S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928] S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.nachdenkseiten.de/ mLocal Page = c:\windows\SysWOW64\blank.htm IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\ FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84, 74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\ "??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41 . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*] "datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04, ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\ "rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe c:\windows\SysWOW64\PnkBstrA.exe c:\windows\SOUNDMAN.EXE . ************************************************************************** . Zeit der Fertigstellung: 2012-08-18 15:40:16 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-08-18 13:40 . Vor Suchlauf: 18 Verzeichnis(se), 10.315.923.456 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 10.792.800.256 Bytes frei . - - End Of File - - 2E4847221436D770EB11F0699E0A5F60 Code:
ATTFilter ComboFix 12-08-17.03 - KunZ 18.08.2012 15:56:34.2.2 - x64 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.3327.2384 [GMT 2:00] ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . ((((((((((((((((((((((( Dateien erstellt von 2012-07-18 bis 2012-08-18 )))))))))))))))))))))))))))))) . . 2012-08-18 14:01 . 2012-08-18 14:01 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-08-17 17:49 . 2012-08-17 18:05 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\users\KunZ\AppData\Roaming\Malwarebytes 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\programdata\Malwarebytes 2012-08-17 17:22 . 2012-08-17 17:23 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-08-17 17:22 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-08-15 23:03 . 2012-08-15 23:03 -------- d-----w- c:\users\KunZ\AppData\Roaming\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\program files (x86)\Common Files\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\users\KunZ\AppData\Local\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple 2012-07-28 11:20 . 2012-07-28 11:20 -------- d-----w- c:\users\KunZ\AppData\Local\Macromedia 2012-07-28 11:19 . 2012-07-28 11:19 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-07-28 11:19 . 2011-12-10 01:01 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-06-02 22:19 . 2012-06-28 14:31 38424 ----a-w- c:\windows\system32\wups.dll 2012-06-02 22:19 . 2012-06-28 14:31 2428952 ----a-w- c:\windows\system32\wuaueng.dll 2012-06-02 22:19 . 2012-06-28 14:31 57880 ----a-w- c:\windows\system32\wuauclt.exe 2012-06-02 22:19 . 2012-06-28 14:31 44056 ----a-w- c:\windows\system32\wups2.dll 2012-06-02 22:19 . 2012-06-28 14:31 701976 ----a-w- c:\windows\system32\wuapi.dll 2012-06-02 22:15 . 2012-06-28 14:31 2622464 ----a-w- c:\windows\system32\wucltux.dll 2012-06-02 22:15 . 2012-06-28 14:31 99840 ----a-w- c:\windows\system32\wudriver.dll 2012-06-02 13:19 . 2012-06-28 14:31 186752 ----a-w- c:\windows\system32\wuwebv.dll 2012-06-02 13:15 . 2012-06-28 14:31 36864 ----a-w- c:\windows\system32\wuapp.exe 2012-05-23 20:29 . 2012-01-07 23:33 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-05-23 20:29 . 2012-01-07 23:33 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys . . ((((((((((((((((((((((((((((( SnapShot@2012-08-18_13.37.02 ))))))))))))))))))))))))))))))))))))))))) . + 2010-02-22 17:55 . 2012-08-18 13:38 34932 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-07-14 05:10 . 2012-08-18 13:38 39638 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin + 2010-02-22 16:45 . 2012-08-18 13:38 14558 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3307686048-1986362767-4140185705-1000_UserData.bin + 2010-02-23 18:21 . 2012-08-18 14:01 5148 c:\windows\system32\wdi\ERCQueuedResolutions.dat + 2010-05-04 15:29 . 2012-08-18 13:38 2214 c:\windows\system32\wdi\{b171ab1c-60e9-4301-a338-beab1c70b3e9}.bin + 2012-08-18 14:02 . 2012-08-18 14:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - 2012-08-18 13:36 . 2012-08-18 13:36 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - 2012-08-18 13:36 . 2012-08-18 13:36 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat + 2012-08-18 14:02 . 2012-08-18 14:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2009-07-14 02:34 . 2012-08-17 08:07 9961472 c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT + 2009-07-14 02:34 . 2012-08-18 13:50 9961472 c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304] "GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux2"=wdmaud.drv . R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752] R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x] R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120] R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760] S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928] S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264] . . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704] . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.nachdenkseiten.de/ mLocal Page = c:\windows\SysWOW64\blank.htm IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\ FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84, 74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\ "??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41 . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*] "datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04, ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\ "rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe c:\windows\SysWOW64\PnkBstrA.exe c:\windows\SOUNDMAN.EXE . ************************************************************************** . Zeit der Fertigstellung: 2012-08-18 16:06:32 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-08-18 14:06 ComboFix2.txt 2012-08-18 13:40 . Vor Suchlauf: 23 Verzeichnis(se), 10.849.427.456 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 11.240.341.504 Bytes frei . - - End Of File - - 81B4CC45534C4F63B27AFEBA89CDC6FB |
18.08.2012, 17:11 | #6 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hi sieht ganz gut aus, wie läuft der Rechner? Wir sollten es aber nochmal kontrollieren. Schritt 1 Malwarebytes
Schritt 2 ESET Online Scanner
Bitte poste in deiner nächsten Antwort
__________________ --> GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos |
19.08.2012, 10:12 | #7 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Moin Christoph! Meinem PC geht es sehr gut! Ich schreibe das hier wieder von meinem eigenen aus. Vielen Dank schonwieder! Ich glaube ComboFix hat das Ding erwischt.... Der Task-Manager funktioniert wieder uneingeschränkt und Internet funktioniert auch wie ich gerade beweise Als nächstes also die log-Dateien...ESET hat ewig gebraucht und ist über Nacht gelaufen und hat auch noch ein paar Dinger gefunden - die solidcore32.dll kenn ich wie gesagt und DEAMON-TOOLs auch, allerdings wundert es mich dass die daemon4123-lite.exe gemeldet wird. SoftonicDownloader38578.exe und Temp\wpbt0.dll.vir sind hart verdächtig und kriegen auf deine Anweisung hin hausverbot bei mir.... MfG KunZ und tausend Dank! Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.18.06 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 KunZ :: RITCHIE [Administrator] 18.08.2012 21:31:23 mbam-log-2012-08-18 (21-31-23).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 199857 Laufzeit: 1 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gǶㇱǶㇺǶ㈃Ƕ㈌Ƕ㈓Ƕ㈚Ƕ㈠Ƕ㈩Ƕ㈰Ƕ Und hier die ESET Code:
ATTFilter C:\Games\Anno\solidcore32.dll a variant of Win32/Kryptik.FM trojan C:\Qoobox\Quarantine\C\Users\KunZ\AppData\Local\Temp\wpbt0.dll.vir a variant of Win32/Kryptik.AKIK trojan C:\Users\KunZ\Desktop\EXTERN\SETS\Setups\daemon4123-lite.exe Win32/Adware.Toolbar.Shopper application C:\Users\KunZ\Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe a variant of Win32/SoftonicDownloader.A application PPS: Die Datei Code:
ATTFilter \Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe a variant of Win32/SoftonicDownloader.A application Hab das grad mal im Internet gecheckt: Code:
ATTFilter hxxp://www.softonic.de/download-manager Ich wünsch dir nen schönen Sonntag! |
19.08.2012, 21:21 | #8 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hi Das Chinesisch am Ende des Logfiles und den Update-Fehler kannn ich mir im Moment nicht erklären, scheint aber trotzdem funktioniert zu haben. An den anderen Dateien bemängelt ESET, dass sie als Adware einzustufen sind, also Dinge wie Toolbars etc. mitinstallieren können. Richtige Malware sind sie dadurch nicht. Aber ich fürchte, die solidcore32.dll ist ein Crack, deswegen muss ich aus Rechtsgründen den Support hier einstellen. Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zum Neu aufsetzten. Hi ich habe mich entschieden, mit der Bereinigung fortzufahren, da du auf mich (soweit ich das beurteilen kann) nicht den Eindruck machst, dass du jemand bist der wissentlich Cracks benutzt oder in dieser Hinsicht unbelehrbar ist. Gib mir bitte eine kurze Rückmeldung, wenn du mit der Bereinigung weiter machen möchtest.
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
22.08.2012, 18:03 | #9 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hallo Christoph, du bist echt in Ordnung! Sorry dass ich jetzt erst schreibe - habs erst nicht gesehen und dann war ich etwas zu sehr im Streß....wie dem auch sei. Allerdings muss ich bevor wir weitermachen etwas klarstellen: Die solidcore32.dll ist (war) tatsächlich ein Crack - ich muss zu meiner Schande gestehen dass ich vorher hier Scheiße erzählt hab... Ich habe das Spiel von einem Freund und dem habe ich von unserem "gemeinsamen" Wochende erzählt und dass ich mich doch sehr gewundert hab, als du schriebst es sei ein Crack... Bei dem Gespräch kam raus, dass wir damals das Problem hatten, dass die Installation von der (wie gesagt: Original-) CD zwar funktionierte aber anschließend der Kopierschutz die CD nichtmehr im Laufwerk erkennen wollte - auch nach Neuinstallation nicht....worauf hin wir kurzerhand einen NO-CD-Crack gezogen haben. Das Spiel war ziemlich scheisse und ich hab es lange nicht gespielt, allerdings auch (bis Vorgestern) nicht deinstalliert. Lange Rede kurzer Sinn: Ich habe also (entgegen deiner Annahme) den Crack damals DOCH WISSENTLICH verwendet - und es in meiner Dösigkeit vergessen...nur dass ich immer bei dem Spiel das Kabel gezogen hab wusste ich noch (an alle Mitleser: ANNO 2070 kann ich beim besten Willen nicht empfehlen - der Kopierschutz funktioniert nicht richtig (zumindest bei mir und meinem Freund, der das Problem genauso gelöst hatte wie ich) und der Spielspaß ist auch nicht mit den Vorgängern zu vergleichen. Spart euch bitte die immernoch über 40 (!) Euro!) Ich finde jedenfalls dass du das wissen solltest bevor du hier weitermachst - ihr betreibt da ne echt geile Seite und eure Arbeit ist sehr edel....ich finde ihr solltet nicht beschissen werden. Ich selbst halte das Cracken von Software, die man im Original besitzt (als juristische Feinheit an dieser Stelle: Die CD befindet sich in meinem Besitz - sie liegt vor mir - mein Kumpel ist allerdings der Eigentümer, da er das Spiel damals für ein Vermögen gekauft hat ) für eine Handlung der gleichen Kategorie wie das Brennen eines Albums, welches man besitzt, um nich das Original im Auto liegen haben zu müssen.... Oder das Modden von Spielen ist glaub ich auch juristisch nicht ganz sauber, allerdings ist es auch fraglich ob es den Hersteller etwas angeht, WIE ich ein Spiel spiele, welches ich zuvor gekauft habe.... In dieser Grauzone hab ich mich also bewegt und hatte es vergessen - hab eure Regeln gelesen und verstanden, inklusive des Teils mit den Cracks, und dann noch dagegen verstoßen. Darum möchte ich mich bei dir/euch entschuldigen und hab auch weiterhin volles Verständnis, wenn ich von euch keine Hilfe mehr bekomme. Ich wollte auch eigentlich schon längst auf deine Absage geantwortet haben und mich bedanken und verabschieden - nochmal sorry. Jetzt aber genug von den Romanen und den Entschuldigungen - ich hab wieter an dem Problem gearbeitet und ich glaube es sieht gut aus! Combofix: Code:
ATTFilter ComboFix 12-08-17.03 - KunZ 21.08.2012 18:27:42.3.2 - x64 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.3327.2346 [GMT 2:00] ausgeführt von:: c:\users\KunZ\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . ((((((((((((((((((((((( Dateien erstellt von 2012-07-21 bis 2012-08-21 )))))))))))))))))))))))))))))) . . 2012-08-21 16:36 . 2012-08-21 16:36 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-08-18 19:43 . 2012-08-18 19:43 -------- d-----w- c:\program files (x86)\ESET 2012-08-17 17:49 . 2012-08-17 18:05 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\users\KunZ\AppData\Roaming\Malwarebytes 2012-08-17 17:23 . 2012-08-17 17:23 -------- d-----w- c:\programdata\Malwarebytes 2012-08-17 17:22 . 2012-08-17 17:23 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-08-17 17:22 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-08-15 23:03 . 2012-08-15 23:03 -------- d-----w- c:\users\KunZ\AppData\Roaming\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple Computer 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\program files (x86)\Common Files\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\users\KunZ\AppData\Local\Apple 2012-08-15 18:56 . 2012-08-15 18:56 -------- d-----w- c:\programdata\Apple 2012-07-28 11:20 . 2012-07-28 11:20 -------- d-----w- c:\users\KunZ\AppData\Local\Macromedia 2012-07-28 11:19 . 2012-07-28 11:19 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-07-28 11:19 . 2011-12-10 01:01 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-06-02 22:19 . 2012-06-28 14:31 38424 ----a-w- c:\windows\system32\wups.dll 2012-06-02 22:19 . 2012-06-28 14:31 2428952 ----a-w- c:\windows\system32\wuaueng.dll 2012-06-02 22:19 . 2012-06-28 14:31 57880 ----a-w- c:\windows\system32\wuauclt.exe 2012-06-02 22:19 . 2012-06-28 14:31 44056 ----a-w- c:\windows\system32\wups2.dll 2012-06-02 22:19 . 2012-06-28 14:31 701976 ----a-w- c:\windows\system32\wuapi.dll 2012-06-02 22:15 . 2012-06-28 14:31 2622464 ----a-w- c:\windows\system32\wucltux.dll 2012-06-02 22:15 . 2012-06-28 14:31 99840 ----a-w- c:\windows\system32\wudriver.dll 2012-06-02 13:19 . 2012-06-28 14:31 186752 ----a-w- c:\windows\system32\wuwebv.dll 2012-06-02 13:15 . 2012-06-28 14:31 36864 ----a-w- c:\windows\system32\wuapp.exe 2012-05-23 20:29 . 2012-01-07 23:33 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-05-23 20:29 . 2012-01-07 23:33 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys . . ((((((((((((((((((((((((((((( SnapShot@2012-08-18_13.37.02 ))))))))))))))))))))))))))))))))))))))))) . + 2010-02-22 17:55 . 2012-08-21 16:16 35298 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-07-14 05:10 . 2012-08-21 16:16 39742 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin + 2010-02-22 16:45 . 2012-08-21 16:16 14622 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3307686048-1986362767-4140185705-1000_UserData.bin - 2010-02-22 15:22 . 2012-08-17 07:57 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-02-22 15:22 . 2012-08-21 16:18 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-02-22 15:22 . 2012-08-21 16:18 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2010-02-22 15:22 . 2012-08-17 07:57 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2009-07-14 04:54 . 2012-08-17 07:57 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-07-14 04:54 . 2012-08-21 16:18 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-07-14 04:46 . 2012-08-21 16:18 84592 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat + 2010-02-22 16:58 . 2012-08-21 16:19 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2010-02-22 16:58 . 2012-08-18 13:03 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2010-02-22 16:58 . 2012-08-21 16:19 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2010-02-22 16:58 . 2012-08-18 13:03 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2010-02-23 18:21 . 2012-08-20 12:24 5148 c:\windows\system32\wdi\ERCQueuedResolutions.dat + 2010-05-04 15:29 . 2012-08-18 13:38 2214 c:\windows\system32\wdi\{b171ab1c-60e9-4301-a338-beab1c70b3e9}.bin - 2012-08-18 13:36 . 2012-08-18 13:36 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-08-21 16:38 . 2012-08-21 16:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-08-21 16:38 . 2012-08-21 16:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2012-08-18 13:36 . 2012-08-18 13:36 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2009-07-14 02:36 . 2012-08-17 17:24 615760 c:\windows\system32\perfh009.dat + 2009-07-14 02:36 . 2012-08-18 23:11 615760 c:\windows\system32\perfh009.dat + 2009-07-14 17:58 . 2012-08-18 23:11 654096 c:\windows\system32\perfh007.dat - 2009-07-14 17:58 . 2012-08-17 17:24 654096 c:\windows\system32\perfh007.dat - 2009-07-14 02:36 . 2012-08-17 17:24 107396 c:\windows\system32\perfc009.dat + 2009-07-14 02:36 . 2012-08-18 23:11 107396 c:\windows\system32\perfc009.dat - 2009-07-14 17:58 . 2012-08-17 17:24 130952 c:\windows\system32\perfc007.dat + 2009-07-14 17:58 . 2012-08-18 23:11 130952 c:\windows\system32\perfc007.dat - 2009-07-14 05:01 . 2012-08-18 13:09 449936 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat + 2009-07-14 05:01 . 2012-08-21 16:37 449936 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat + 2012-02-20 18:55 . 2012-08-21 16:37 449936 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-8192.dat - 2012-02-20 18:55 . 2012-08-18 13:09 449936 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-8192.dat + 2012-08-19 09:41 . 2012-08-19 09:41 449936 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3307686048-1986362767-4140185705-1000-12288.dat + 2009-07-14 02:34 . 2012-08-21 16:28 9961472 c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT - 2009-07-14 02:34 . 2012-08-17 08:07 9961472 c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304] "GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux2"=wdmaud.drv . R3 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-03-03 202752] R3 AtiDCM;AtiDCM;c:\users\KunZ\AppData\Local\Temp\atdcm64a.sys [x] R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-27 113120] R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-25 834544] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-15 27760] S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 191616] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-23 86224] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-03-03 6402560] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-03-03 188928] S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-09-28 395264] . . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704] . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.nachdenkseiten.de/ mLocal Page = c:\windows\SysWOW64\blank.htm IE: Free YouTube Download - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm IE: Free YouTube to DVD Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm IE: Free YouTube to MP3 Converter - c:\users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\ FF - prefs.js: browser.startup.homepage - hxxp://tu-clausthal.de . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:2c,c3,99,59,87,46,15,3e,3a,84,c9,da,08,a8,2a,10,08,d8,e4,02,5c,67,84, 74,14,89,26,0a,6e,74,dd,9c,3b,03,c9,ce,71,c1,f5,bb,dd,c6,16,9f,a4,9d,00,9f,\ "??"=hex:de,46,d7,f7,8c,9b,f3,8c,52,02,df,b0,73,38,aa,41 . [HKEY_USERS\S-1-5-21-3307686048-1986362767-4140185705-1000\Software\SecuROM\License information*] "datasecu"=hex:ee,ed,f8,05,9f,e8,d4,50,dc,6b,67,6c,c0,e7,e7,88,76,89,f5,de,04, ed,84,4e,b5,c3,e5,8d,1f,49,78,68,38,be,ec,7d,42,0c,98,2a,11,80,2e,23,57,86,\ "rkeysecu"=hex:3b,25,8c,57,a5,9b,49,fa,69,84,2e,af,5e,ad,e0,58 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe c:\windows\SysWOW64\PnkBstrA.exe c:\windows\SOUNDMAN.EXE . ************************************************************************** . Zeit der Fertigstellung: 2012-08-21 18:49:15 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-08-21 16:49 ComboFix2.txt 2012-08-18 14:06 ComboFix3.txt 2012-08-18 13:40 . Vor Suchlauf: 23 Verzeichnis(se), 26.476.630.016 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 26.586.435.584 Bytes frei . - - End Of File - - B5CA5264EE17AD6958F02528BC54EAD5 Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.18.06 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 KunZ :: RITCHIE [Administrator] 21.08.2012 19:11:51 mbam-log-2012-08-21 (19-11-51).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 199835 Laufzeit: 2 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.18.06 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 KunZ :: RITCHIE [Administrator] 21.08.2012 19:16:45 mlawarebyteslarge.txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 495861 Laufzeit: 53 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Qoobox\Quarantine\C\Users\KunZ\AppData\Local\Temp\wpbt0.dll.vir (Backdoor.Agent.HTAGen) -> Keine Aktion durchgeführt. (Ende) und dann ESET: Code:
ATTFilter C:\Users\KunZ\Desktop\EXTERN\SETS\Setups\daemon4123-lite.exe Win32/Adware.Toolbar.Shopper application C:\Users\KunZ\Downloads\Neuer Ordner (2)\Neuer Ordner\SoftonicDownloader38578.exe a variant of Win32/SoftonicDownloader.A application Vielen Dank für deine Hilfe - ohne Dich wär ich niemals so weit gekommen! Ausserdem spinnt mein Java-Updater...er nervt mich ständig dass er updaten will und tut es dann (glaub ich) nicht - auch so ein potentielles Schlupfloch für kleine, dreckige und hässliche Programme sozial-inkompetenter Programmierer ....ich schweif ab. Ich werd mal gucken ob man das einfach deistallieren und neu draufziehen kann.... Nochmal vielen Dank für alles und mach Dir nen schönen Tag! Ich würd mich sehr freuen wieder von dir zu hören (lesen) MfG KunZ Geändert von 17.08.2012 (22.08.2012 um 18:14 Uhr) |
23.08.2012, 23:26 | #10 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hi Du must dich leider noch etwas gedulden, mein Ausbilder muss noch etwas Wixhtiges abklären. Danke für dein Verständnis
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
28.08.2012, 07:55 | #11 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hi Danke für deine Geduld. Das nenn ich mal aufrichtig. Danke für deine Klarstellung! Die logs sind clean, wir sollten noch etwas absichern: Schritt 1 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2 Aktuelle IE-Version
Schritt 3 Starte bitte OTL.exe. Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button. Poste die OTL.txt und die Extras.txt hier in deinen Thread. Bitte poste in deiner nächsten Antwort
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
28.08.2012, 18:42 | #12 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Moin Christoph, das Java-Problem hatte ich auch schon bemerkt und schon behoben....wollte das auch eigentlich hier schon geschrieben haben aber hab dann doch erstmal gewartet bis du wieder schreibs um hier nicht zuviel Aufmerksamkeit auf zuwenige Informationen zu ziehen....hab auch alles so gemacht, wie oben von dir beschrieben. Eine Frage hab ich da allerdings noch: Ich hab die neuste Java Version (V7U6) jetzt sowohl als 32- als auch als 64-bit version drauf (mein PC ist ein AMD 64 mit Win 7 64-Bit (Mozilla Firefox 14.0.1 (x86 de))) und jetzt die Frage: Ist das gut oder schlecht? Mich hat es eben irritiert.... Den IE hab ich jetzt auch endlich mal aktualisiert....hatte es bei euch schon gelesen und auch mal selbst die Erfahrung (hatte eine der früheren BKA-Trojaner: damals ist Firefox ausgegangen, IE angegangen und dann kam die Sperrung - das Ding wurde man noch relativ einfach "per Hand" los) gemacht, dass er eine Sicherheitslücke ist, wenn er nicht aktuell ist - ich dummes Schwein brauchte allerdings offenbar erst deine Anweisung, um zu handeln....danke an dich schonwieder! Im Folgenden also die OTL-Logs Code:
ATTFilter OTL logfile created on: 28.08.2012 19:24:14 - Run 3 OTL by OldTimer - Version 3.2.57.0 Folder = C:\Users\KunZ\Desktop 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 69,59% Memory free 6,50 Gb Paging File | 5,44 Gb Available in Paging File | 83,79% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 148,95 Gb Total Space | 31,32 Gb Free Space | 21,03% Space Free | Partition Type: NTFS Computer Name: RITCHIE | User Name: KunZ | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.08.17 18:20:22 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe PRC - [2012.08.08 19:35:46 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.07.27 15:11:17 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe PRC - [2012.05.23 22:29:59 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.23 22:29:58 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2010.02.22 21:38:10 | 000,075,064 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe PRC - [2009.04.14 08:45:30 | 000,604,704 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Windows\SOUNDMAN.EXE ========== Modules (No Company Name) ========== MOD - [2012.07.27 15:11:16 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll ========== Win32 Services (SafeList) ========== SRV:64bit: - [2010.03.03 06:12:12 | 000,202,752 | ---- | M] (AMD) [On_Demand | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2012.07.27 15:11:16 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.29 13:09:52 | 002,143,072 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe -- (TuneUp.UtilitiesSvc) SRV - [2012.05.23 22:29:59 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.23 22:29:58 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.02.22 21:38:10 | 000,075,064 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA) SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - [2012.05.23 22:29:59 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.05.23 22:29:59 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2011.12.15 16:00:00 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2010.05.07 17:46:22 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt) DRV:64bit: - [2010.05.07 17:46:22 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt) DRV:64bit: - [2010.04.25 16:12:54 | 000,834,544 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) DRV:64bit: - [2010.03.03 06:23:10 | 006,402,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag) DRV:64bit: - [2010.03.03 06:23:10 | 006,402,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atipmdag.sys -- (amdkmdag) DRV:64bit: - [2010.03.03 05:07:32 | 000,188,928 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2010.02.24 12:20:40 | 000,191,616 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\acedrv11.sys -- (acedrv11) DRV:64bit: - [2010.01.01 19:20:28 | 000,034,472 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\ElbyCDIO.sys -- (ElbyCDIO) DRV:64bit: - [2009.09.28 10:22:00 | 000,395,264 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\yk62x64.sys -- (yukonw7) DRV:64bit: - [2009.07.14 03:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2009.07.14 03:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 03:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2009.07.14 03:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.18 20:45:06 | 003,491,616 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\RTKVAC64.SYS -- (ALCXWDM) DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV - [2012.05.08 15:21:42 | 000,011,856 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys -- (TuneUpUtilitiesDrv) DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nachdenkseiten.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 15 9E 01 33 D4 B3 CA 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://tu-clausthal.de" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.1 FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94 FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94 FF - prefs.js..extensions.enabledItems: toolbar@web.de:1.7.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}:6.0.30 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\html5video [2011.03.09 02:12:47 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\wpa [2011.03.09 02:12:47 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.08.15 20:57:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.08.24 17:19:24 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.08.15 20:57:18 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.08.24 17:19:24 | 000,000,000 | ---D | M] [2010.02.22 19:09:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\KunZ\AppData\Roaming\mozilla\Extensions [2012.08.21 18:19:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions [2012.08.21 18:19:59 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2011.02.15 13:31:55 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\KunZ\AppData\Roaming\mozilla\Firefox\Profiles\0lk91peu.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2012.08.10 01:18:26 | 000,000,853 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\11-suche.xml [2012.08.10 01:18:26 | 000,002,209 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\englische-ergebnisse.xml [2012.08.10 01:18:26 | 000,010,506 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\gmx-suche.xml [2012.08.10 01:18:26 | 000,002,368 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\lastminute.xml [2010.02.28 14:44:41 | 000,001,691 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\metager.xml [2012.08.10 01:18:26 | 000,005,489 | ---- | M] () -- C:\Users\KunZ\AppData\Roaming\Mozilla\Firefox\Profiles\0lk91peu.default\searchplugins\webde-suche.xml [2012.02.20 20:51:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2012.08.10 01:18:19 | 000,526,409 | ---- | M] () (No name found) -- C:\USERS\KUNZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0LK91PEU.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI [2012.07.27 15:11:17 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.11.10 06:54:13 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2012.06.05 15:37:14 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.08.05 21:54:09 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012.06.05 15:37:14 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2012.06.05 15:37:14 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2012.06.05 15:37:14 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.05 15:37:14 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.05 15:37:14 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.08.18 15:09:00 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GR469A~1.DLL (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O4:64bit: - HKLM..\Run: [SoundMan] C:\Windows\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm () O8:64bit: - Extra context menu item: Free YouTube to DVD Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm () O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: Free YouTube Download - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm () O8 - Extra context menu item: Free YouTube to DVD Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm () O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\KunZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87ADC461-0B4B-4887-A696-0020EE7AD268}: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GRA32A~1.DLL (Microsoft Corporation) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~2\Office12\GR469A~1.DLL (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2012.08.28 19:17:26 | 000,916,456 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll [2012.08.28 19:17:25 | 001,034,216 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll [2012.08.28 19:17:25 | 000,289,768 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe [2012.08.28 19:17:20 | 000,189,416 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe [2012.08.28 19:17:20 | 000,188,904 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\java.exe [2012.08.28 19:17:20 | 000,108,008 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll [2012.08.28 19:17:13 | 000,000,000 | ---D | C] -- C:\Program Files\Java [2012.08.28 19:15:10 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\RegisterIEPKEYs.exe [2012.08.28 19:15:09 | 003,695,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dat [2012.08.28 19:15:09 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl [2012.08.28 19:15:09 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll [2012.08.28 19:15:09 | 000,434,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll [2012.08.28 19:15:09 | 000,367,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec [2012.08.28 19:15:09 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll [2012.08.28 19:15:09 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll [2012.08.28 19:15:09 | 000,162,304 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msrating.dll [2012.08.28 19:15:09 | 000,152,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wextract.exe [2012.08.28 19:15:09 | 000,150,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iexpress.exe [2012.08.28 19:15:09 | 000,130,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakeng.dll [2012.08.28 19:15:09 | 000,118,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll [2012.08.28 19:15:09 | 000,110,592 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\IEAdvpack.dll [2012.08.28 19:15:09 | 000,086,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iesysprep.dll [2012.08.28 19:15:09 | 000,078,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inseng.dll [2012.08.28 19:15:09 | 000,076,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\SetIEInstalledDate.exe [2012.08.28 19:15:09 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iesetup.dll [2012.08.28 19:15:09 | 000,074,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ie4uinit.exe [2012.08.28 19:15:09 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll [2012.08.28 19:15:09 | 000,066,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\icardie.dll [2012.08.28 19:15:09 | 000,063,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\tdc.ocx [2012.08.28 19:15:09 | 000,054,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\pngfilt.dll [2012.08.28 19:15:09 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmler.dll [2012.08.28 19:15:09 | 000,031,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iernonce.dll [2012.08.28 19:15:09 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\licmgr10.dll [2012.08.28 19:15:09 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedssync.exe [2012.08.28 19:15:08 | 002,312,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll [2012.08.28 19:15:08 | 000,816,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll [2012.08.28 19:15:08 | 000,267,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieaksie.dll [2012.08.28 19:15:08 | 000,227,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieaksie.dll [2012.08.28 19:15:08 | 000,222,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msls31.dll [2012.08.28 19:15:08 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msrating.dll [2012.08.28 19:15:08 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe [2012.08.28 19:15:08 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakui.dll [2012.08.28 19:15:08 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieakui.dll [2012.08.28 19:15:08 | 000,149,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\occache.dll [2012.08.28 19:15:08 | 000,145,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll [2012.08.28 19:15:08 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe [2012.08.28 19:15:08 | 000,135,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\IEAdvpack.dll [2012.08.28 19:15:08 | 000,123,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\occache.dll [2012.08.28 19:15:08 | 000,114,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\admparse.dll [2012.08.28 19:15:08 | 000,101,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\admparse.dll [2012.08.28 19:15:08 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\RegisterIEPKEYs.exe [2012.08.28 19:15:08 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\pngfilt.dll [2012.08.28 19:15:08 | 000,049,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\imgutil.dll [2012.08.28 19:15:08 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshta.exe [2012.08.28 19:15:08 | 000,010,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedssync.exe [2012.08.28 19:15:07 | 003,695,416 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dat [2012.08.28 19:15:07 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl [2012.08.28 19:15:07 | 000,697,344 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll [2012.08.28 19:15:07 | 000,603,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll [2012.08.28 19:15:07 | 000,534,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll [2012.08.28 19:15:07 | 000,452,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtmsft.dll [2012.08.28 19:15:07 | 000,448,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec [2012.08.28 19:15:07 | 000,282,112 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll [2012.08.28 19:15:07 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll [2012.08.28 19:15:07 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll [2012.08.28 19:15:07 | 000,165,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iexpress.exe [2012.08.28 19:15:07 | 000,160,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wextract.exe [2012.08.28 19:15:07 | 000,160,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieakeng.dll [2012.08.28 19:15:07 | 000,111,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iesysprep.dll [2012.08.28 19:15:07 | 000,103,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inseng.dll [2012.08.28 19:15:07 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll [2012.08.28 19:15:07 | 000,091,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SetIEInstalledDate.exe [2012.08.28 19:15:07 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe [2012.08.28 19:15:07 | 000,085,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iesetup.dll [2012.08.28 19:15:07 | 000,082,432 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\icardie.dll [2012.08.28 19:15:07 | 000,076,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\tdc.ocx [2012.08.28 19:15:07 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmler.dll [2012.08.28 19:15:07 | 000,039,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iernonce.dll [2012.08.28 19:15:07 | 000,030,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\licmgr10.dll [2012.08.28 19:14:07 | 001,888,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WMVDECOD.DLL [2012.08.28 19:14:07 | 001,863,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ExplorerFrame.dll [2012.08.28 19:14:07 | 001,837,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10warp.dll [2012.08.28 19:14:07 | 001,619,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\WMVDECOD.DLL [2012.08.28 19:14:07 | 001,540,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\DWrite.dll [2012.08.28 19:14:07 | 001,495,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ExplorerFrame.dll [2012.08.28 19:14:07 | 000,902,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d2d1.dll [2012.08.28 19:14:07 | 000,662,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsPrint.dll [2012.08.28 19:14:07 | 000,470,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsGdiConverter.dll [2012.08.28 19:14:07 | 000,320,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1core.dll [2012.08.28 19:14:07 | 000,283,648 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsGdiConverter.dll [2012.08.28 19:14:07 | 000,265,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dxgmms1.sys [2012.08.28 19:14:07 | 000,229,888 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\XpsRasterService.dll [2012.08.28 19:14:07 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1.dll [2012.08.28 19:14:07 | 000,144,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll [2012.08.28 19:14:07 | 000,135,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsRasterService.dll [2012.08.28 19:14:06 | 004,068,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mf.dll [2012.08.28 19:14:06 | 003,181,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mf.dll [2012.08.28 19:14:06 | 000,442,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsPrint.dll [2012.08.28 19:14:06 | 000,257,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mfreadwrite.dll [2012.08.28 19:14:06 | 000,206,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mfps.dll [2012.08.28 19:14:06 | 000,196,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mfreadwrite.dll [2012.08.24 12:08:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java [2012.08.24 12:08:00 | 000,821,736 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll [2012.08.24 12:08:00 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe [2012.08.24 12:07:45 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe [2012.08.24 12:07:45 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe [2012.08.24 12:07:45 | 000,095,208 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll [2012.08.23 18:43:18 | 000,034,656 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\TURegOpt.exe [2012.08.23 18:43:17 | 000,025,952 | ---- | C] (TuneUp Software) -- C:\Windows\SysNative\authuitu.dll [2012.08.23 18:43:17 | 000,021,344 | ---- | C] (TuneUp Software) -- C:\Windows\SysWow64\authuitu.dll [2012.08.23 18:43:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2012 [2012.08.23 18:42:50 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\TuneUp Software [2012.08.23 18:42:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TuneUp Utilities 2012 [2012.08.23 18:42:12 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software [2012.08.23 18:42:03 | 000,000,000 | -HSD | C] -- C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936} [2012.08.23 18:42:03 | 000,000,000 | -H-D | C] -- C:\ProgramData\Common Files [2012.08.21 18:49:28 | 000,000,000 | ---D | C] -- C:\Windows\temp [2012.08.21 18:38:37 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN [2012.08.21 18:28:26 | 000,000,000 | ---D | C] -- C:\Users\KunZ\Desktop\neuer versuch [2012.08.18 21:43:33 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET [2012.08.18 21:42:52 | 002,322,184 | ---- | C] (ESET) -- C:\Users\KunZ\Desktop\esetsmartinstaller_enu.exe [2012.08.18 15:01:19 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2012.08.18 15:01:19 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe [2012.08.18 15:01:19 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe [2012.08.18 15:01:11 | 000,000,000 | ---D | C] -- C:\Qoobox [2012.08.18 15:00:57 | 000,000,000 | ---D | C] -- C:\Windows\erdnt [2012.08.18 14:56:46 | 004,733,838 | R--- | C] (Swearware) -- C:\Users\KunZ\Desktop\ComboFix.exe [2012.08.17 19:49:53 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0 [2012.08.17 19:23:17 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\Malwarebytes [2012.08.17 19:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.08.17 19:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.08.17 19:22:59 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2012.08.17 19:22:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2012.08.17 18:30:05 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe [2012.08.16 01:03:17 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Roaming\Apple Computer [2012.08.15 20:57:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime [2012.08.15 20:56:59 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\QuickTime [2012.08.15 20:56:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer [2012.08.15 20:56:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Apple [2012.08.15 20:56:04 | 000,000,000 | ---D | C] -- C:\Users\KunZ\AppData\Local\Apple [2012.08.15 20:56:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple [2012.08.08 19:40:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira ========== Files - Modified Within 30 Days ========== [2012.08.28 19:28:38 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.08.28 19:28:38 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.08.28 19:20:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.08.28 19:17:15 | 000,108,008 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll [2012.08.28 19:17:14 | 001,034,216 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll [2012.08.28 19:17:14 | 000,916,456 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll [2012.08.28 19:17:14 | 000,289,768 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe [2012.08.28 19:17:14 | 000,189,416 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe [2012.08.28 19:17:14 | 000,188,904 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\java.exe [2012.08.28 19:15:10 | 000,074,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\RegisterIEPKEYs.exe [2012.08.28 19:15:09 | 003,695,416 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dat [2012.08.28 19:15:09 | 001,427,968 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl [2012.08.28 19:15:09 | 000,717,824 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll [2012.08.28 19:15:09 | 000,434,176 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieapfltr.dll [2012.08.28 19:15:09 | 000,367,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec [2012.08.28 19:15:09 | 000,231,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll [2012.08.28 19:15:09 | 000,176,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll [2012.08.28 19:15:09 | 000,162,304 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msrating.dll [2012.08.28 19:15:09 | 000,152,064 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\wextract.exe [2012.08.28 19:15:09 | 000,150,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iexpress.exe [2012.08.28 19:15:09 | 000,130,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakeng.dll [2012.08.28 19:15:09 | 000,118,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll [2012.08.28 19:15:09 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\IEAdvpack.dll [2012.08.28 19:15:09 | 000,086,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iesysprep.dll [2012.08.28 19:15:09 | 000,078,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\inseng.dll [2012.08.28 19:15:09 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\SetIEInstalledDate.exe [2012.08.28 19:15:09 | 000,074,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iesetup.dll [2012.08.28 19:15:09 | 000,074,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ie4uinit.exe [2012.08.28 19:15:09 | 000,073,216 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll [2012.08.28 19:15:09 | 000,072,822 | ---- | M] () -- C:\Windows\SysWow64\ieuinit.inf [2012.08.28 19:15:09 | 000,066,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\icardie.dll [2012.08.28 19:15:09 | 000,063,488 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\tdc.ocx [2012.08.28 19:15:09 | 000,054,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\pngfilt.dll [2012.08.28 19:15:09 | 000,048,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmler.dll [2012.08.28 19:15:09 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\iernonce.dll [2012.08.28 19:15:09 | 000,023,552 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\licmgr10.dll [2012.08.28 19:15:09 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedssync.exe [2012.08.28 19:15:08 | 002,312,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll [2012.08.28 19:15:08 | 000,816,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll [2012.08.28 19:15:08 | 000,267,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieaksie.dll [2012.08.28 19:15:08 | 000,227,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieaksie.dll [2012.08.28 19:15:08 | 000,222,208 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msls31.dll [2012.08.28 19:15:08 | 000,197,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msrating.dll [2012.08.28 19:15:08 | 000,173,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe [2012.08.28 19:15:08 | 000,163,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieakui.dll [2012.08.28 19:15:08 | 000,163,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieakui.dll [2012.08.28 19:15:08 | 000,149,504 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\occache.dll [2012.08.28 19:15:08 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll [2012.08.28 19:15:08 | 000,142,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe [2012.08.28 19:15:08 | 000,135,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\IEAdvpack.dll [2012.08.28 19:15:08 | 000,123,392 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\occache.dll [2012.08.28 19:15:08 | 000,114,176 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\admparse.dll [2012.08.28 19:15:08 | 000,101,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\admparse.dll [2012.08.28 19:15:08 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\RegisterIEPKEYs.exe [2012.08.28 19:15:08 | 000,065,024 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\pngfilt.dll [2012.08.28 19:15:08 | 000,049,664 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\imgutil.dll [2012.08.28 19:15:08 | 000,012,288 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshta.exe [2012.08.28 19:15:08 | 000,010,752 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedssync.exe [2012.08.28 19:15:07 | 003,695,416 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dat [2012.08.28 19:15:07 | 001,494,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl [2012.08.28 19:15:07 | 000,697,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll [2012.08.28 19:15:07 | 000,603,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll [2012.08.28 19:15:07 | 000,534,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieapfltr.dll [2012.08.28 19:15:07 | 000,452,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\dxtmsft.dll [2012.08.28 19:15:07 | 000,448,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec [2012.08.28 19:15:07 | 000,282,112 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\dxtrans.dll [2012.08.28 19:15:07 | 000,248,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll [2012.08.28 19:15:07 | 000,237,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll [2012.08.28 19:15:07 | 000,165,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iexpress.exe [2012.08.28 19:15:07 | 000,160,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\wextract.exe [2012.08.28 19:15:07 | 000,160,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ieakeng.dll [2012.08.28 19:15:07 | 000,111,616 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iesysprep.dll [2012.08.28 19:15:07 | 000,103,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\inseng.dll [2012.08.28 19:15:07 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll [2012.08.28 19:15:07 | 000,091,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\SetIEInstalledDate.exe [2012.08.28 19:15:07 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ie4uinit.exe [2012.08.28 19:15:07 | 000,085,504 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iesetup.dll [2012.08.28 19:15:07 | 000,082,432 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\icardie.dll [2012.08.28 19:15:07 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\tdc.ocx [2012.08.28 19:15:07 | 000,072,822 | ---- | M] () -- C:\Windows\SysNative\ieuinit.inf [2012.08.28 19:15:07 | 000,048,640 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmler.dll [2012.08.28 19:15:07 | 000,039,936 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\iernonce.dll [2012.08.28 19:15:07 | 000,030,720 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\licmgr10.dll [2012.08.28 19:14:07 | 001,888,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\WMVDECOD.DLL [2012.08.28 19:14:07 | 001,863,680 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\ExplorerFrame.dll [2012.08.28 19:14:07 | 001,837,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10warp.dll [2012.08.28 19:14:07 | 001,619,456 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\WMVDECOD.DLL [2012.08.28 19:14:07 | 001,540,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\DWrite.dll [2012.08.28 19:14:07 | 001,495,040 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\ExplorerFrame.dll [2012.08.28 19:14:07 | 000,902,656 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d2d1.dll [2012.08.28 19:14:07 | 000,662,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsPrint.dll [2012.08.28 19:14:07 | 000,470,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsGdiConverter.dll [2012.08.28 19:14:07 | 000,320,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1core.dll [2012.08.28 19:14:07 | 000,283,648 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsGdiConverter.dll [2012.08.28 19:14:07 | 000,265,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dxgmms1.sys [2012.08.28 19:14:07 | 000,229,888 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\XpsRasterService.dll [2012.08.28 19:14:07 | 000,197,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\d3d10_1.dll [2012.08.28 19:14:07 | 000,144,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll [2012.08.28 19:14:07 | 000,135,168 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsRasterService.dll [2012.08.28 19:14:06 | 004,068,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mf.dll [2012.08.28 19:14:06 | 003,181,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mf.dll [2012.08.28 19:14:06 | 000,442,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\XpsPrint.dll [2012.08.28 19:14:06 | 000,257,024 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mfreadwrite.dll [2012.08.28 19:14:06 | 000,206,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\mfps.dll [2012.08.28 19:14:06 | 000,196,608 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mfreadwrite.dll [2012.08.27 17:02:03 | 001,501,000 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2012.08.27 17:02:03 | 000,654,096 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2012.08.27 17:02:03 | 000,615,760 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2012.08.27 17:02:03 | 000,130,952 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2012.08.27 17:02:03 | 000,107,396 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2012.08.24 12:07:34 | 000,095,208 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll [2012.08.24 12:07:33 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll [2012.08.24 12:07:33 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\deployJava1.dll [2012.08.24 12:07:33 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe [2012.08.24 12:07:33 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe [2012.08.24 12:07:33 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe [2012.08.23 18:43:02 | 000,002,213 | ---- | M] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk [2012.08.23 18:43:02 | 000,002,193 | ---- | M] () -- C:\Users\Public\Desktop\TuneUp Utilities 2012.lnk [2012.08.18 21:42:57 | 002,322,184 | ---- | M] (ESET) -- C:\Users\KunZ\Desktop\esetsmartinstaller_enu.exe [2012.08.18 15:09:00 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts [2012.08.18 14:51:32 | 004,733,838 | R--- | M] (Swearware) -- C:\Users\KunZ\Desktop\ComboFix.exe [2012.08.17 19:23:01 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.08.17 18:30:57 | 000,000,020 | ---- | M] () -- C:\Users\KunZ\defogger_reenable [2012.08.17 18:20:22 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\KunZ\Desktop\OTL.exe [2012.08.17 18:20:02 | 000,050,477 | ---- | M] () -- C:\Users\KunZ\Desktop\Defogger.exe [2012.08.08 19:40:18 | 000,002,070 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk ========== Files Created - No Company Name ========== [2012.08.28 19:15:09 | 000,072,822 | ---- | C] () -- C:\Windows\SysWow64\ieuinit.inf [2012.08.28 19:15:07 | 000,072,822 | ---- | C] () -- C:\Windows\SysNative\ieuinit.inf [2012.08.23 18:43:02 | 000,002,213 | ---- | C] () -- C:\Users\Public\Desktop\TuneUp 1-Klick-Wartung.lnk [2012.08.23 18:43:02 | 000,002,205 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2012.lnk [2012.08.23 18:43:02 | 000,002,193 | ---- | C] () -- C:\Users\Public\Desktop\TuneUp Utilities 2012.lnk [2012.08.18 15:01:19 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2012.08.18 15:01:19 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2012.08.18 15:01:19 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2012.08.18 15:01:19 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2012.08.18 15:01:19 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe [2012.08.17 19:23:01 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.08.17 18:30:57 | 000,000,020 | ---- | C] () -- C:\Users\KunZ\defogger_reenable [2012.08.17 18:30:13 | 000,050,477 | ---- | C] () -- C:\Users\KunZ\Desktop\Defogger.exe [2012.05.19 20:42:42 | 000,000,530 | ---- | C] () -- C:\Windows\eReg.dat [2011.04.29 20:16:41 | 000,000,001 | ---- | C] () -- C:\Windows\SysWow64\SI.bin [2011.02.24 15:02:32 | 000,085,504 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll [2010.11.17 15:48:00 | 000,000,092 | ---- | C] () -- C:\Users\KunZ\AppData\Local\fusioncache.dat [2010.11.17 15:44:30 | 000,000,032 | ---- | C] () -- C:\Windows\EvMoveW.INI [2010.10.21 18:19:08 | 000,000,057 | ---- | C] () -- C:\Windows\rocksoft.ini [2010.10.19 16:00:06 | 000,000,085 | -HS- | C] () -- C:\ProgramData\.zreglib [2010.10.13 15:19:25 | 000,000,095 | ---- | C] () -- C:\Users\KunZ\psv.ini [2010.10.12 11:15:34 | 001,526,730 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2010.05.31 20:57:01 | 000,029,450 | ---- | C] () -- C:\Users\KunZ\AppData\Roaming\OFMissionEditorConfig.xml [2010.04.10 14:07:16 | 000,007,598 | ---- | C] () -- C:\Users\KunZ\AppData\Local\Resmon.ResmonCfg < End of report > Code:
ATTFilter OTL Extras logfile created on: 28.08.2012 19:24:14 - Run 3 OTL by OldTimer - Version 3.2.57.0 Folder = C:\Users\KunZ\Desktop 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 69,59% Memory free 6,50 Gb Paging File | 5,44 Gb Available in Paging File | 83,79% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 148,95 Gb Total Space | 31,32 Gb Free Space | 21,03% Space Free | Partition Type: NTFS Computer Name: RITCHIE | User Name: KunZ | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation) inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L" Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L" Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 "FirewallDisableNotify" = 0 "AntiVirusDisableNotify" = 0 "UpdatesDisableNotify" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirewallDisableNotify" = 0 "AntiVirusDisableNotify" = 0 "UpdatesDisableNotify" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 ========== Firewall Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] ========== Vista Active Open Ports Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{000C52A9-7DBB-47C3-AC31-7DFAEA9C9C52}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | "{02E3178F-9271-4C48-9C78-7AE2C8AF78FE}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | "{06E3AA16-3BCC-4EFC-995A-6EDCB98782FF}" = lport=445 | protocol=6 | dir=in | app=system | "{1045D52B-C9E1-455D-B00A-7194242C57DB}" = rport=139 | protocol=6 | dir=out | app=system | "{26CC50AC-A8B9-40B0-9E79-4F07C629D485}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{3BE01CDE-59CF-4D40-BD30-CBBA9200FABB}" = rport=137 | protocol=17 | dir=out | app=system | "{3D3BE046-4D0B-4E58-855A-44E1F718ADF9}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | "{6EEB4E10-2F58-421B-9F11-583820FA4C67}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | "{7688FBBE-F4A7-486C-A5A3-CD7D0BAA3F48}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{77A21B49-0161-4459-87B3-D672ED044BC1}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{7AE0E2A2-579C-4DC5-8C27-3040CA767675}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{8744DEB7-C0F2-4AC2-8018-8AD32EA19365}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{8C06F7BE-9182-4CE2-88B1-E348A87C78D5}" = lport=138 | protocol=17 | dir=in | app=system | "{8D5074B3-6A19-4791-949E-BA6668726E2D}" = rport=138 | protocol=17 | dir=out | app=system | "{9D2BBBCB-063D-40EE-91E9-3D29C2E9D84E}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{A69EB0BC-29FB-4A93-A2BC-72FD43664E45}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | "{AF6C134F-0542-44CF-A8F0-640413DC5588}" = lport=139 | protocol=6 | dir=in | app=system | "{C07B3F33-6F73-40EF-9CDC-A36BE54112DD}" = lport=137 | protocol=17 | dir=in | app=system | "{DCAC9131-B938-428F-BEFE-9FE34B9BF67C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | "{E23E575C-6DB9-4314-8FE4-9C1E0A9C1D7B}" = rport=445 | protocol=6 | dir=out | app=system | "{E81F88D6-0860-438B-AC2D-FDDD9267E82E}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\outlook.exe | "{F4437E71-B145-47A5-992B-33778375B2AC}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | "{FC365572-8D3A-4875-B68D-4E32487167D8}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{15BAAD19-1EA1-4D99-BD9A-E11174B9C071}" = protocol=17 | dir=in | app=c:\users\kunz\downloads\flvplayer_setup.exe | "{216D41C6-DC42-49C8-BF48-1D633885FFB0}" = protocol=6 | dir=in | app=c:\users\kunz\downloads\flvplayer_setup.exe | "{22DE7920-E408-4F44-B527-483079A7FD65}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | "{2D4EB8A3-3C7D-467C-B80F-036D5A1C537F}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | "{38DC215D-1BAE-4E77-8AD5-32B3B7876D83}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | "{3EFE38DB-4878-42EA-AEEC-4AB8CA723589}" = protocol=17 | dir=in | app=c:\games\ea games\battlefield 2\bf2.exe | "{41A9B283-FF79-490A-A9D8-2E518866B5C4}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{45EEF9A4-C46F-4A4A-A704-E3C906DAD765}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | "{4BD0F51C-4203-4EEB-980E-36E7273F1263}" = protocol=6 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | "{5445862B-94C4-47AA-A28F-339F943D2697}" = protocol=6 | dir=in | app=c:\games\coh\reliccoh.exe | "{56ADF852-20B4-4442-899C-935EE5403034}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{57036B3D-D663-4CD5-A28C-A226CC584D24}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{5F2FD2ED-28E1-4D0A-8AB5-077101AAE862}" = protocol=6 | dir=in | app=c:\games\ea games\battlefield 2\bf2.exe | "{675C7C95-55E8-4681-885D-676E76EBABD6}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | "{6B89E224-D751-4CA8-B299-759A5E013386}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | "{6ED318BD-33D7-467D-8938-30FE5D3A00AD}" = protocol=17 | dir=in | app=c:\games\anno\anno5.exe | "{713C6A4B-F1D2-497D-A7BE-E6632FD8A62D}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe | "{733CA45C-B888-44C9-A5D8-747405E9776D}" = protocol=6 | dir=in | app=c:\program files (x86)\ubisoft\ubisoft game launcher\ubisoftgamelauncher.exe | "{7880E0B2-F135-4C60-AB44-BC45A2729079}" = protocol=6 | dir=in | app=c:\games\anno\initengine.exe | "{7C1B79AB-DA02-4359-8331-8B33A7A01A7C}" = protocol=17 | dir=in | app=c:\games\coh\reliccoh.exe | "{832A00D3-F14B-4BFD-87A0-C1FCBF9022B7}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | "{84DC69E0-157D-4DFE-9155-C0246DD4B90E}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | "{866F4CE4-78BE-496C-8581-135FBC091CDA}" = protocol=17 | dir=in | app=c:\games\anno\initengine.exe | "{B056C0A7-43F6-4B36-A32C-175F067F8664}" = protocol=17 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | "{B9826E10-EBFE-40EF-A02A-FF75C72734D7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | "{B9DAD770-4B5D-442F-AAEF-E56B5B10F3D0}" = protocol=6 | dir=in | app=c:\games\anno\anno5.exe | "{BA94E907-5247-468E-84C9-ADEEC8D37DFE}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | "{BB7045EA-E9FE-4628-9108-B438BFAC64B5}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\groove.exe | "{BF4124BB-1E12-454A-9F28-A61593F011AC}" = protocol=6 | dir=in | app=c:\games\anno\autopatcher.exe | "{CE666266-4D86-4E1C-A05A-42A3F8989E5C}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe | "{D62754D0-389E-4A4D-8D0A-539684340F08}" = protocol=17 | dir=in | app=c:\games\anno\autopatcher.exe | "{FD5DBBA0-255B-44EE-9AE3-9AFF08FB1317}" = protocol=17 | dir=in | app=c:\program files (x86)\ubisoft\ubisoft game launcher\ubisoftgamelauncher.exe | "TCP Query User{04A1CC5F-5A22-4A99-A6EF-22AB4D166EB1}C:\games\aoe\age3.exe" = protocol=6 | dir=in | app=c:\games\aoe\age3.exe | "TCP Query User{0533C72C-F123-4068-BD61-FA16FBB5F375}F:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=f:\sets\setups\utorrent.exe | "TCP Query User{2957A5C5-587D-44E4-91C1-15DA6E67D67C}J:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=j:\sets\setups\utorrent.exe | "TCP Query User{59DAE0EF-F039-4E9F-98F6-FA107C5FCA44}C:\games\coh\relicdownloader\relicdownloader.exe" = protocol=6 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | "TCP Query User{87EDC1E8-8D08-4602-A199-42A26CF36BE6}C:\games\cstrike\hl2.exe" = protocol=6 | dir=in | app=c:\games\cstrike\hl2.exe | "TCP Query User{AF9BCD35-1090-45A6-AF64-41B79BBC53AE}C:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe" = protocol=6 | dir=in | app=c:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe | "TCP Query User{AF9E0977-19D3-4B1C-8E0B-C44C4FBEE5F8}C:\games\coh\reliccoh.exe" = protocol=6 | dir=in | app=c:\games\coh\reliccoh.exe | "TCP Query User{B000D3B1-1466-4AD8-909E-F28153DE4684}C:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe" = protocol=6 | dir=in | app=c:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe | "TCP Query User{BE7451C5-0DBE-477C-A4A2-ACB29CD5AA30}C:\games\splintercell\scda-offline\system\splintercell4.exe" = protocol=6 | dir=in | app=c:\games\splintercell\scda-offline\system\splintercell4.exe | "TCP Query User{C2F763D3-6658-499D-8222-1F4C3996B4F2}C:\games\fsw\fsw2.exe" = protocol=6 | dir=in | app=c:\games\fsw\fsw2.exe | "TCP Query User{D341AA63-85F7-4F38-90A1-1FAA1458342D}J:\sets\setups\utorrent.exe" = protocol=6 | dir=in | app=j:\sets\setups\utorrent.exe | "TCP Query User{EA07C6E5-DA66-420C-8796-AE77DA2E0D98}C:\games\splintercell\scda-online\system\scda_online.exe" = protocol=6 | dir=in | app=c:\games\splintercell\scda-online\system\scda_online.exe | "TCP Query User{F7265604-4990-4C8C-8ABC-0B1486815475}C:\program files (x86)\microsoft games\rise of nations\patriots.exe" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft games\rise of nations\patriots.exe | "TCP Query User{FEC9B6EF-4418-4D89-841C-1F3899B2DEA8}C:\games\splintercell\src\system\uplaybrowser.exe" = protocol=6 | dir=in | app=c:\games\splintercell\src\system\uplaybrowser.exe | "UDP Query User{01B14D4B-6E44-4066-B7F1-F539AE257CCE}C:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe" = protocol=17 | dir=in | app=c:\program files (x86)\controltoolbox\modbus plant simulator\modbus plant simulator.exe | "UDP Query User{04B79BD6-BB97-4A42-94F4-157CB9F1DAFE}C:\games\splintercell\scda-offline\system\splintercell4.exe" = protocol=17 | dir=in | app=c:\games\splintercell\scda-offline\system\splintercell4.exe | "UDP Query User{073F9DF5-AAB7-47DE-AAFC-611E4970C22F}C:\games\aoe\age3.exe" = protocol=17 | dir=in | app=c:\games\aoe\age3.exe | "UDP Query User{389426E0-737E-4B2A-BFDC-8CF3392EB6A4}J:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=j:\sets\setups\utorrent.exe | "UDP Query User{3D061904-20C5-497A-90E5-2936FB80DCC5}C:\games\splintercell\src\system\uplaybrowser.exe" = protocol=17 | dir=in | app=c:\games\splintercell\src\system\uplaybrowser.exe | "UDP Query User{66E98741-6114-4BEF-91D6-FF856E944D7E}C:\games\coh\reliccoh.exe" = protocol=17 | dir=in | app=c:\games\coh\reliccoh.exe | "UDP Query User{6ECC425E-8831-4121-A601-803988281611}C:\games\splintercell\scda-online\system\scda_online.exe" = protocol=17 | dir=in | app=c:\games\splintercell\scda-online\system\scda_online.exe | "UDP Query User{6F6A5899-17D1-4E89-99AA-D5FC7E8B21FB}C:\games\coh\relicdownloader\relicdownloader.exe" = protocol=17 | dir=in | app=c:\games\coh\relicdownloader\relicdownloader.exe | "UDP Query User{7089674D-6CC1-40AB-8D6B-2E37CDBFED77}C:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe" = protocol=17 | dir=in | app=c:\users\kunz\appdata\local\temp\efc077e8ff8b41f98e85933f4e84bf7d\relicdownloader.exe | "UDP Query User{78EEE895-321C-412C-8E01-015E4636438B}F:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=f:\sets\setups\utorrent.exe | "UDP Query User{82B51467-A996-48EA-A6AB-619A006C61CE}J:\sets\setups\utorrent.exe" = protocol=17 | dir=in | app=j:\sets\setups\utorrent.exe | "UDP Query User{B68DC89C-207E-4CB5-93A0-734B55C20323}C:\games\cstrike\hl2.exe" = protocol=17 | dir=in | app=c:\games\cstrike\hl2.exe | "UDP Query User{D182AA96-17F9-49BB-9C1E-5FA68C716864}C:\games\fsw\fsw2.exe" = protocol=17 | dir=in | app=c:\games\fsw\fsw2.exe | "UDP Query User{DA14DCDD-A622-475D-B41D-AA7359BD1841}C:\program files (x86)\microsoft games\rise of nations\patriots.exe" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft games\rise of nations\patriots.exe | ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64) "{08194E86-10BE-C749-8D43-E6ECBF44248E}" = ccc-utility64 "{26A24AE4-039D-4CA4-87B4-2F86417006FF}" = Java 7 Update 6 (64-bit) "{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 "{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 "{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007 "{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007 "{CB3BA3C7-FEDF-D48C-E023-72231B3D86E3}" = ATI Catalyst Install Manager "TeamSpeak 3 Client" = TeamSpeak 3 Client "WinRAR archiver" = WinRAR [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser "{02A10468-2F1C-447C-AD8E-4DEDDEA25AE2}" = Medieval II Total War : Kingdoms : Crusades "{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime "{14574B7F-75D1-4718-B7F2-EBF6E2862A35}" = Company of Heroes - FAKEMSI "{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine "{16D919E6-F019-4E15-BFBE-4A85EF19DA57}" = Oblivion - Spell Tomes "{199E6632-EB28-4F73-AECB-3E192EB92D18}" = Company of Heroes - FAKEMSI "{1BF43B74-1EDE-060E-A612-56A116A381F8}" = Catalyst Control Center Core Implementation "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{25724802-CC14-4B90-9F3B-3D6955EE27B1}" = Company of Heroes - FAKEMSI "{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6 "{2F2E3D62-8B8C-448F-8900-451325E50948}" = Oblivion - Wizard's Tower "{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012 "{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}" = Company of Heroes - FAKEMSI "{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion "{3ABEBD00-299D-4DCA-967F-B912163AB5EA}" = Oblivion - Horse Armor Pack "{3F0D0ABE-CDAF-431A-00BC-CBBE018EA74E}" = SimCity 4 Deluxe "{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3 "{43EB7D36-32F9-CE19-6F1D-B59BDBA942AE}" = Catalyst Control Center InstallProxy "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4E2CD272-0F2F-98EA-9596-510EF0D24E28}" = ccc-core-static "{50193078-F553-4EBA-AA77-64C9FAA12F98}" = Company of Heroes - FAKEMSI "{51D718D1-DA81-4FAD-919F-5C1CE3C33379}" = Company of Heroes - FAKEMSI "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{66F78C51-D108-4F0C-A93C-1CBE74CE338F}" = Company of Heroes - FAKEMSI "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{72C02F89-9E8E-2DBD-11D7-EB5F075FE081}" = Catalyst Control Center Graphics Previews Common "{75983B66-804C-40D1-BA13-64DAF652A6F1}" = Medieval II Total War : Kingdoms : Americas "{7AEE1963-7001-4C37-BC20-2FAEB74AA41C}" = Medieval II Total War : Kingdoms : Teutonic "{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}" = Company of Heroes - FAKEMSI "{80D03817-7943-4839-8E96-B9F924C5E67D}" = Company of Heroes - FAKEMSI "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{888F1505-C2B3-4FDE-835D-36353EBD4754}" = Ubisoft Game Launcher "{89661B04-C646-4412-B6D3-5E19F02F1F37}" = EAX4 Unified Redist "{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{97E5205F-EA4F-438F-B211-F1846419F1C1}" = Company of Heroes - FAKEMSI "{99A7722D-9ACB-43F3-A222-ABC7133F159E}" = Company of Heroes - FAKEMSI "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9DD16C0E-B9E7-417C-0C30-E57916C353E3}" = CCC Help English "{A1E1D1EE-3F04-CC1A-8498-0D48463F579D}" = Catalyst Control Center Localization All "{A680643A-1155-02F6-6B29-BF4FBA1190E8}" = Catalyst Control Center Graphics Full Existing "{ABB6F00C-9722-82C2-FE1E-893313CCF612}" = Catalyst Control Center Graphics Light "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch "{B04836D8-4170-D430-6297-3DD084AAEC09}" = Catalyst Control Center Graphics Full New "{BA801B94-C28D-46EE-B806-E1E021A3D519}" = Company of Heroes - FAKEMSI "{BCC78381-4B63-5352-BF57-BDBF7A77823A}" = Catalyst Control Center HydraVision Full "{C0698BDA-0D29-40EE-8570-A31106DF9AB1}" = Medieval II Total War "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CD95F661-A5C4-44F5-A6AA-ECDD91C240BB}" = WinZip 14.0 "{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE) "{CEDDEE73-3D36-41C2-AA40-29355D9FBD63}" = Medieval II Total War : Kingdoms : Britannia "{D4D244D1-05E0-4D24-86A2-B2433C435671}" = Company of Heroes - FAKEMSI "{EAF636A9-F664-4703-A659-85A894DA264F}" = Company of Heroes - FAKEMSI "{EB879750-CCBD-4013-BFD5-0294D4DA5BD0}" = Apple Application Support "{EC425CFC-EE78-4A91-AA25-3BFA65B75364}" = Oblivion - Orrery "{EE02955B-74BC-3995-6B67-2A9D1651D4F5}" = Catalyst Control Center Graphics Previews Vista "{EF295F5C-7B57-47AA-8889-6B3E8E214E89}" = Oblivion - Mehrunes Razor "{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 "{F9835182-794B-4F24-902A-E2CA9D43380F}" = NVIDIA PhysX "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FB79092D-A19D-45D4-9CCF-C7B26372710D}" = Modbus Plant Simulator "{FFFFFD17-B460-41EB-93F1-C48ABAD63828}" = Oblivion - Thieves Den "AC3 Decoder" = AC3 Decoder "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Avira AntiVir Desktop" = Avira Free Antivirus "Blitzkrieg" = Blitzkrieg Mod "CloneDVD2" = CloneDVD2 "Company of Heroes" = Company of Heroes "DivX Setup.divx.com" = DivX-Setup "DVD Shrink_is1" = DVD Shrink 3.2 "ENTERPRISE" = Microsoft Office Enterprise 2007 "ESET Online Scanner" = ESET Online Scanner v3 "FLV Player" = FLV Player 2.0 (build 25) "Free Studio_is1" = Free Studio version 5.0.4 "Free YouTube to DVD Converter_is1" = Free YouTube to DVD Converter version 3.0.7.1228 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.15.1228 "InstaCodecs_is1" = InstaCodecs "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300 "Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "ProtectDisc Driver 11" = ProtectDisc Driver, Version 11 "RiseOfNations 1.0" = Microsoft Rise Of Nations "RiseofNationsExpansion 1.0" = Rise of Nations Thrones and Patriots "Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2 "TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1 "Tropico3" = Tropico 3 1.00 "TuneUp Utilities 2012" = TuneUp Utilities 2012 "Uninstall_is1" = Uninstall 1.0.0.1 "WinRAR archiver" = WinRAR 4.00 Beta 5 (32-Bit) "You Don't Know Jack 4" = You Don't Know Jack 4 1.00 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "TeXLive2010" = TeX Live 2010 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 28.06.2011 09:04:22 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: a34 Startzeit: 01cc358981c36cf6 Endzeit: 63 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 29.06.2011 18:50:06 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 7c8 Startzeit: 01cc36778e99e1cf Endzeit: 73 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 02.07.2011 11:24:18 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 974 Startzeit: 01cc38c37480ab9b Endzeit: 339 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 02.07.2011 12:18:45 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: a90 Startzeit: 01cc38cc7128c4bc Endzeit: 80 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 02.07.2011 15:37:45 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 394 Startzeit: 01cc38d49d91ba31 Endzeit: 51 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 03.07.2011 14:38:40 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm SHIFT.exe, Version 1.0.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 770 Startzeit: 01cc39b047c93729 Endzeit: 9 Anwendungspfad: C:\Games\NFS_SHIFT\SHIFT.exe Berichts-ID: Error - 05.08.2011 09:10:25 | Computer Name = Ritchie | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: plugin-container.exe, Version: 1.9.2.4127, Zeitstempel: 0x4daf62c6 Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0x001864a8 ID des fehlerhaften Prozesses: 0xae4 Startzeit der fehlerhaften Anwendung: 0x01cc536e9a076df2 Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe Pfad des fehlerhaften Moduls: unknown Berichtskennung: 47a4346f-bf64-11e0-9823-0015f221ceaf Error - 12.08.2011 20:41:47 | Computer Name = Ritchie | Source = Application Hang | ID = 1002 Description = Programm firefox.exe, Version 1.9.2.4127 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: abc Startzeit: 01cc5950ef88b3f5 Endzeit: 12 Anwendungspfad: C:\Program Files (x86)\Mozilla Firefox\firefox.exe Berichts-ID: Error - 01.09.2011 09:19:15 | Computer Name = Ritchie | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: DivX Plus Player.exe, Version: 10.2.1.20, Zeitstempel: 0x4cdc8b7a Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bdb3b Ausnahmecode: 0xc0000374 Fehleroffset: 0x000cdcbb ID des fehlerhaften Prozesses: 0x68c Startzeit der fehlerhaften Anwendung: 0x01cc68a9b927db82 Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\DivX\DivX Plus Player\DivX Plus Player.exe Pfad des fehlerhaften Moduls: C:\Windows\SysWOW64\ntdll.dll Berichtskennung: fd1c897d-d49c-11e0-946a-0015f221ceaf Error - 01.09.2011 09:20:37 | Computer Name = Ritchie | Source = Application Error | ID = 1000 Description = Name der fehlerhaften Anwendung: DivX Plus Player.exe, Version: 10.2.1.20, Zeitstempel: 0x4cdc8b7a Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bdb3b Ausnahmecode: 0xc0000005 Fehleroffset: 0x00033913 ID des fehlerhaften Prozesses: 0xfac Startzeit der fehlerhaften Anwendung: 0x01cc68a9ed3348a1 Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\DivX\DivX Plus Player\DivX Plus Player.exe Pfad des fehlerhaften Moduls: C:\Windows\SysWOW64\ntdll.dll Berichtskennung: 2dc27b06-d49d-11e0-946a-0015f221ceaf [ System Events ] Error - 27.08.2012 04:32:03 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6 Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich an den Computerhersteller, um aktualisierte Firmware zu erhalten. Error - 27.08.2012 04:32:26 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 27.08.2012 11:00:44 | Computer Name = Ritchie | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 27.08.2012 11:00:45 | Computer Name = Ritchie | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 28.08.2012 07:13:54 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6 Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich an den Computerhersteller, um aktualisierte Firmware zu erhalten. Error - 28.08.2012 07:14:17 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 28.08.2012 13:01:01 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6 Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich an den Computerhersteller, um aktualisierte Firmware zu erhalten. Error - 28.08.2012 13:01:25 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 28.08.2012 13:20:11 | Computer Name = Ritchie | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6 Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich an den Computerhersteller, um aktualisierte Firmware zu erhalten. Error - 28.08.2012 13:20:46 | Computer Name = Ritchie | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 < End of report > KunZ |
29.08.2012, 16:54 | #13 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Hi wenn du keine 64bit-Browser verwendest (dein Firefox ist ein 32bit-Browser), ist das 64bit-Java unnötig und du kannst es deinstallieren. Schritt 1 Ich sehe das Du sogenannte Registry Cleaner am System hast. In deinem Fall TuneUp Utilities. Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr bootet.
Zerstörst Du die Registry, zerstörst Du Windows. Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten. Schritt 2 Adobe-Reader-Update
Schritt 3 Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt 4 OTL-CleanUp Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Schritt 5 Hier noch ein paar Tipps zur Absicherung deines Systems. Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
02.09.2012, 20:23 | #14 |
/// Malwareteam | GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du dennoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ Keep Jazzing! DerJazzer Imperare sibi maximum imperium est. ©Seneca Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/ |
11.10.2012, 13:51 | #15 |
| GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos Sorry, dass ich so lange gebraucht hab um wieder zu schreiben - ist grad malwieder Klausurenzeit.... Moin Christoph, Schritt1: Ich hab noch nie Probleme mit tuneup utilities gehabt. Hab es vor allem benutzt um tote verknüpfungen zu finden - hat allerdings nicht alle gefunden und an die system-beschleunigung muss man auch fest glauben um sie zu bemerken.... Schritt2: Ausgeführt! Schritt3: Ausgeführt! Schritt4: Ausgeführt! Schritt5: Secunia Online Software hab ich mir besorgt. Allerdings hab ich immer so meine Bedenken was das windows-update angeht....ich hab mir mit den automatischen updates mal mein System un-bootbar zerschossen und seit dem mach ich das doch sehr ungern... Frage: Wie kann ich mich dagegen schützen? Komm ich an einen Systemwiederherstellungspunkt dann noch irgendwie ran? Sprich - Syst.Wiederherst.punkt erstellen und im Fall der Fälle mit cd booten? Der Rest: Soweit klar - auch wenn ich nicht alles gemacht hab. werd aber auf jeden Fall auf deine Tips zurückgreifen wenn ich mein System (eines fernen Tages) neu aufsetze. Alternative Browser: check Dont´s: ich klicke schon aus Prinzip auf nix was bunt ist Vielen vielen Dank für alles! Du hast mir wirklich sehr geholfen.... Spenden fällt bei mir leider flach weil ich finanziell ziemlich auf dem Zahnfleisch gehe und eigentlich selbst bedürftig bin Aber vielleicht kann euer Team noch Verstärkung....die eine oder andere Stunde könnte ich (wenn grad keine Klausuren sind) durchaus investieren....gebrauchen Soweit erstmal und nochmal herzlichsten Dank! KunZ |
Themen zu GVU Trojaner - Anwendung des Kaspersky-unlock-tools von chip.de erfolglos |
64 bit system, anhänge, anwendung, ausgeführt, autostart, chip.de, eingefangen, entfernt, gefangen, geile, gen, gvu trojaner entfernen, heute, hoffe, job, kaspersky hat nichts gebracht, laufen, nervig, neues, schließt, sekunden, taskmanager, troja, trojaner, vermutlich, windows 7, woche, übers, zusammen, öffnen |