| |
| |||||||
Log-Analyse und Auswertung: Keylogger/Trojaner nach GVU InfektionWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.12.2012, 10:40
| #1 |
 |  Keylogger/Trojaner nach GVU Infektion Hallo Board! Mich hat vor einigen Tagen auch die GVU heimgesucht. Zugriff auf den Rechner habe ich wieder, GVU ist „weg“, der Rechner aber nach wie vor infiziert (Windows-Defender warnte mich vor einem „Keylogger“, AntiVir vor einem Trojaner). Der Rechner wird auch für sensible Sachen wie Homebanking mit Smartcard-Terminal etc. genutzt. Wenn gar nichts hilft, würde ich den Rechner aus Sicherheitsgründen plattmachen. Vielleicht klappt aber auch mit Eurer Hilfe eine Säuberung. Hier zunächst mal die Anti-Malware Logdatei: Malwarebytes Anti-Malware (Test) 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.12.17.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 ***** :: *** [Administrator] Schutz: Aktiviert 17.12.2012 09:58:25 mbam-log-2012-12-17 (09-58-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 363541 Laufzeit: 36 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Was kann ich als nächsten tun? Grüße, Lawyer |
|
17.12.2012, 10:59
| #2 |
| /// Malware-holic   | Keylogger/Trojaner nach GVU Infektion Hi,
__________________öffne Malwarebytes, Logdateien, poste, falls vorhanden, alle Logs mit Funden. Öffne den Defender, poste die Fundmeldung(en) Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ |
|
17.12.2012, 12:19
| #3 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus,
__________________erstmal herzlichen Dank für die schnelle Rückmeldung. Bei Windows-Defender wird in der Historie/Ereignisse/Funde leider nichts (mehr) angezeigt. Ich bekam im laufenden Betrieb eine Warnmeldung über einen Keylogger , Dateiname war eine "Ziffernfolge.exe" (ich glaube, die unten aus dem Malware-Log). Windows-Defender bot mir dann an, die Datei zu löschen, was ich auch gemacht habe (wobei ich glaube, dass dann eine Fehlermeldung kam, nach dem Motto "Datei nicht gefunden" - da bin ich mir aber nicht ganz sicher). Ich habe noch das Folgende Malware-Bytes Log: 2012/12/14 09:02:39 +0100 ***** ***** MESSAGE Starting protection 2012/12/14 09:02:39 +0100 ***** ***** MESSAGE Protection started successfully 2012/12/14 09:02:39 +0100 ***** ***** MESSAGE Starting IP protection 2012/12/14 09:02:40 +0100 ***** ***** MESSAGE IP Protection started successfully 2012/12/14 09:16:23 +0100 ***** ***** MESSAGE Executing scheduled update: Daily 2012/12/14 09:16:28 +0100 ***** ***** MESSAGE Scheduled update executed successfully: database updated from version v2012.12.12.03 to version v2012.12.14.04 2012/12/14 09:16:28 +0100 ***** ***** MESSAGE Starting database refresh 2012/12/14 09:16:28 +0100 ***** ***** MESSAGE Stopping IP protection 2012/12/14 09:16:28 +0100 ***** ***** MESSAGE IP Protection stopped successfully 2012/12/14 09:16:30 +0100 ***** ***** MESSAGE Database refreshed successfully 2012/12/14 09:16:30 +0100 ***** ***** MESSAGE Starting IP protection 2012/12/14 09:16:31 +0100 ***** ***** MESSAGE IP Protection started successfully 2012/12/14 16:17:43 +0100 ***** ***** DETECTION C:\Users\*****\AppData\Local\Temp\0.36029881277719933.exe Exploit.Drop.4 QUARANTINE 2012/12/14 16:17:44 +0100 ***** ***** DETECTION C:\Users\*****\AppData\Local\Temp\0.36029881277719933.exe Exploit.Drop.4 DENY 2012/12/14 16:17:44 +0100 ***** ***** DETECTION C:\Users\*****\AppData\Local\Temp\0.36029881277719933.exe Exploit.Drop.4 DENY 2012/12/14 17:30:49 +0100 ***** ***** MESSAGE Stopping protection 2012/12/14 17:30:49 +0100 ***** ***** MESSAGE Protection stopped successfully 2012/12/14 17:30:49 +0100 ***** ***** MESSAGE Stopping IP protection 2012/12/14 17:30:49 +0100 ***** ***** MESSAGE IP Protection stopped successfully 2012/12/14 17:30:57 +0100 ***** ***** MESSAGE Protection stopped Hier das Log aus OTL nach Deiner Anleitung:OTL Logfile: Code:
ATTFilter OTL logfile created on: 17.12.2012 11:32:20 - Run 2 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\*****\Desktop 64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 2,24 Gb Available Physical Memory | 55,94% Memory free 8,00 Gb Paging File | 6,05 Gb Available in Paging File | 75,63% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 465,66 Gb Total Space | 358,32 Gb Free Space | 76,95% Space Free | Partition Type: NTFS Drive E: | 100,00 Mb Total Space | 71,86 Mb Free Space | 71,87% Space Free | Partition Type: NTFS Drive G: | 465,66 Gb Total Space | 440,89 Gb Free Space | 94,68% Space Free | Partition Type: NTFS Drive H: | 465,75 Gb Total Space | 372,93 Gb Free Space | 80,07% Space Free | Partition Type: NTFS Computer Name: ***** | User Name: ***** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.12.14 17:51:06 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe PRC - [2012.12.11 15:05:41 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2012.12.11 15:05:13 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2012.12.11 15:05:12 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.11.13 14:08:12 | 003,487,240 | ---- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe PRC - [2012.11.13 14:07:24 | 000,168,384 | ---- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe PRC - [2012.11.13 14:07:20 | 001,369,624 | ---- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe PRC - [2012.11.13 14:07:16 | 001,103,392 | ---- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe PRC - [2012.09.29 19:54:26 | 000,766,536 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) -- C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe PRC - [2010.08.12 21:27:06 | 000,222,496 | ---- | M] (Acresso Corporation) -- C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe PRC - [2010.08.12 15:43:28 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files (x86)\Common Files\Nuance\dgnsvc.exe ========== Modules (No Company Name) ========== MOD - [2012.08.27 20:33:32 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2012.08.27 20:33:08 | 001,242,512 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll ========== Services (SafeList) ========== SRV:64bit: - [2011.09.08 18:29:56 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2012.12.13 16:46:53 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.12.11 15:05:41 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.12.11 15:05:13 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.09.29 19:54:26 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.08.14 16:26:45 | 000,529,232 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service) SRV - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.07.11 19:54:58 | 000,140,672 | ---- | M] (SUPERAntiSpyware.com) [Auto | Running] -- C:\Programme\SUPERAntiSpyware\SASCore64.exe -- (!SASCORE) SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Auto | Running] -- C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate) SRV - [2010.08.12 15:43:28 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\Nuance\dgnsvc.exe -- (DragonSvc) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.02.26 10:05:42 | 000,176,128 | ---- | M] (OLYMPUS IMAGING CORP.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Olympus Shared\DeviceManager\olydvrsv.exe -- (Olympus DVR Service) SRV - [2010.01.25 07:22:56 | 000,245,760 | ---- | M] (Brother Industries, Ltd.) [On_Demand | Stopped] -- C:\Program Files (x86)\Browny02\BrYNSvc.exe -- (BrYNSvc) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - [2012.12.11 15:05:45 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.12.11 15:05:45 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2012.09.29 19:54:26 | 000,025,928 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.09.24 08:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.08.21 12:01:20 | 000,033,240 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2012.07.09 12:42:54 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2011.10.04 11:09:53 | 000,025,344 | ---- | M] (KOBIL Systems GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\KOBCCEX.sys -- (KOBCCEX) DRV:64bit: - [2011.10.04 11:09:52 | 000,104,576 | ---- | M] (KOBIL Systems GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\KOBCCID.sys -- (KOBCCID) DRV:64bit: - [2011.09.08 19:27:22 | 010,203,648 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag) DRV:64bit: - [2011.09.08 19:27:22 | 010,203,648 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag) DRV:64bit: - [2011.09.08 17:52:40 | 000,310,784 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2011.08.01 15:59:06 | 000,045,416 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\point64.sys -- (Point64) DRV:64bit: - [2011.08.01 15:59:06 | 000,023,960 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nuidfltr.sys -- (NuidFltr) DRV:64bit: - [2011.06.06 23:07:00 | 000,231,440 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService) DRV:64bit: - [2011.05.18 08:08:32 | 000,047,616 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\dc3d.sys -- (dc3d) DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.20 04:33:36 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.20 02:07:06 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2009.08.23 12:08:08 | 000,056,320 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\L1E62x64.sys -- (L1E) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.02.24 18:35:44 | 000,255,552 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\mcdbus.sys -- (mcdbus) DRV:64bit: - [2005.10.21 16:01:22 | 000,019,200 | ---- | M] (Motorola) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbicp.sys -- (uisp) DRV:64bit: - [2005.03.29 00:30:38 | 000,008,192 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ASACPI.sys -- (MTsensor) DRV - [2011.07.22 17:26:56 | 000,014,928 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Stopped] -- C:\Programme\SUPERAntiSpyware\sasdifsv64.sys -- (SASDIFSV) DRV - [2011.07.12 22:55:18 | 000,012,368 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\saskutil64.sys -- (SASKUTIL) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) DRV - [2009.02.24 18:35:44 | 000,255,552 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysWOW64\drivers\mcdbus.sys -- (mcdbus) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 8A 0D 63 4D 1B 80 CC 01 [binary data] IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - No CLSID value found IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\*****\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\*****\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) ========== Chrome ========== CHR - homepage: hxxp://www.google.de/ CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter} CHR - homepage: hxxp://www.google.de/ CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Users\*****\AppData\Local\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\*****\AppData\Local\Google\Chrome\Application\23.0.1271.97\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Users\*****\AppData\Local\Google\Chrome\Application\23.0.1271.97\gcswf32.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll CHR - plugin: QuickTime Plug-in 7.7 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll CHR - Extension: YouTube = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Google-Suche = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: uTorrentBar_DE = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc\2.3.17.1_0\ CHR - Extension: uTorrentBar_DE = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc\2.3.18.20_0\ CHR - Extension: Google Mail = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (Deaktivierungs-Add-on für Browser von Google Analytics) - {75EF13CE-B59E-41ba-8A5A-A944031BD8B4} - C:\Program Files (x86)\Google\Google Analytics Opt-Out\gaoptout.dll (Google, Inc.) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3 - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\..\Toolbar\WebBrowser: (no name) - {C840E246-6B95-475E-9BD7-CAA1C7ECA9F2} - No CLSID value found. O3 - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4:64bit: - HKLM..\Run: [IntelliPoint] c:\Program Files\Microsoft IntelliPoint\ipoint.exe (Microsoft Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4:64bit: - HKLM..\Run: [Skytel] C:\Programme\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BrStsMon00] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [DNS7reminder] C:\Program Files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000..\Run: [ISUSPM] C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe (Acresso Corporation) O4 - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000..\Run: [Spybot-S&D Cleaning] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.) O4 - HKU\S-1-5-21-3197338633-1162312971-4059433862-1000..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERANTISPYWARE.EXE (SUPERAntiSpyware.com) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk = C:\Program Files (x86)\MagicDisc\MagicDisc.exe (MagicISO, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16:64bit: - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.20.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8C51BBF5-65D2-4260-9F95-FF043BAB75DA}: DhcpNameServer = 192.168.20.1 O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: {05466845-FF44-4671-92C1-A5FD0F9EEE1C} - Microsoft Reader ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) MsConfig:64bit - StartUpReg: facemoods - hkey= - key= - File not found MsConfig:64bit - StartUpReg: Steam - hkey= - key= - C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation) MsConfig:64bit - StartUpReg: uTorrent - hkey= - key= - C:\Program Files (x86)\uTorrent\uTorrent.exe (BitTorrent, Inc.) MsConfig:64bit - State: "startup" - Reg Error: Key error. CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.12.17 09:28:27 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\*****\Desktop\tdsskiller.exe [2012.12.17 09:19:58 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\SUPERAntiSpyware.com [2012.12.17 09:19:36 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware [2012.12.17 09:19:33 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com [2012.12.17 09:19:33 | 000,000,000 | ---D | C] -- C:\Program Files\SUPERAntiSpyware [2012.12.14 17:51:02 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe [2012.12.14 16:54:25 | 000,000,000 | ---D | C] -- C:\Users\*****\Documents\ProcAlyzer Dumps [2012.12.14 16:53:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2012.12.14 16:53:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2 [2012.12.14 16:53:31 | 000,017,272 | ---- | C] (Safer Networking Limited) -- C:\Windows\SysNative\sdnclean64.exe [2012.12.14 16:53:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2 [2012.12.14 16:52:42 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Local\Programs [2012.12.11 14:51:31 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Malwarebytes [2012.12.11 14:51:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2012.12.11 14:51:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2012.12.11 14:51:26 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2012.12.11 14:51:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2012.12.10 18:16:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecCommerce SecSigner [2012.12.10 18:16:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SecCommerce [2012.12.05 15:31:18 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\FileZilla [2012.12.05 15:31:14 | 000,000,000 | ---D | C] -- C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FileZilla FTP Client [2012.12.05 15:31:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\FileZilla FTP Client [2012.11.28 09:11:37 | 000,050,456 | ---- | C] (Tracker Software Products Ltd.) -- C:\Windows\SysNative\pxc40pm.dll ========== Files - Modified Within 30 Days ========== [2012.12.17 11:20:00 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3197338633-1162312971-4059433862-1000UA.job [2012.12.17 11:15:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012.12.17 10:54:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2012.12.17 10:15:21 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012.12.17 09:28:28 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\*****\Desktop\tdsskiller.exe [2012.12.17 09:20:02 | 000,000,510 | ---- | M] () -- C:\Windows\tasks\SUPERAntiSpyware Scheduled Task a3e00afe-0b3b-4697-b44a-c860fb098d97.job [2012.12.17 09:20:02 | 000,000,510 | ---- | M] () -- C:\Windows\tasks\SUPERAntiSpyware Scheduled Task 47f53f01-4808-4e39-8ba9-ad260296247f.job [2012.12.17 09:20:00 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3197338633-1162312971-4059433862-1000Core.job [2012.12.17 09:19:36 | 000,001,808 | ---- | M] () -- C:\Users\*****\Desktop\SUPERAntiSpyware Free Edition.lnk [2012.12.17 09:12:07 | 000,020,208 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.12.17 09:12:07 | 000,020,208 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.12.17 09:11:17 | 001,618,448 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2012.12.17 09:11:17 | 000,698,294 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2012.12.17 09:11:17 | 000,653,612 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2012.12.17 09:11:17 | 000,148,950 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2012.12.17 09:11:17 | 000,121,904 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2012.12.17 09:04:13 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.12.17 09:04:10 | 3220,480,000 | -HS- | M] () -- C:\hiberfil.sys [2012.12.14 17:51:06 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\*****\Desktop\OTL.exe [2012.12.14 16:53:35 | 000,002,177 | ---- | M] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk [2012.12.14 09:02:23 | 000,446,664 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2012.12.13 17:47:48 | 000,214,176 | ---- | M] () -- C:\Windows\SysNative\C [2012.12.12 09:19:31 | 000,001,715 | ---- | M] () -- C:\Users\*****\AppData\Roaming\SAS7_000.DAT [2012.12.11 15:05:45 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2012.12.11 15:05:45 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2012.12.11 14:52:05 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.11.28 09:12:21 | 001,644,068 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2012.11.20 14:36:44 | 000,004,096 | -H-- | M] () -- C:\Users\*****\AppData\Local\keyfile3.drm [2012.11.19 17:27:40 | 000,488,609 | ---- | M] () -- C:\Users\*****\Desktop\Jusletter Kartellrecht 300511.pdf ========== Files Created - No Company Name ========== [2012.12.17 09:20:02 | 000,000,510 | ---- | C] () -- C:\Windows\tasks\SUPERAntiSpyware Scheduled Task a3e00afe-0b3b-4697-b44a-c860fb098d97.job [2012.12.17 09:20:02 | 000,000,510 | ---- | C] () -- C:\Windows\tasks\SUPERAntiSpyware Scheduled Task 47f53f01-4808-4e39-8ba9-ad260296247f.job [2012.12.17 09:19:36 | 000,001,808 | ---- | C] () -- C:\Users\*****\Desktop\SUPERAntiSpyware Free Edition.lnk [2012.12.14 16:53:35 | 000,002,189 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk [2012.12.14 16:53:35 | 000,002,177 | ---- | C] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk [2012.12.11 14:51:27 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.11.20 14:36:44 | 000,004,096 | -H-- | C] () -- C:\Users\*****\AppData\Local\keyfile3.drm [2012.11.19 17:27:40 | 000,488,609 | ---- | C] () -- C:\Users\*****\Desktop\Jusletter Kartellrecht 300511.pdf [2012.10.09 10:00:15 | 000,014,116 | ---- | C] () -- C:\Windows\SysWow64\SpoonUninstall-dBpoweramp DSP Effects.dat [2012.10.09 10:00:11 | 004,779,592 | ---- | C] () -- C:\Windows\SysWow64\SpoonUninstall.exe [2012.10.09 10:00:11 | 000,018,309 | ---- | C] () -- C:\Windows\SysWow64\SpoonUninstall-dBpoweramp Music Converter.dat [2012.02.13 18:01:16 | 000,049,152 | ---- | C] ( ) -- C:\Windows\Interop.IWshRuntimeLibrary.dll [2012.02.09 17:42:02 | 000,007,607 | ---- | C] () -- C:\Users\*****\AppData\Local\Resmon.ResmonCfg [2012.01.26 16:16:58 | 000,001,715 | ---- | C] () -- C:\Users\*****\AppData\Roaming\SAS7_000.DAT [2011.10.04 13:15:34 | 001,644,068 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2011.10.04 13:09:58 | 000,000,222 | ---- | C] () -- C:\Windows\Support.ini [2011.10.04 12:45:56 | 000,153,088 | ---- | C] () -- C:\Windows\UNWISE32.EXE [2011.10.04 12:45:56 | 000,006,067 | ---- | C] () -- C:\Windows\UNWISE32.INI [2011.10.04 12:36:52 | 000,000,713 | ---- | C] () -- C:\Windows\DictaNet.ini [2011.10.04 12:34:06 | 000,153,088 | ---- | C] () -- C:\Windows\SysWow64\UNWISE32.EXE [2011.10.04 12:34:06 | 000,006,848 | ---- | C] () -- C:\Windows\SysWow64\UNWISE32.INI [2011.10.04 09:53:24 | 000,000,319 | ---- | C] () -- C:\Windows\hbcikrnl.ini [2011.10.03 11:31:55 | 000,045,056 | ---- | C] () -- C:\Windows\SysWow64\BRTCPCON.DLL [2011.10.03 11:31:54 | 000,000,114 | ---- | C] () -- C:\Windows\SysWow64\BRLMW03A.INI [2011.10.01 09:10:28 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini [2011.10.01 09:02:59 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2011.09.14 10:47:40 | 000,053,760 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll [2011.03.17 18:51:44 | 000,003,929 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 03:19:04 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2011.12.02 13:13:53 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\calibre [2012.11.16 12:34:38 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\dBpoweramp [2012.11.01 16:49:32 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\de.ramicro.flex.germanlaws [2012.12.05 15:36:59 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\FileZilla [2012.10.05 16:20:18 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\foobar2000 [2012.03.27 16:04:02 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Notepad++ [2012.01.04 13:18:41 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\Nuance [2011.10.12 14:56:32 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\TachoPlus-FreeDriver [2012.03.02 17:33:20 | 000,000,000 | ---D | M] -- C:\Users\*****\AppData\Roaming\uTorrent ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2012.12.10 15:11:04 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin [2011.10.01 10:27:55 | 000,000,000 | ---D | M] -- C:\ATI [2012.12.14 16:59:11 | 000,000,000 | ---D | M] -- C:\Backup_RA_Micro [2012.12.07 16:39:29 | 000,000,000 | ---D | M] -- C:\Backup_***** [2011.10.03 11:32:03 | 000,000,000 | ---D | M] -- C:\Brother [2012.05.04 10:43:35 | 000,000,000 | ---D | M] -- C:\DictaNet [2009.07.14 06:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings [2011.10.01 09:06:29 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen [2011.10.28 13:57:40 | 000,000,000 | ---D | M] -- C:\extensions [2011.10.01 09:10:29 | 000,000,000 | ---D | M] -- C:\Intel [2011.10.04 10:00:10 | 000,000,000 | ---D | M] -- C:\Kanzlei [2011.11.28 17:47:15 | 000,000,000 | ---D | M] -- C:\logfiles [2011.10.01 16:27:48 | 000,000,000 | RH-D | M] -- C:\MSOCache [2009.07.14 04:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs [2012.12.17 09:19:33 | 000,000,000 | R--D | M] -- C:\Program Files [2012.12.14 16:53:28 | 000,000,000 | R--D | M] -- C:\Program Files (x86) [2012.12.17 09:19:58 | 000,000,000 | -H-D | M] -- C:\ProgramData [2011.10.01 09:06:29 | 000,000,000 | -HSD | M] -- C:\Programme [2012.12.10 18:15:50 | 000,000,000 | ---D | M] -- C:\ra [2011.10.01 09:06:30 | 000,000,000 | -HSD | M] -- C:\Recovery [2011.10.04 13:01:26 | 000,000,000 | ---D | M] -- C:\start [2012.12.17 11:33:28 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.10.01 09:06:38 | 000,000,000 | R--D | M] -- C:\Users [2012.12.17 09:04:14 | 000,000,000 | ---D | M] -- C:\Windows [2011.10.10 10:03:15 | 000,000,000 | ---D | M] -- C:\zerb_verlag < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > < %systemroot%\*. /mp /s > < C:\Windows\system32\*.tsp > [2009.07.14 02:14:11 | 000,030,720 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp [2009.07.14 02:14:11 | 000,038,912 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp [2009.07.14 02:14:11 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp [2009.07.14 02:14:11 | 000,082,432 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp [2010.11.20 03:16:54 | 000,281,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp [2009.07.14 06:08:49 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT [2009.07.14 06:08:49 | 000,032,640 | ---- | C] () -- C:\Windows\Tasks\SCHEDLGU.TXT [2011.11.21 14:45:36 | 000,001,104 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job [2011.11.21 14:45:37 | 000,001,108 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job [2012.02.09 12:00:08 | 000,001,068 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3197338633-1162312971-4059433862-1000Core.job [2012.02.09 12:00:08 | 000,001,120 | ---- | C] () -- C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3197338633-1162312971-4059433862-1000UA.job [2012.11.13 09:11:28 | 000,000,884 | ---- | C] () -- C:\Windows\Tasks\Adobe Flash Player Updater.job [2012.12.17 09:20:02 | 000,000,510 | ---- | C] () -- C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task 47f53f01-4808-4e39-8ba9-ad260296247f.job [2012.12.17 09:20:02 | 000,000,510 | ---- | C] () -- C:\Windows\Tasks\SUPERAntiSpyware Scheduled Task a3e00afe-0b3b-4697-b44a-c860fb098d97.job < MD5 for: AGP440.SYS > [2009.07.14 02:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\drivers\AGP440.sys [2009.07.14 02:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\DriverStore\FileRepository\machine.inf_amd64_neutral_a2f120466549d68b\AGP440.sys [2009.07.14 02:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_1607dee2d861e021\AGP440.sys [2009.07.14 02:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_1838f2aad55063bb\AGP440.sys < MD5 for: ATAPI.SYS > [2009.07.14 02:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\drivers\atapi.sys [2009.07.14 02:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\DriverStore\FileRepository\mshdc.inf_amd64_neutral_aad30bdeec04ea5e\atapi.sys [2009.07.14 02:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys [2009.07.14 02:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys < MD5 for: CNGAUDIT.DLL > [2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\SysWOW64\cngaudit.dll [2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll [2009.07.14 02:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\SysNative\cngaudit.dll [2009.07.14 02:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_4458dccc49458461\cngaudit.dll < MD5 for: EXPLORER.EXE > [2011.02.26 07:23:14 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=0862495E0C825893DB75EF44FAEA8E93 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe [2011.02.26 06:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe [2009.07.14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe [2011.02.26 06:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_b8ce9756e0b786a4\explorer.exe [2011.02.26 06:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe [2011.02.25 07:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\explorer.exe [2011.02.25 07:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe [2011.02.26 07:14:34 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=3B69712041F3D63605529BD66DC00C48 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe [2010.11.20 03:17:10 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\SysWOW64\explorer.exe [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe [2010.11.20 04:24:46 | 002,872,320 | ---- | M] (Microsoft Corporation) MD5=AC4C51EB24AA95B77F705AB159189E24 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe [2009.07.14 02:39:10 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=C235A51CB740E45FFA0EBFB9BAFCDA64 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe [2011.02.26 07:26:45 | 002,870,784 | ---- | M] (Microsoft Corporation) MD5=E38899074D4951D31B4040E994DD7C8D -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_ae79ed04ac56c4a9\explorer.exe [2012.11.13 14:07:52 | 003,906,584 | ---- | M] (Safer-Networking Ltd.) MD5=E4A0900CF535888DDD85B10040CA3E34 -- C:\Program Files (x86)\Spybot - Search & Destroy 2\explorer.exe < MD5 for: IASTORV.SYS > [2010.11.20 04:33:40 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_668286aa35d55928\iaStorV.sys [2010.11.20 04:33:40 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_0d3757e79e6784d0\iaStorV.sys [2011.03.11 07:19:16 | 000,410,496 | ---- | M] (Intel Corporation) MD5=5B3DE7208E5000D5B451B9D290D2579C -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_0d714416b7c182d5\iaStorV.sys [2011.03.11 07:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\drivers\iaStorV.sys [2011.03.11 07:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_0bcee2057afcc090\iaStorV.sys [2011.03.11 07:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_0cf9793d9e95787b\iaStorV.sys [2011.03.11 07:23:00 | 000,410,496 | ---- | M] (Intel Corporation) MD5=B75E45C564E944A2657167D197AB29DA -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iaStorV.sys [2011.03.11 07:25:49 | 000,410,496 | ---- | M] (Intel Corporation) MD5=BFDC9D75698800CFE4D1698BF2750EA2 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_0bccc8c8ba6985c1\iaStorV.sys [2009.07.14 02:48:04 | 000,410,688 | ---- | M] (Intel Corporation) MD5=D83EFB6FD45DF9D55E9A1AFC63640D50 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iaStorV.sys < MD5 for: NETLOGON.DLL > [2009.07.14 02:41:52 | 000,692,736 | ---- | M] (Microsoft Corporation) MD5=956D030D375F207B22FB111E06EF9C35 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_59aca8ea51aaeefe\netlogon.dll [2010.11.20 04:27:24 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\SysNative\netlogon.dll [2010.11.20 04:27:24 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_5bddbcb24e997298\netlogon.dll [2010.11.20 03:20:30 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\SysWOW64\netlogon.dll [2010.11.20 03:20:30 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_6632670482fa3493\netlogon.dll [2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_6401533c860bb0f9\netlogon.dll < MD5 for: NVSTOR.SYS > [2009.07.14 02:45:45 | 000,167,488 | ---- | M] (NVIDIA Corporation) MD5=477DC4D6DEB99BE37084C9AC6D013DA1 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvstor.sys [2011.03.11 07:23:06 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=6C1D5F70E7A6A3FD1C90D840EDC048B9 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvstor.sys [2011.03.11 07:25:53 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=AE274836BA56518E279087363A781214 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_96963977f1a02f99\nvstor.sys [2011.03.11 07:19:21 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=D23C7E8566DA2B8A7C0DBBB761D54888 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_983ab4c5eef82cad\nvstor.sys [2011.03.11 07:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\drivers\nvstor.sys [2011.03.11 07:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_0276fc3b3ea60d41\nvstor.sys [2011.03.11 07:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_97c2e9ecd5cc2253\nvstor.sys [2010.11.20 04:33:50 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_dd659ed032d28a14\nvstor.sys [2010.11.20 04:33:50 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_9800c896d59e2ea8\nvstor.sys < MD5 for: SCECLI.DLL > [2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9e577e55272d37b4\scecli.dll [2009.07.14 02:41:53 | 000,232,448 | ---- | M] (Microsoft Corporation) MD5=398712DDDAEFB85EDF61DF6A07B65C79 -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9402d402f2cc75b9\scecli.dll [2010.11.20 03:21:06 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\SysWOW64\scecli.dll [2010.11.20 03:21:06 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_a088921d241bbb4e\scecli.dll [2010.11.20 04:27:26 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\SysNative\scecli.dll [2010.11.20 04:27:26 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_9633e7caefbaf953\scecli.dll < MD5 for: USER32.DLL > [2010.11.20 03:08:58 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll [2010.11.20 03:08:58 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll [2009.07.14 02:41:56 | 001,008,640 | ---- | M] (Microsoft Corporation) MD5=72D7B3EA16946E8F0CF7458150031CC6 -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll [2009.07.14 02:11:24 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=E8B0FFC209E504CB7E79FC24E6C085F0 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll [2010.11.20 04:27:28 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\SysNative\user32.dll [2010.11.20 04:27:28 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll < MD5 for: USERINIT.EXE > [2010.11.20 03:17:50 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe [2010.11.20 03:17:50 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe [2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe [2009.07.14 02:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_381dabbceb60feb2\userinit.exe [2010.11.20 04:25:26 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\SysNative\userinit.exe [2010.11.20 04:25:26 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe < MD5 for: WINLOGON.EXE > [2010.11.20 04:25:32 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\SysNative\winlogon.exe [2010.11.20 04:25:32 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe [2009.07.14 02:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe [2012.09.29 19:54:26 | 000,218,184 | ---- | M] () MD5=8846E87210AD131CF71E3E2E49F647B0 -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe < MD5 for: WS2IFSL.SYS > [2009.07.14 01:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\SysNative\drivers\ws2ifsl.sys [2009.07.14 01:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_ab7b927be17eace8\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > < %systemroot%\system32\*.dll /lockedfiles > < %USERPROFILE%\*.* > [2012.12.17 11:33:38 | 002,359,296 | -HS- | M] () -- C:\Users\*****\ntuser.dat [2012.12.17 11:33:38 | 000,262,144 | -HS- | M] () -- C:\Users\*****\ntuser.dat.LOG1 [2011.10.01 09:06:39 | 000,000,000 | -HS- | M] () -- C:\Users\*****\ntuser.dat.LOG2 [2011.10.01 09:12:39 | 000,065,536 | -HS- | M] () -- C:\Users\*****\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf [2011.10.01 09:12:39 | 000,524,288 | -HS- | M] () -- C:\Users\*****\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms [2011.10.01 09:12:39 | 000,524,288 | -HS- | M] () -- C:\Users\*****\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms [2012.04.18 10:41:56 | 000,065,536 | -HS- | M] () -- C:\Users\*****\ntuser.dat{217619b2-8937-11e1-96c7-002215641c2b}.TM.blf [2012.04.18 10:41:56 | 000,524,288 | -HS- | M] () -- C:\Users\*****\ntuser.dat{217619b2-8937-11e1-96c7-002215641c2b}.TMContainer00000000000000000001.regtrans-ms [2012.04.18 10:41:56 | 000,524,288 | -HS- | M] () -- C:\Users\*****\ntuser.dat{217619b2-8937-11e1-96c7-002215641c2b}.TMContainer00000000000000000002.regtrans-ms [2011.10.01 09:06:39 | 000,000,020 | -HS- | M] () -- C:\Users\*****\ntuser.ini [2011.10.04 17:27:07 | 000,002,713 | ---- | M] () -- C:\Users\*****\ReaderDiagnosis.log < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 ========== Alternate Data Streams ========== @Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:7FFED16F < End of report > „Extra.txt“ wurde nicht erstellt?! Grüße, Lawyer |
|
17.12.2012, 15:51
| #4 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus, hier noch die Reports von AntiVir der letzten Tage (Nach der Infektion): Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 11. Dezember 2012 15:13
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ****
Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 14:05:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 14:05:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 14:05:39
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 14:17:57
AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 14:17:57
avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 14:17:58
avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 14:17:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 14:06:57
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 14:06:59
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 14:06:59
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 14:07:00
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 14:07:00
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 14:07:00
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 14:07:00
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 08:03:08
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 08:03:08
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 08:18:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 08:19:14
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 08:08:04
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 08:21:11
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 08:24:09
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 08:17:53
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 08:17:53
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 08:05:01
VBASE024.VDF : 7.11.53.94 2048 Bytes 10.12.2012 08:05:01
VBASE025.VDF : 7.11.53.95 2048 Bytes 10.12.2012 08:05:01
VBASE026.VDF : 7.11.53.96 2048 Bytes 10.12.2012 08:05:01
VBASE027.VDF : 7.11.53.97 2048 Bytes 10.12.2012 08:05:01
VBASE028.VDF : 7.11.53.98 2048 Bytes 10.12.2012 08:05:01
VBASE029.VDF : 7.11.53.99 2048 Bytes 10.12.2012 08:05:01
VBASE030.VDF : 7.11.53.100 2048 Bytes 10.12.2012 08:05:01
VBASE031.VDF : 7.11.53.128 58880 Bytes 11.12.2012 14:05:07
Engineversion : 8.2.10.216
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.72 467323 Bytes 06.12.2012 14:23:37
AESCN.DLL : 8.1.9.4 131445 Bytes 15.11.2012 14:02:44
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 12.11.2012 08:19:46
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 14:19:43
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:35:40
AEHEUR.DLL : 8.1.4.160 5624184 Bytes 06.12.2012 14:23:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 18.10.2012 07:23:24
AEGEN.DLL : 8.1.6.10 438646 Bytes 15.11.2012 14:02:42
AEEXP.DLL : 8.2.0.18 123253 Bytes 06.12.2012 14:23:37
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 12.11.2012 08:19:43
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:35:37
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 14:05:15
AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 14:17:57
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 14:05:10
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 14:05:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 14:05:40
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 14:05:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 14:05:06
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50c73dcd\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM),
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 11. Dezember 2012 15:13
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDisc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '212' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoney.exe' - '254' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmd.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess '32ra.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'ra7.central.mail.receiver.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'ra7.communication.directmessages.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess '32ELOZIP.EXE' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess '32dms.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil64_11_5_502_110_ActiveX.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U68PG70R\bobiporn_com[1].htm'
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U68PG70R\bobiporn_com[1].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/JEHBlock.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '585fd1ad.qua' verschoben!
Ende des Suchlaufs: Dienstag, 11. Dezember 2012 15:15
Benötigte Zeit: 01:36 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1266 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1265 Dateien ohne Befall
3 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 11. Dezember 2012 15:14
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : *****
Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 14:05:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 14:05:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 14:05:39
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 14:17:57
AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 14:17:57
avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 14:17:58
avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 14:17:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 14:06:57
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 14:06:59
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 14:06:59
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 14:07:00
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 14:07:00
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 14:07:00
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 14:07:00
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 08:03:08
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 08:03:08
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 08:18:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 08:19:14
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 08:08:04
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 08:21:11
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 08:24:09
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 08:17:53
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 08:17:53
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 08:05:01
VBASE024.VDF : 7.11.53.94 2048 Bytes 10.12.2012 08:05:01
VBASE025.VDF : 7.11.53.95 2048 Bytes 10.12.2012 08:05:01
VBASE026.VDF : 7.11.53.96 2048 Bytes 10.12.2012 08:05:01
VBASE027.VDF : 7.11.53.97 2048 Bytes 10.12.2012 08:05:01
VBASE028.VDF : 7.11.53.98 2048 Bytes 10.12.2012 08:05:01
VBASE029.VDF : 7.11.53.99 2048 Bytes 10.12.2012 08:05:01
VBASE030.VDF : 7.11.53.100 2048 Bytes 10.12.2012 08:05:01
VBASE031.VDF : 7.11.53.128 58880 Bytes 11.12.2012 14:05:07
Engineversion : 8.2.10.216
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.72 467323 Bytes 06.12.2012 14:23:37
AESCN.DLL : 8.1.9.4 131445 Bytes 15.11.2012 14:02:44
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 12.11.2012 08:19:46
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 14:19:43
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:35:40
AEHEUR.DLL : 8.1.4.160 5624184 Bytes 06.12.2012 14:23:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 18.10.2012 07:23:24
AEGEN.DLL : 8.1.6.10 438646 Bytes 15.11.2012 14:02:42
AEEXP.DLL : 8.2.0.18 123253 Bytes 06.12.2012 14:23:37
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 12.11.2012 08:19:43
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:35:37
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 14:05:15
AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 14:17:57
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 14:05:10
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 14:05:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 14:05:40
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 14:05:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 14:05:06
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50c73dcd\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM),
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 11. Dezember 2012 15:14
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDisc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '212' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoney.exe' - '254' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmd.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess '32ra.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'ra7.central.mail.receiver.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'ra7.communication.directmessages.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess '32ELOZIP.EXE' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess '32dms.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil64_11_5_502_110_ActiveX.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\78D0V5OA\64s_font[1].eot'
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\78D0V5OA\64s_font[1].eot
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3402.C
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5df3d5da.qua' verschoben!
Ende des Suchlaufs: Dienstag, 11. Dezember 2012 15:15
Benötigte Zeit: 01:17 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1267 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1266 Dateien ohne Befall
3 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 11. Dezember 2012 16:05
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : *****
Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 14:05:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 14:05:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 14:05:39
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 14:17:57
AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 14:17:57
avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 14:17:58
avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 14:17:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 14:06:57
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 14:06:59
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 14:06:59
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 14:07:00
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 14:07:00
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 14:07:00
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 14:07:00
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 08:03:08
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 08:03:08
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 08:18:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 08:19:14
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 08:08:04
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 08:21:11
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 08:24:09
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 08:17:53
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 08:17:53
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 08:05:01
VBASE024.VDF : 7.11.53.94 2048 Bytes 10.12.2012 08:05:01
VBASE025.VDF : 7.11.53.95 2048 Bytes 10.12.2012 08:05:01
VBASE026.VDF : 7.11.53.96 2048 Bytes 10.12.2012 08:05:01
VBASE027.VDF : 7.11.53.97 2048 Bytes 10.12.2012 08:05:01
VBASE028.VDF : 7.11.53.98 2048 Bytes 10.12.2012 08:05:01
VBASE029.VDF : 7.11.53.99 2048 Bytes 10.12.2012 08:05:01
VBASE030.VDF : 7.11.53.100 2048 Bytes 10.12.2012 08:05:01
VBASE031.VDF : 7.11.53.128 58880 Bytes 11.12.2012 14:05:07
Engineversion : 8.2.10.216
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.72 467323 Bytes 06.12.2012 14:23:37
AESCN.DLL : 8.1.9.4 131445 Bytes 15.11.2012 14:02:44
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 12.11.2012 08:19:46
AEPACK.DLL : 8.3.0.40 815479 Bytes 12.11.2012 14:19:43
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:35:40
AEHEUR.DLL : 8.1.4.160 5624184 Bytes 06.12.2012 14:23:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 18.10.2012 07:23:24
AEGEN.DLL : 8.1.6.10 438646 Bytes 15.11.2012 14:02:42
AEEXP.DLL : 8.2.0.18 123253 Bytes 06.12.2012 14:23:37
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.29.2 201079 Bytes 12.11.2012 08:19:43
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:35:37
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 14:05:15
AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 14:17:57
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 14:05:10
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 14:05:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 14:05:40
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 14:05:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 14:05:06
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50c7393b\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM),
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 11. Dezember 2012 16:05
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDisc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\98995183[1].htm'
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\98995183[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/JS.Expack.BO
Beginne mit der Suche in 'C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\Dr-Helmut-Rutke[1].htm'
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\Dr-Helmut-Rutke[1].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Blacole.AI
Beginne mit der Desinfektion:
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\Dr-Helmut-Rutke[1].htm
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Blacole.AI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59e3ecd4.qua' verschoben!
C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\98995183[1].htm
[FUND] Enthält Erkennungsmuster des Exploits EXP/JS.Expack.BO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4080c349.qua' verschoben!
Ende des Suchlaufs: Dienstag, 11. Dezember 2012 16:06
Benötigte Zeit: 00:19 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
936 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
934 Dateien ohne Befall
4 Archive wurden durchsucht
0 Warnungen
2 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 17. Dezember 2012 09:55
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : *****
Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 14:05:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 14:05:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 14:05:39
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 14:17:57
AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 14:17:57
avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 14:17:58
avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 14:17:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 14:06:57
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 14:06:59
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 14:06:59
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 14:07:00
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 14:07:00
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 14:07:00
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 14:07:00
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 08:03:08
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 08:03:08
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 08:18:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 08:19:14
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 08:08:04
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 08:21:11
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 08:24:09
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 08:17:53
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 08:17:53
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 08:05:01
VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 08:14:03
VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 08:09:29
VBASE026.VDF : 7.11.53.238 2048 Bytes 14.12.2012 08:09:29
VBASE027.VDF : 7.11.53.239 2048 Bytes 14.12.2012 08:09:29
VBASE028.VDF : 7.11.53.240 2048 Bytes 14.12.2012 08:09:29
VBASE029.VDF : 7.11.53.241 2048 Bytes 14.12.2012 08:09:29
VBASE030.VDF : 7.11.53.242 2048 Bytes 14.12.2012 08:09:29
VBASE031.VDF : 7.11.54.16 144384 Bytes 17.12.2012 08:09:29
Engineversion : 8.2.10.222
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.76 467324 Bytes 13.12.2012 14:14:05
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 14:14:05
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 12.11.2012 08:19:46
AEPACK.DLL : 8.3.1.0 819574 Bytes 13.12.2012 14:14:05
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:35:40
AEHEUR.DLL : 8.1.4.160 5624184 Bytes 06.12.2012 14:23:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 18.10.2012 07:23:24
AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 14:14:04
AEEXP.DLL : 8.3.0.0 184692 Bytes 13.12.2012 14:14:05
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 14:14:04
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:35:37
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 14:05:15
AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 14:17:57
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 14:05:10
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 14:05:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 14:05:40
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 14:05:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 14:05:06
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50ced205\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM),
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Montag, 17. Dezember 2012 09:55
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDFSSvc.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDUpdSvc.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWSCSvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '184' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDisc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTray.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil64_11_5_502_135_ActiveX.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE64.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDUpdate.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\63a79fca-2eeb4870'
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\63a79fca-2eeb4870
[FUND] Ist das Trojanische Pferd TR/PSW.Fareit.H.80
Beginne mit der Desinfektion:
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\63a79fca-2eeb4870
[FUND] Ist das Trojanische Pferd TR/PSW.Fareit.H.80
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '58377310.qua' verschoben!
Ende des Suchlaufs: Montag, 17. Dezember 2012 09:57
Benötigte Zeit: 00:18 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
1000 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
999 Dateien ohne Befall
4 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Ich hoffe, das hilft weiter. Gruß, Lawyer |
|
17.12.2012, 18:54
| #5 |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion Ich sehe, der tdss killer wurde genutzt? gehe mal auf c: dort TDSS-Killer-Version-Datum.txt öffnen und posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.12.2012, 09:07
| #6 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus, hier das gewünschte Log: Code:
ATTFilter
17:19:05.0002 1112 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
17:19:05.0143 1112 ============================================================
17:19:05.0143 1112 Current date / time: 2012/12/17 17:19:05.0143
17:19:05.0143 1112 SystemInfo:
17:19:05.0143 1112
17:19:05.0143 1112 OS Version: 6.1.7601 ServicePack: 1.0
17:19:05.0143 1112 Product type: Workstation
17:19:05.0143 1112 ComputerName: *****
17:19:05.0143 1112 UserName: *****
17:19:05.0143 1112 Windows directory: C:\Windows
17:19:05.0143 1112 System windows directory: C:\Windows
17:19:05.0143 1112 Running under WOW64
17:19:05.0143 1112 Processor architecture: Intel x64
17:19:05.0143 1112 Number of processors: 2
17:19:05.0143 1112 Page size: 0x1000
17:19:05.0143 1112 Boot type: Normal boot
17:19:05.0143 1112 ============================================================
17:19:13.0448 1112 Drive \Device\Harddisk0\DR0 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x700FC, SectorsPerTrack: 0x13, TracksPerCylinder: 0xE0, Type 'K0', Flags 0x00000040
17:19:13.0448 1112 Drive \Device\Harddisk1\DR1 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0x38080, SectorsPerTrack: 0x13, TracksPerCylinder: 0xE0, Type 'K0', Flags 0x00000040
17:19:13.0448 1112 ============================================================
17:19:13.0448 1112 \Device\Harddisk0\DR0:
17:19:13.0448 1112 MBR partitions:
17:19:13.0448 1112 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
17:19:13.0448 1112 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x3A353800
17:19:13.0448 1112 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x3A386000, BlocksNum 0x3A37F800
17:19:13.0448 1112 \Device\Harddisk1\DR1:
17:19:13.0464 1112 MBR partitions:
17:19:13.0464 1112 \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x32000
17:19:13.0464 1112 \Device\Harddisk1\DR1\Partition2: MBR, Type 0x7, StartLBA 0x32800, BlocksNum 0x3A353000
17:19:13.0464 1112 ============================================================
17:19:13.0479 1112 C: <-> \Device\Harddisk1\DR1\Partition2
17:19:13.0495 1112 E: <-> \Device\Harddisk0\DR0\Partition1
17:19:13.0526 1112 G: <-> \Device\Harddisk0\DR0\Partition2
17:19:13.0573 1112 H: <-> \Device\Harddisk0\DR0\Partition3
17:19:13.0573 1112 ============================================================
17:19:13.0573 1112 Initialize success
17:19:13.0573 1112 ============================================================
17:19:40.0037 3796 ============================================================
17:19:40.0037 3796 Scan started
17:19:40.0037 3796 Mode: Manual; SigCheck; TDLFS;
17:19:40.0037 3796 ============================================================
17:19:41.0269 3796 ================ Scan system memory ========================
17:19:41.0269 3796 System memory - ok
17:19:41.0269 3796 ================ Scan services =============================
17:19:41.0332 3796 [ 581D88B25C4D4121824FED2CA38E562F ] !SASCORE C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE
17:19:41.0363 3796 !SASCORE - ok
17:19:41.0441 3796 [ A87D604AEA360176311474C87A63BB88 ] 1394ohci C:\Windows\system32\drivers\1394ohci.sys
17:19:41.0503 3796 1394ohci - ok
17:19:41.0519 3796 [ D81D9E70B8A6DD14D42D7B4EFA65D5F2 ] ACPI C:\Windows\system32\drivers\ACPI.sys
17:19:41.0535 3796 ACPI - ok
17:19:41.0566 3796 [ 99F8E788246D495CE3794D7E7821D2CA ] AcpiPmi C:\Windows\system32\drivers\acpipmi.sys
17:19:41.0613 3796 AcpiPmi - ok
17:19:41.0706 3796 [ D19C4EE2AC7C47B8F5F84FFF1A789D8A ] AdobeARMservice C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
17:19:41.0706 3796 AdobeARMservice - ok
17:19:41.0784 3796 [ 95CE557D16A75606CCC2D7F3B0B0BCCB ] AdobeFlashPlayerUpdateSvc C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
17:19:41.0800 3796 AdobeFlashPlayerUpdateSvc - ok
17:19:41.0831 3796 [ 2F6B34B83843F0C5118B63AC634F5BF4 ] adp94xx C:\Windows\system32\DRIVERS\adp94xx.sys
17:19:41.0847 3796 adp94xx - ok
17:19:41.0862 3796 [ 597F78224EE9224EA1A13D6350CED962 ] adpahci C:\Windows\system32\DRIVERS\adpahci.sys
17:19:41.0878 3796 adpahci - ok
17:19:41.0878 3796 [ E109549C90F62FB570B9540C4B148E54 ] adpu320 C:\Windows\system32\DRIVERS\adpu320.sys
17:19:41.0893 3796 adpu320 - ok
17:19:41.0909 3796 [ 4B78B431F225FD8624C5655CB1DE7B61 ] AeLookupSvc C:\Windows\System32\aelupsvc.dll
17:19:41.0987 3796 AeLookupSvc - ok
17:19:42.0049 3796 [ 1C7857B62DE5994A75B054A9FD4C3825 ] AFD C:\Windows\system32\drivers\afd.sys
17:19:42.0096 3796 AFD - ok
17:19:42.0127 3796 [ 608C14DBA7299D8CB6ED035A68A15799 ] agp440 C:\Windows\system32\drivers\agp440.sys
17:19:42.0143 3796 agp440 - ok
17:19:42.0143 3796 [ 3290D6946B5E30E70414990574883DDB ] ALG C:\Windows\System32\alg.exe
17:19:42.0205 3796 ALG - ok
17:19:42.0205 3796 [ 5812713A477A3AD7363C7438CA2EE038 ] aliide C:\Windows\system32\drivers\aliide.sys
17:19:42.0221 3796 aliide - ok
17:19:42.0237 3796 [ 87E226C0E11182943D28E8BEC61618CD ] AMD External Events Utility C:\Windows\system32\atiesrxx.exe
17:19:42.0299 3796 AMD External Events Utility - ok
17:19:42.0315 3796 [ 1FF8B4431C353CE385C875F194924C0C ] amdide C:\Windows\system32\drivers\amdide.sys
17:19:42.0315 3796 amdide - ok
17:19:42.0346 3796 [ 7024F087CFF1833A806193EF9D22CDA9 ] AmdK8 C:\Windows\system32\DRIVERS\amdk8.sys
17:19:42.0408 3796 AmdK8 - ok
17:19:42.0549 3796 [ 446A1AAD34191665A8DF6092BD8EB5A8 ] amdkmdag C:\Windows\system32\DRIVERS\atikmdag.sys
17:19:42.0751 3796 amdkmdag - ok
17:19:42.0783 3796 [ F8F8A908FDB005A65DDF7238C814EEA5 ] amdkmdap C:\Windows\system32\DRIVERS\atikmpag.sys
17:19:42.0814 3796 amdkmdap - ok
17:19:42.0845 3796 [ 1E56388B3FE0D031C44144EB8C4D6217 ] AmdPPM C:\Windows\system32\DRIVERS\amdppm.sys
17:19:42.0876 3796 AmdPPM - ok
17:19:42.0923 3796 [ D4121AE6D0C0E7E13AA221AA57EF2D49 ] amdsata C:\Windows\system32\drivers\amdsata.sys
17:19:42.0923 3796 amdsata - ok
17:19:42.0939 3796 [ F67F933E79241ED32FF46A4F29B5120B ] amdsbs C:\Windows\system32\DRIVERS\amdsbs.sys
17:19:42.0939 3796 amdsbs - ok
17:19:42.0954 3796 [ 540DAF1CEA6094886D72126FD7C33048 ] amdxata C:\Windows\system32\drivers\amdxata.sys
17:19:42.0970 3796 amdxata - ok
17:19:43.0001 3796 [ 0FA2D8304ECA29CA0AB7E3EE50FD585A ] AntiVirSchedulerService C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
17:19:43.0017 3796 AntiVirSchedulerService - ok
17:19:43.0048 3796 [ 5C69AAC8A59207DA9710FF2E42D6F80F ] AntiVirService C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
17:19:43.0063 3796 AntiVirService - ok
17:19:43.0079 3796 [ 89A69C3F2F319B43379399547526D952 ] AppID C:\Windows\system32\drivers\appid.sys
17:19:43.0126 3796 AppID - ok
17:19:43.0157 3796 [ 0BC381A15355A3982216F7172F545DE1 ] AppIDSvc C:\Windows\System32\appidsvc.dll
17:19:43.0204 3796 AppIDSvc - ok
17:19:43.0219 3796 [ 3977D4A871CA0D4F2ED1E7DB46829731 ] Appinfo C:\Windows\System32\appinfo.dll
17:19:43.0282 3796 Appinfo - ok
17:19:43.0313 3796 [ A5299D04ED225D64CF07A568A3E1BF8C ] Apple Mobile Device C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
17:19:43.0329 3796 Apple Mobile Device - ok
17:19:43.0360 3796 [ 4ABA3E75A76195A3E38ED2766C962899 ] AppMgmt C:\Windows\System32\appmgmts.dll
17:19:43.0407 3796 AppMgmt - ok
17:19:43.0422 3796 [ C484F8CEB1717C540242531DB7845C4E ] arc C:\Windows\system32\DRIVERS\arc.sys
17:19:43.0438 3796 arc - ok
17:19:43.0438 3796 [ 019AF6924AEFE7839F61C830227FE79C ] arcsas C:\Windows\system32\DRIVERS\arcsas.sys
17:19:43.0453 3796 arcsas - ok
17:19:43.0547 3796 [ 9217D874131AE6FF8F642F124F00A555 ] aspnet_state C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe
17:19:43.0547 3796 aspnet_state - ok
17:19:43.0563 3796 [ 769765CE2CC62867468CEA93969B2242 ] AsyncMac C:\Windows\system32\DRIVERS\asyncmac.sys
17:19:43.0625 3796 AsyncMac - ok
17:19:43.0656 3796 [ 02062C0B390B7729EDC9E69C680A6F3C ] atapi C:\Windows\system32\drivers\atapi.sys
17:19:43.0656 3796 atapi - ok
17:19:43.0687 3796 [ DBB487D09F56C674430AC454FD8BCAB9 ] AtiHDAudioService C:\Windows\system32\drivers\AtihdW76.sys
17:19:43.0703 3796 AtiHDAudioService - ok
17:19:43.0859 3796 [ 446A1AAD34191665A8DF6092BD8EB5A8 ] atikmdag C:\Windows\system32\DRIVERS\atikmdag.sys
17:19:43.0953 3796 atikmdag - ok
17:19:43.0984 3796 [ F23FEF6D569FCE88671949894A8BECF1 ] AudioEndpointBuilder C:\Windows\System32\Audiosrv.dll
17:19:44.0046 3796 AudioEndpointBuilder - ok
17:19:44.0046 3796 [ F23FEF6D569FCE88671949894A8BECF1 ] AudioSrv C:\Windows\System32\Audiosrv.dll
17:19:44.0077 3796 AudioSrv - ok
17:19:44.0109 3796 [ BFE9598EBC3934CF8D876A303849C896 ] avgntflt C:\Windows\system32\DRIVERS\avgntflt.sys
17:19:44.0124 3796 avgntflt - ok
17:19:44.0155 3796 [ F74D86A9FB35FA5F24627B8DBBF3A9A4 ] avipbb C:\Windows\system32\DRIVERS\avipbb.sys
17:19:44.0171 3796 avipbb - ok
17:19:44.0187 3796 [ CD0E732347BF09717E0BDDC0C66699AB ] avkmgr C:\Windows\system32\DRIVERS\avkmgr.sys
17:19:44.0187 3796 avkmgr - ok
17:19:44.0233 3796 [ A6BF31A71B409DFA8CAC83159E1E2AFF ] AxInstSV C:\Windows\System32\AxInstSV.dll
17:19:44.0311 3796 AxInstSV - ok
17:19:44.0343 3796 [ 3E5B191307609F7514148C6832BB0842 ] b06bdrv C:\Windows\system32\DRIVERS\bxvbda.sys
17:19:44.0389 3796 b06bdrv - ok
17:19:44.0405 3796 [ B5ACE6968304A3900EEB1EBFD9622DF2 ] b57nd60a C:\Windows\system32\DRIVERS\b57nd60a.sys
17:19:44.0421 3796 b57nd60a - ok
17:19:44.0452 3796 [ FDE360167101B4E45A96F939F388AEB0 ] BDESVC C:\Windows\System32\bdesvc.dll
17:19:44.0499 3796 BDESVC - ok
17:19:44.0514 3796 [ 16A47CE2DECC9B099349A5F840654746 ] Beep C:\Windows\system32\drivers\Beep.sys
17:19:44.0561 3796 Beep - ok
17:19:44.0639 3796 [ 82974D6A2FD19445CC5171FC378668A4 ] BFE C:\Windows\System32\bfe.dll
17:19:44.0717 3796 BFE - ok
17:19:44.0748 3796 [ 1EA7969E3271CBC59E1730697DC74682 ] BITS C:\Windows\System32\qmgr.dll
17:19:44.0811 3796 BITS - ok
17:19:44.0842 3796 [ 61583EE3C3A17003C4ACD0475646B4D3 ] blbdrive C:\Windows\system32\DRIVERS\blbdrive.sys
17:19:44.0873 3796 blbdrive - ok
17:19:44.0935 3796 [ EBBCD5DFBB1DE70E8F4AF8FA59E401FD ] Bonjour Service C:\Program Files\Bonjour\mDNSResponder.exe
17:19:44.0935 3796 Bonjour Service - ok
17:19:44.0967 3796 [ 6C02A83164F5CC0A262F4199F0871CF5 ] bowser C:\Windows\system32\DRIVERS\bowser.sys
17:19:44.0982 3796 bowser - ok
17:19:44.0998 3796 [ F09EEE9EDC320B5E1501F749FDE686C8 ] BrFiltLo C:\Windows\system32\DRIVERS\BrFiltLo.sys
17:19:45.0060 3796 BrFiltLo - ok
17:19:45.0060 3796 [ B114D3098E9BDB8BEA8B053685831BE6 ] BrFiltUp C:\Windows\system32\DRIVERS\BrFiltUp.sys
17:19:45.0076 3796 BrFiltUp - ok
17:19:45.0107 3796 [ 05F5A0D14A2EE1D8255C2AA0E9E8E694 ] Browser C:\Windows\System32\browser.dll
17:19:45.0154 3796 Browser - ok
17:19:45.0169 3796 [ 43BEA8D483BF1870F018E2D02E06A5BD ] Brserid C:\Windows\System32\Drivers\Brserid.sys
17:19:45.0216 3796 Brserid - ok
17:19:45.0216 3796 [ A6ECA2151B08A09CACECA35C07F05B42 ] BrSerWdm C:\Windows\System32\Drivers\BrSerWdm.sys
17:19:45.0247 3796 BrSerWdm - ok
17:19:45.0294 3796 [ B79968002C277E869CF38BD22CD61524 ] BrUsbMdm C:\Windows\System32\Drivers\BrUsbMdm.sys
17:19:45.0325 3796 BrUsbMdm - ok
17:19:45.0325 3796 [ A87528880231C54E75EA7A44943B38BF ] BrUsbSer C:\Windows\System32\Drivers\BrUsbSer.sys
17:19:45.0341 3796 BrUsbSer - ok
17:19:45.0388 3796 [ EA7E57F87D6FEE5FD6C5F813C04E8CD2 ] BrYNSvc C:\Program Files (x86)\Browny02\BrYNSvc.exe
17:19:45.0388 3796 BrYNSvc ( UnsignedFile.Multi.Generic ) - warning
17:19:45.0388 3796 BrYNSvc - detected UnsignedFile.Multi.Generic (1)
17:19:45.0419 3796 [ 9DA669F11D1F894AB4EB69BF546A42E8 ] BTHMODEM C:\Windows\system32\DRIVERS\bthmodem.sys
17:19:45.0450 3796 BTHMODEM - ok
17:19:45.0497 3796 [ 95F9C2976059462CBBF227F7AAB10DE9 ] bthserv C:\Windows\system32\bthserv.dll
17:19:45.0528 3796 bthserv - ok
17:19:45.0544 3796 [ B8BD2BB284668C84865658C77574381A ] cdfs C:\Windows\system32\DRIVERS\cdfs.sys
17:19:45.0559 3796 cdfs - ok
17:19:45.0606 3796 [ F036CE71586E93D94DAB220D7BDF4416 ] cdrom C:\Windows\system32\DRIVERS\cdrom.sys
17:19:45.0637 3796 cdrom - ok
17:19:45.0669 3796 [ F17D1D393BBC69C5322FBFAFACA28C7F ] CertPropSvc C:\Windows\System32\certprop.dll
17:19:45.0715 3796 CertPropSvc - ok
17:19:45.0747 3796 [ D7CD5C4E1B71FA62050515314CFB52CF ] circlass C:\Windows\system32\DRIVERS\circlass.sys
17:19:45.0762 3796 circlass - ok
17:19:45.0778 3796 [ FE1EC06F2253F691FE36217C592A0206 ] CLFS C:\Windows\system32\CLFS.sys
17:19:45.0793 3796 CLFS - ok
17:19:45.0825 3796 [ D88040F816FDA31C3B466F0FA0918F29 ] clr_optimization_v2.0.50727_32 C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
17:19:45.0840 3796 clr_optimization_v2.0.50727_32 - ok
17:19:45.0856 3796 [ D1CEEA2B47CB998321C579651CE3E4F8 ] clr_optimization_v2.0.50727_64 C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe
17:19:45.0871 3796 clr_optimization_v2.0.50727_64 - ok
17:19:45.0934 3796 [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
17:19:45.0934 3796 clr_optimization_v4.0.30319_32 - ok
17:19:45.0949 3796 [ C6F9AF94DCD58122A4D7E89DB6BED29D ] clr_optimization_v4.0.30319_64 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
17:19:45.0965 3796 clr_optimization_v4.0.30319_64 - ok
17:19:45.0981 3796 [ 0840155D0BDDF1190F84A663C284BD33 ] CmBatt C:\Windows\system32\DRIVERS\CmBatt.sys
17:19:46.0012 3796 CmBatt - ok
17:19:46.0043 3796 [ E19D3F095812725D88F9001985B94EDD ] cmdide C:\Windows\system32\drivers\cmdide.sys
17:19:46.0059 3796 cmdide - ok
17:19:46.0090 3796 [ 9AC4F97C2D3E93367E2148EA940CD2CD ] CNG C:\Windows\system32\Drivers\cng.sys
17:19:46.0105 3796 CNG - ok
17:19:46.0121 3796 [ 102DE219C3F61415F964C88E9085AD14 ] Compbatt C:\Windows\system32\DRIVERS\compbatt.sys
17:19:46.0121 3796 Compbatt - ok
17:19:46.0137 3796 [ 03EDB043586CCEBA243D689BDDA370A8 ] CompositeBus C:\Windows\system32\drivers\CompositeBus.sys
17:19:46.0168 3796 CompositeBus - ok
17:19:46.0183 3796 COMSysApp - ok
17:19:46.0199 3796 [ 1C827878A998C18847245FE1F34EE597 ] crcdisk C:\Windows\system32\DRIVERS\crcdisk.sys
17:19:46.0199 3796 crcdisk - ok
17:19:46.0230 3796 [ 9C01375BE382E834CC26D1B7EAF2C4FE ] CryptSvc C:\Windows\system32\cryptsvc.dll
17:19:46.0293 3796 CryptSvc - ok
17:19:46.0324 3796 [ 54DA3DFD29ED9F1619B6F53F3CE55E49 ] CSC C:\Windows\system32\drivers\csc.sys
17:19:46.0371 3796 CSC - ok
17:19:46.0402 3796 [ 3AB183AB4D2C79DCF459CD2C1266B043 ] CscService C:\Windows\System32\cscsvc.dll
17:19:46.0449 3796 CscService - ok
17:19:46.0480 3796 [ 7AF9DAC504FBD047CBC3E64AE52C92BF ] dc3d C:\Windows\system32\DRIVERS\dc3d.sys
17:19:46.0527 3796 dc3d - ok
17:19:46.0558 3796 [ 5C627D1B1138676C0A7AB2C2C190D123 ] DcomLaunch C:\Windows\system32\rpcss.dll
17:19:46.0620 3796 DcomLaunch - ok
17:19:46.0636 3796 [ 3CEC7631A84943677AA8FA8EE5B6B43D ] defragsvc C:\Windows\System32\defragsvc.dll
17:19:46.0698 3796 defragsvc - ok
17:19:46.0729 3796 [ 9BB2EF44EAA163B29C4A4587887A0FE4 ] DfsC C:\Windows\system32\Drivers\dfsc.sys
17:19:46.0776 3796 DfsC - ok
17:19:46.0807 3796 [ 43D808F5D9E1A18E5EEB5EBC83969E4E ] Dhcp C:\Windows\system32\dhcpcore.dll
17:19:46.0870 3796 Dhcp - ok
17:19:46.0885 3796 [ 13096B05847EC78F0977F2C0F79E9AB3 ] discache C:\Windows\system32\drivers\discache.sys
17:19:46.0917 3796 discache - ok
17:19:46.0932 3796 [ 9819EEE8B5EA3784EC4AF3B137A5244C ] Disk C:\Windows\system32\DRIVERS\disk.sys
17:19:46.0948 3796 Disk - ok
17:19:46.0963 3796 [ 16835866AAA693C7D7FCEBA8FFF706E4 ] Dnscache C:\Windows\System32\dnsrslvr.dll
17:19:47.0010 3796 Dnscache - ok
17:19:47.0041 3796 [ B1FB3DDCA0FDF408750D5843591AFBC6 ] dot3svc C:\Windows\System32\dot3svc.dll
17:19:47.0088 3796 dot3svc - ok
17:19:47.0119 3796 [ B26F4F737E8F9DF4F31AF6CF31D05820 ] DPS C:\Windows\system32\dps.dll
17:19:47.0166 3796 DPS - ok
17:19:47.0213 3796 [ FBB015880AD6B8366E0D061EA42CC091 ] DragonSvc C:\Program Files (x86)\Common Files\Nuance\dgnsvc.exe
17:19:47.0229 3796 DragonSvc - ok
17:19:47.0260 3796 [ 9B19F34400D24DF84C858A421C205754 ] drmkaud C:\Windows\system32\drivers\drmkaud.sys
17:19:47.0291 3796 drmkaud - ok
17:19:47.0338 3796 [ F5BEE30450E18E6B83A5012C100616FD ] DXGKrnl C:\Windows\System32\drivers\dxgkrnl.sys
17:19:47.0353 3796 DXGKrnl - ok
17:19:47.0385 3796 [ E2DDA8726DA9CB5B2C4000C9018A9633 ] EapHost C:\Windows\System32\eapsvc.dll
17:19:47.0431 3796 EapHost - ok
17:19:47.0494 3796 [ DC5D737F51BE844D8C82C695EB17372F ] ebdrv C:\Windows\system32\DRIVERS\evbda.sys
17:19:47.0572 3796 ebdrv - ok
17:19:47.0603 3796 [ C118A82CD78818C29AB228366EBF81C3 ] EFS C:\Windows\System32\lsass.exe
17:19:47.0650 3796 EFS - ok
17:19:47.0697 3796 [ C4002B6B41975F057D98C439030CEA07 ] ehRecvr C:\Windows\ehome\ehRecvr.exe
17:19:47.0759 3796 ehRecvr - ok
17:19:47.0790 3796 [ 4705E8EF9934482C5BB488CE28AFC681 ] ehSched C:\Windows\ehome\ehsched.exe
17:19:47.0821 3796 ehSched - ok
17:19:47.0853 3796 [ 0E5DA5369A0FCAEA12456DD852545184 ] elxstor C:\Windows\system32\DRIVERS\elxstor.sys
17:19:47.0868 3796 elxstor - ok
17:19:47.0884 3796 [ 34A3C54752046E79A126E15C51DB409B ] ErrDev C:\Windows\system32\drivers\errdev.sys
17:19:47.0915 3796 ErrDev - ok
17:19:47.0962 3796 [ 4166F82BE4D24938977DD1746BE9B8A0 ] EventSystem C:\Windows\system32\es.dll
17:19:48.0009 3796 EventSystem - ok
17:19:48.0024 3796 [ A510C654EC00C1E9BDD91EEB3A59823B ] exfat C:\Windows\system32\drivers\exfat.sys
17:19:48.0055 3796 exfat - ok
17:19:48.0055 3796 [ 0ADC83218B66A6DB380C330836F3E36D ] fastfat C:\Windows\system32\drivers\fastfat.sys
17:19:48.0102 3796 fastfat - ok
17:19:48.0165 3796 [ DBEFD454F8318A0EF691FDD2EAAB44EB ] Fax C:\Windows\system32\fxssvc.exe
17:19:48.0196 3796 Fax - ok
17:19:48.0211 3796 [ D765D19CD8EF61F650C384F62FAC00AB ] fdc C:\Windows\system32\DRIVERS\fdc.sys
17:19:48.0243 3796 fdc - ok
17:19:48.0274 3796 [ 0438CAB2E03F4FB61455A7956026FE86 ] fdPHost C:\Windows\system32\fdPHost.dll
17:19:48.0305 3796 fdPHost - ok
17:19:48.0305 3796 [ 802496CB59A30349F9A6DD22D6947644 ] FDResPub C:\Windows\system32\fdrespub.dll
17:19:48.0352 3796 FDResPub - ok
17:19:48.0383 3796 [ 655661BE46B5F5F3FD454E2C3095B930 ] FileInfo C:\Windows\system32\drivers\fileinfo.sys
17:19:48.0383 3796 FileInfo - ok
17:19:48.0399 3796 [ 5F671AB5BC87EEA04EC38A6CD5962A47 ] Filetrace C:\Windows\system32\drivers\filetrace.sys
17:19:48.0445 3796 Filetrace - ok
17:19:48.0461 3796 [ C172A0F53008EAEB8EA33FE10E177AF5 ] flpydisk C:\Windows\system32\DRIVERS\flpydisk.sys
17:19:48.0477 3796 flpydisk - ok
17:19:48.0492 3796 [ DA6B67270FD9DB3697B20FCE94950741 ] FltMgr C:\Windows\system32\drivers\fltmgr.sys
17:19:48.0508 3796 FltMgr - ok
17:19:48.0539 3796 [ 5C4CB4086FB83115B153E47ADD961A0C ] FontCache C:\Windows\system32\FntCache.dll
17:19:48.0601 3796 FontCache - ok
17:19:48.0648 3796 [ A8B7F3818AB65695E3A0BB3279F6DCE6 ] FontCache3.0.0.0 C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
17:19:48.0648 3796 FontCache3.0.0.0 - ok
17:19:48.0664 3796 [ D43703496149971890703B4B1B723EAC ] FsDepends C:\Windows\system32\drivers\FsDepends.sys
17:19:48.0679 3796 FsDepends - ok
17:19:48.0711 3796 [ 6BD9295CC032DD3077C671FCCF579A7B ] Fs_Rec C:\Windows\system32\drivers\Fs_Rec.sys
17:19:48.0726 3796 Fs_Rec - ok
17:19:48.0757 3796 [ 1F7B25B858FA27015169FE95E54108ED ] fvevol C:\Windows\system32\DRIVERS\fvevol.sys
17:19:48.0773 3796 fvevol - ok
17:19:48.0789 3796 [ 8C778D335C9D272CFD3298AB02ABE3B6 ] gagp30kx C:\Windows\system32\DRIVERS\gagp30kx.sys
17:19:48.0804 3796 gagp30kx - ok
17:19:48.0835 3796 [ 8E98D21EE06192492A5671A6144D092F ] GEARAspiWDM C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
17:19:48.0835 3796 GEARAspiWDM - ok
17:19:48.0867 3796 [ 277BBC7E1AA1EE957F573A10ECA7EF3A ] gpsvc C:\Windows\System32\gpsvc.dll
17:19:48.0913 3796 gpsvc - ok
17:19:48.0976 3796 [ F02A533F517EB38333CB12A9E8963773 ] gupdate C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
17:19:48.0991 3796 gupdate - ok
17:19:48.0991 3796 [ F02A533F517EB38333CB12A9E8963773 ] gupdatem C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
17:19:49.0007 3796 gupdatem - ok
17:19:49.0038 3796 [ 5D4BC124FAAE6730AC002CDB67BF1A1C ] gusvc C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
17:19:49.0054 3796 gusvc - ok
17:19:49.0069 3796 [ F2523EF6460FC42405B12248338AB2F0 ] hcw85cir C:\Windows\system32\drivers\hcw85cir.sys
17:19:49.0132 3796 hcw85cir - ok
17:19:49.0147 3796 [ 975761C778E33CD22498059B91E7373A ] HdAudAddService C:\Windows\system32\drivers\HdAudio.sys
17:19:49.0179 3796 HdAudAddService - ok
17:19:49.0225 3796 [ 97BFED39B6B79EB12CDDBFEED51F56BB ] HDAudBus C:\Windows\system32\drivers\HDAudBus.sys
17:19:49.0257 3796 HDAudBus - ok
17:19:49.0272 3796 [ 78E86380454A7B10A5EB255DC44A355F ] HidBatt C:\Windows\system32\DRIVERS\HidBatt.sys
17:19:49.0303 3796 HidBatt - ok
17:19:49.0319 3796 [ 7FD2A313F7AFE5C4DAB14798C48DD104 ] HidBth C:\Windows\system32\DRIVERS\hidbth.sys
17:19:49.0350 3796 HidBth - ok
17:19:49.0366 3796 [ 0A77D29F311B88CFAE3B13F9C1A73825 ] HidIr C:\Windows\system32\DRIVERS\hidir.sys
17:19:49.0397 3796 HidIr - ok
17:19:49.0428 3796 [ BD9EB3958F213F96B97B1D897DEE006D ] hidserv C:\Windows\system32\hidserv.dll
17:19:49.0475 3796 hidserv - ok
17:19:49.0522 3796 [ 9592090A7E2B61CD582B612B6DF70536 ] HidUsb C:\Windows\system32\DRIVERS\hidusb.sys
17:19:49.0537 3796 HidUsb - ok
17:19:49.0569 3796 [ 387E72E739E15E3D37907A86D9FF98E2 ] hkmsvc C:\Windows\system32\kmsvc.dll
17:19:49.0615 3796 hkmsvc - ok
17:19:49.0647 3796 [ EFDFB3DD38A4376F93E7985173813ABD ] HomeGroupListener C:\Windows\system32\ListSvc.dll
17:19:49.0693 3796 HomeGroupListener - ok
17:19:49.0725 3796 [ 908ACB1F594274965A53926B10C81E89 ] HomeGroupProvider C:\Windows\system32\provsvc.dll
17:19:49.0740 3796 HomeGroupProvider - ok
17:19:49.0803 3796 [ 39D2ABCD392F3D8A6DCE7B60AE7B8EFC ] HpSAMD C:\Windows\system32\drivers\HpSAMD.sys
17:19:49.0818 3796 HpSAMD - ok
17:19:49.0849 3796 [ 0EA7DE1ACB728DD5A369FD742D6EEE28 ] HTTP C:\Windows\system32\drivers\HTTP.sys
17:19:49.0896 3796 HTTP - ok
17:19:49.0927 3796 [ A5462BD6884960C9DC85ED49D34FF392 ] hwpolicy C:\Windows\system32\drivers\hwpolicy.sys
17:19:49.0927 3796 hwpolicy - ok
17:19:49.0959 3796 [ FA55C73D4AFFA7EE23AC4BE53B4592D3 ] i8042prt C:\Windows\system32\DRIVERS\i8042prt.sys
17:19:49.0974 3796 i8042prt - ok
17:19:49.0990 3796 [ AAAF44DB3BD0B9D1FB6969B23ECC8366 ] iaStorV C:\Windows\system32\drivers\iaStorV.sys
17:19:50.0005 3796 iaStorV - ok
17:19:50.0052 3796 [ 5988FC40F8DB5B0739CD1E3A5D0D78BD ] idsvc C:\Windows\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\infocard.exe
17:19:50.0068 3796 idsvc - ok
17:19:50.0099 3796 [ 5C18831C61933628F5BB0EA2675B9D21 ] iirsp C:\Windows\system32\DRIVERS\iirsp.sys
17:19:50.0099 3796 iirsp - ok
17:19:50.0146 3796 [ FCD84C381E0140AF901E58D48882D26B ] IKEEXT C:\Windows\System32\ikeext.dll
17:19:50.0193 3796 IKEEXT - ok
17:19:50.0255 3796 [ D42D651676883181400E22957A7E0B1E ] IntcAzAudAddService C:\Windows\system32\drivers\RTKVHD64.sys
17:19:50.0302 3796 IntcAzAudAddService - ok
17:19:50.0317 3796 [ F00F20E70C6EC3AA366910083A0518AA ] intelide C:\Windows\system32\drivers\intelide.sys
17:19:50.0333 3796 intelide - ok
17:19:50.0364 3796 [ ADA036632C664CAA754079041CF1F8C1 ] intelppm C:\Windows\system32\DRIVERS\intelppm.sys
17:19:50.0380 3796 intelppm - ok
17:19:50.0411 3796 [ 098A91C54546A3B878DAD6A7E90A455B ] IPBusEnum C:\Windows\system32\ipbusenum.dll
17:19:50.0458 3796 IPBusEnum - ok
17:19:50.0489 3796 [ C9F0E1BD74365A8771590E9008D22AB6 ] IpFilterDriver C:\Windows\system32\DRIVERS\ipfltdrv.sys
17:19:50.0520 3796 IpFilterDriver - ok
17:19:50.0567 3796 [ 08C2957BB30058E663720C5606885653 ] iphlpsvc C:\Windows\System32\iphlpsvc.dll
17:19:50.0598 3796 iphlpsvc - ok
17:19:50.0614 3796 [ 0FC1AEA580957AA8817B8F305D18CA3A ] IPMIDRV C:\Windows\system32\drivers\IPMIDrv.sys
17:19:50.0629 3796 IPMIDRV - ok
17:19:50.0645 3796 [ AF9B39A7E7B6CAA203B3862582E9F2D0 ] IPNAT C:\Windows\system32\drivers\ipnat.sys
17:19:50.0692 3796 IPNAT - ok
17:19:50.0723 3796 [ 6E50CFA46527B39015B750AAD161C5CC ] iPod Service C:\Program Files\iPod\bin\iPodService.exe
17:19:50.0739 3796 iPod Service - ok
17:19:50.0770 3796 [ 3ABF5E7213EB28966D55D58B515D5CE9 ] IRENUM C:\Windows\system32\drivers\irenum.sys
17:19:50.0817 3796 IRENUM - ok
17:19:50.0832 3796 [ 2F7B28DC3E1183E5EB418DF55C204F38 ] isapnp C:\Windows\system32\drivers\isapnp.sys
17:19:50.0832 3796 isapnp - ok
17:19:50.0863 3796 [ D931D7309DEB2317035B07C9F9E6B0BD ] iScsiPrt C:\Windows\system32\drivers\msiscsi.sys
17:19:50.0879 3796 iScsiPrt - ok
17:19:50.0895 3796 [ BC02336F1CBA7DCC7D1213BB588A68A5 ] kbdclass C:\Windows\system32\DRIVERS\kbdclass.sys
17:19:50.0910 3796 kbdclass - ok
17:19:50.0926 3796 [ 0705EFF5B42A9DB58548EEC3B26BB484 ] kbdhid C:\Windows\system32\DRIVERS\kbdhid.sys
17:19:50.0957 3796 kbdhid - ok
17:19:50.0973 3796 [ C118A82CD78818C29AB228366EBF81C3 ] KeyIso C:\Windows\system32\lsass.exe
17:19:50.0988 3796 KeyIso - ok
17:19:51.0004 3796 [ 322CD7A01A961D94C6EAB640D6427504 ] KOBCCEX C:\Windows\system32\drivers\KOBCCEX.sys
17:19:51.0051 3796 KOBCCEX - ok
17:19:51.0082 3796 [ 000200AD75DE8363546EECAFF77980FE ] KOBCCID C:\Windows\system32\drivers\KOBCCID.sys
17:19:51.0097 3796 KOBCCID - ok
17:19:51.0160 3796 [ 97A7070AEA4C058B6418519E869A63B4 ] KSecDD C:\Windows\system32\Drivers\ksecdd.sys
17:19:51.0175 3796 KSecDD - ok
17:19:51.0207 3796 [ 26C43A7C2862447EC59DEDA188D1DA07 ] KSecPkg C:\Windows\system32\Drivers\ksecpkg.sys
17:19:51.0207 3796 KSecPkg - ok
17:19:51.0238 3796 [ 6869281E78CB31A43E969F06B57347C4 ] ksthunk C:\Windows\system32\drivers\ksthunk.sys
17:19:51.0285 3796 ksthunk - ok
17:19:51.0316 3796 [ 6AB66E16AA859232F64DEB66887A8C9C ] KtmRm C:\Windows\system32\msdtckrm.dll
17:19:51.0347 3796 KtmRm - ok
17:19:51.0378 3796 [ B8E670D7EF61615FA03104552854FAC9 ] L1E C:\Windows\system32\DRIVERS\L1E62x64.sys
17:19:51.0425 3796 L1E - ok
17:19:51.0441 3796 [ D9F42719019740BAA6D1C6D536CBDAA6 ] LanmanServer C:\Windows\system32\srvsvc.dll
17:19:51.0487 3796 LanmanServer - ok
17:19:51.0519 3796 [ 851A1382EED3E3A7476DB004F4EE3E1A ] LanmanWorkstation C:\Windows\System32\wkssvc.dll
17:19:51.0565 3796 LanmanWorkstation - ok
17:19:51.0612 3796 [ 1538831CF8AD2979A04C423779465827 ] lltdio C:\Windows\system32\DRIVERS\lltdio.sys
17:19:51.0659 3796 lltdio - ok
17:19:51.0690 3796 [ C1185803384AB3FEED115F79F109427F ] lltdsvc C:\Windows\System32\lltdsvc.dll
17:19:51.0737 3796 lltdsvc - ok
17:19:51.0753 3796 [ F993A32249B66C9D622EA5592A8B76B8 ] lmhosts C:\Windows\System32\lmhsvc.dll
17:19:51.0799 3796 lmhosts - ok
17:19:51.0846 3796 [ 1A93E54EB0ECE102495A51266DCDB6A6 ] LSI_FC C:\Windows\system32\DRIVERS\lsi_fc.sys
17:19:51.0862 3796 LSI_FC - ok
17:19:51.0862 3796 [ 1047184A9FDC8BDBFF857175875EE810 ] LSI_SAS C:\Windows\system32\DRIVERS\lsi_sas.sys
17:19:51.0877 3796 LSI_SAS - ok
17:19:51.0893 3796 [ 30F5C0DE1EE8B5BC9306C1F0E4A75F93 ] LSI_SAS2 C:\Windows\system32\DRIVERS\lsi_sas2.sys
17:19:51.0893 3796 LSI_SAS2 - ok
17:19:51.0893 3796 [ 0504EACAFF0D3C8AED161C4B0D369D4A ] LSI_SCSI C:\Windows\system32\DRIVERS\lsi_scsi.sys
17:19:51.0909 3796 LSI_SCSI - ok
17:19:51.0924 3796 [ 43D0F98E1D56CCDDB0D5254CFF7B356E ] luafv C:\Windows\system32\drivers\luafv.sys
17:19:51.0971 3796 luafv - ok
17:19:52.0033 3796 [ A8FE8F2783B2929B56F5370A89356CE9 ] MBAMProtector C:\Windows\system32\drivers\mbam.sys
17:19:52.0033 3796 MBAMProtector - ok
17:19:52.0065 3796 [ 85B16A92B117A5A800032ECD904B86DB ] MBAMScheduler C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
17:19:52.0080 3796 MBAMScheduler - ok
17:19:52.0096 3796 [ 20E2469DB709FC675E655CEAA11BE312 ] MBAMService C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
17:19:52.0111 3796 MBAMService - ok
17:19:52.0158 3796 [ 79D51E7F5926E8CE1B3EBECEBAE28CFF ] mcdbus C:\Windows\system32\DRIVERS\mcdbus.sys
17:19:52.0158 3796 mcdbus - ok
17:19:52.0236 3796 [ 0BE09CD858ABF9DF6ED259D57A1A1663 ] Mcx2Svc C:\Windows\system32\Mcx2Svc.dll
17:19:52.0283 3796 Mcx2Svc - ok
17:19:52.0299 3796 [ A55805F747C6EDB6A9080D7C633BD0F4 ] megasas C:\Windows\system32\DRIVERS\megasas.sys
17:19:52.0314 3796 megasas - ok
17:19:52.0330 3796 [ BAF74CE0072480C3B6B7C13B2A94D6B3 ] MegaSR C:\Windows\system32\DRIVERS\MegaSR.sys
17:19:52.0345 3796 MegaSR - ok
17:19:52.0392 3796 [ 7C4C76B39D5525C4A465E0BE32528E19 ] Microsoft Office Groove Audit Service C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe
17:19:52.0423 3796 Microsoft Office Groove Audit Service - ok
17:19:52.0470 3796 [ E40E80D0304A73E8D269F7141D77250B ] MMCSS C:\Windows\system32\mmcss.dll
17:19:52.0517 3796 MMCSS - ok
17:19:52.0548 3796 [ 800BA92F7010378B09F9ED9270F07137 ] Modem C:\Windows\system32\drivers\modem.sys
17:19:52.0595 3796 Modem - ok
17:19:52.0626 3796 [ B03D591DC7DA45ECE20B3B467E6AADAA ] monitor C:\Windows\system32\DRIVERS\monitor.sys
17:19:52.0642 3796 monitor - ok
17:19:52.0689 3796 [ 7D27EA49F3C1F687D357E77A470AEA99 ] mouclass C:\Windows\system32\DRIVERS\mouclass.sys
17:19:52.0704 3796 mouclass - ok
17:19:52.0720 3796 [ D3BF052C40B0C4166D9FD86A4288C1E6 ] mouhid C:\Windows\system32\DRIVERS\mouhid.sys
17:19:52.0751 3796 mouhid - ok
17:19:52.0782 3796 [ 32E7A3D591D671A6DF2DB515A5CBE0FA ] mountmgr C:\Windows\system32\drivers\mountmgr.sys
17:19:52.0782 3796 mountmgr - ok
17:19:52.0813 3796 [ A44B420D30BD56E145D6A2BC8768EC58 ] mpio C:\Windows\system32\drivers\mpio.sys
17:19:52.0845 3796 mpio - ok
17:19:52.0860 3796 [ 6C38C9E45AE0EA2FA5E551F2ED5E978F ] mpsdrv C:\Windows\system32\drivers\mpsdrv.sys
17:19:52.0891 3796 mpsdrv - ok
17:19:52.0907 3796 [ 54FFC9C8898113ACE189D4AA7199D2C1 ] MpsSvc C:\Windows\system32\mpssvc.dll
17:19:52.0969 3796 MpsSvc - ok
17:19:53.0001 3796 [ DC722758B8261E1ABAFD31A3C0A66380 ] MRxDAV C:\Windows\system32\drivers\mrxdav.sys
17:19:53.0016 3796 MRxDAV - ok
17:19:53.0032 3796 [ A5D9106A73DC88564C825D317CAC68AC ] mrxsmb C:\Windows\system32\DRIVERS\mrxsmb.sys
17:19:53.0079 3796 mrxsmb - ok
17:19:53.0094 3796 [ D711B3C1D5F42C0C2415687BE09FC163 ] mrxsmb10 C:\Windows\system32\DRIVERS\mrxsmb10.sys
17:19:53.0125 3796 mrxsmb10 - ok
17:19:53.0157 3796 [ 9423E9D355C8D303E76B8CFBD8A5C30C ] mrxsmb20 C:\Windows\system32\DRIVERS\mrxsmb20.sys
17:19:53.0172 3796 mrxsmb20 - ok
17:19:53.0188 3796 [ C25F0BAFA182CBCA2DD3C851C2E75796 ] msahci C:\Windows\system32\drivers\msahci.sys
17:19:53.0203 3796 msahci - ok
17:19:53.0235 3796 [ DB801A638D011B9633829EB6F663C900 ] msdsm C:\Windows\system32\drivers\msdsm.sys
17:19:53.0250 3796 msdsm - ok
17:19:53.0266 3796 [ DE0ECE52236CFA3ED2DBFC03F28253A8 ] MSDTC C:\Windows\System32\msdtc.exe
17:19:53.0313 3796 MSDTC - ok
17:19:53.0328 3796 [ AA3FB40E17CE1388FA1BEDAB50EA8F96 ] Msfs C:\Windows\system32\drivers\Msfs.sys
17:19:53.0359 3796 Msfs - ok
17:19:53.0375 3796 [ F9D215A46A8B9753F61767FA72A20326 ] mshidkmdf C:\Windows\System32\drivers\mshidkmdf.sys
17:19:53.0406 3796 mshidkmdf - ok
17:19:53.0422 3796 [ D916874BBD4F8B07BFB7FA9B3CCAE29D ] msisadrv C:\Windows\system32\drivers\msisadrv.sys
17:19:53.0437 3796 msisadrv - ok
17:19:53.0469 3796 [ 808E98FF49B155C522E6400953177B08 ] MSiSCSI C:\Windows\system32\iscsiexe.dll
17:19:53.0515 3796 MSiSCSI - ok
17:19:53.0515 3796 msiserver - ok
17:19:53.0547 3796 [ 49CCF2C4FEA34FFAD8B1B59D49439366 ] MSKSSRV C:\Windows\system32\drivers\MSKSSRV.sys
17:19:53.0578 3796 MSKSSRV - ok
17:19:53.0593 3796 [ BDD71ACE35A232104DDD349EE70E1AB3 ] MSPCLOCK C:\Windows\system32\drivers\MSPCLOCK.sys
17:19:53.0640 3796 MSPCLOCK - ok
17:19:53.0656 3796 [ 4ED981241DB27C3383D72092B618A1D0 ] MSPQM C:\Windows\system32\drivers\MSPQM.sys
17:19:53.0703 3796 MSPQM - ok
17:19:53.0796 3796 [ 759A9EEB0FA9ED79DA1FB7D4EF78866D ] MsRPC C:\Windows\system32\drivers\MsRPC.sys
17:19:53.0812 3796 MsRPC - ok
17:19:53.0827 3796 [ 0EED230E37515A0EAEE3C2E1BC97B288 ] mssmbios C:\Windows\system32\drivers\mssmbios.sys
17:19:53.0843 3796 mssmbios - ok
17:19:53.0859 3796 [ 2E66F9ECB30B4221A318C92AC2250779 ] MSTEE C:\Windows\system32\drivers\MSTEE.sys
17:19:53.0905 3796 MSTEE - ok
17:19:53.0921 3796 [ 7EA404308934E675BFFDE8EDF0757BCD ] MTConfig C:\Windows\system32\DRIVERS\MTConfig.sys
17:19:53.0952 3796 MTConfig - ok
17:19:53.0983 3796 [ 03B7145C889603537E9FFEABB1AD1089 ] MTsensor C:\Windows\system32\DRIVERS\ASACPI.sys
17:19:54.0030 3796 MTsensor - ok
17:19:54.0046 3796 [ F9A18612FD3526FE473C1BDA678D61C8 ] Mup C:\Windows\system32\Drivers\mup.sys
17:19:54.0061 3796 Mup - ok
17:19:54.0108 3796 [ 582AC6D9873E31DFA28A4547270862DD ] napagent C:\Windows\system32\qagentRT.dll
17:19:54.0155 3796 napagent - ok
17:19:54.0186 3796 [ 1EA3749C4114DB3E3161156FFFFA6B33 ] NativeWifiP C:\Windows\system32\DRIVERS\nwifi.sys
17:19:54.0217 3796 NativeWifiP - ok
17:19:54.0342 3796 [ 760E38053BF56E501D562B70AD796B88 ] NDIS C:\Windows\system32\drivers\ndis.sys
17:19:54.0373 3796 NDIS - ok
17:19:54.0389 3796 [ 9F9A1F53AAD7DA4D6FEF5BB73AB811AC ] NdisCap C:\Windows\system32\DRIVERS\ndiscap.sys
17:19:54.0436 3796 NdisCap - ok
17:19:54.0451 3796 [ 30639C932D9FEF22B31268FE25A1B6E5 ] NdisTapi C:\Windows\system32\DRIVERS\ndistapi.sys
17:19:54.0483 3796 NdisTapi - ok
17:19:54.0514 3796 [ 136185F9FB2CC61E573E676AA5402356 ] Ndisuio C:\Windows\system32\DRIVERS\ndisuio.sys
17:19:54.0545 3796 Ndisuio - ok
17:19:54.0561 3796 [ 53F7305169863F0A2BDDC49E116C2E11 ] NdisWan C:\Windows\system32\DRIVERS\ndiswan.sys
17:19:54.0607 3796 NdisWan - ok
17:19:54.0639 3796 [ 015C0D8E0E0421B4CFD48CFFE2825879 ] NDProxy C:\Windows\system32\drivers\NDProxy.sys
17:19:54.0685 3796 NDProxy - ok
17:19:54.0717 3796 [ 86743D9F5D2B1048062B14B1D84501C4 ] NetBIOS C:\Windows\system32\DRIVERS\netbios.sys
17:19:54.0763 3796 NetBIOS - ok
17:19:54.0795 3796 [ 09594D1089C523423B32A4229263F068 ] NetBT C:\Windows\system32\DRIVERS\netbt.sys
17:19:54.0826 3796 NetBT - ok
17:19:54.0841 3796 [ C118A82CD78818C29AB228366EBF81C3 ] Netlogon C:\Windows\system32\lsass.exe
17:19:54.0841 3796 Netlogon - ok
17:19:54.0873 3796 [ 847D3AE376C0817161A14A82C8922A9E ] Netman C:\Windows\System32\netman.dll
17:19:54.0935 3796 Netman - ok
17:19:54.0982 3796 [ D22CD77D4F0D63D1169BB35911BFF12D ] NetMsmqActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
17:19:54.0997 3796 NetMsmqActivator - ok
17:19:54.0997 3796 [ D22CD77D4F0D63D1169BB35911BFF12D ] NetPipeActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
17:19:55.0013 3796 NetPipeActivator - ok
17:19:55.0029 3796 [ 5F28111C648F1E24F7DBC87CDEB091B8 ] netprofm C:\Windows\System32\netprofm.dll
17:19:55.0075 3796 netprofm - ok
17:19:55.0075 3796 [ D22CD77D4F0D63D1169BB35911BFF12D ] NetTcpActivator C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
17:19:55.0091 3796 NetTcpActivator - ok
17:19:55.0091 3796 [ D22CD77D4F0D63D1169BB35911BFF12D ] NetTcpPortSharing C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
17:19:55.0091 3796 NetTcpPortSharing - ok
17:19:55.0122 3796 [ 77889813BE4D166CDAB78DDBA990DA92 ] nfrd960 C:\Windows\system32\DRIVERS\nfrd960.sys
17:19:55.0138 3796 nfrd960 - ok
17:19:55.0169 3796 [ 8AD77806D336673F270DB31645267293 ] NlaSvc C:\Windows\System32\nlasvc.dll
17:19:55.0216 3796 NlaSvc - ok
17:19:55.0231 3796 [ 1E4C4AB5C9B8DD13179BBDC75A2A01F7 ] Npfs C:\Windows\system32\drivers\Npfs.sys
17:19:55.0263 3796 Npfs - ok
17:19:55.0278 3796 [ D54BFDF3E0C953F823B3D0BFE4732528 ] nsi C:\Windows\system32\nsisvc.dll
17:19:55.0325 3796 nsi - ok
17:19:55.0341 3796 [ E7F5AE18AF4168178A642A9247C63001 ] nsiproxy C:\Windows\system32\drivers\nsiproxy.sys
17:19:55.0372 3796 nsiproxy - ok
17:19:55.0434 3796 [ E453ACF4E7D44E5530B5D5F2B9CA8563 ] Ntfs C:\Windows\system32\drivers\Ntfs.sys
17:19:55.0481 3796 Ntfs - ok
17:19:55.0512 3796 [ 317020D31F1696334679B9D0416EB62E ] NuidFltr C:\Windows\system32\DRIVERS\NuidFltr.sys
17:19:55.0528 3796 NuidFltr - ok
17:19:55.0543 3796 [ 9899284589F75FA8724FF3D16AED75C1 ] Null C:\Windows\system32\drivers\Null.sys
17:19:55.0590 3796 Null - ok
17:19:55.0606 3796 [ 0A92CB65770442ED0DC44834632F66AD ] nvraid C:\Windows\system32\drivers\nvraid.sys
17:19:55.0621 3796 nvraid - ok
17:19:55.0637 3796 [ DAB0E87525C10052BF65F06152F37E4A ] nvstor C:\Windows\system32\drivers\nvstor.sys
17:19:55.0653 3796 nvstor - ok
17:19:55.0668 3796 [ 270D7CD42D6E3979F6DD0146650F0E05 ] nv_agp C:\Windows\system32\drivers\nv_agp.sys
17:19:55.0668 3796 nv_agp - ok
17:19:55.0731 3796 [ 1F0E05DFF4F5A833168E49BE1256F002 ] odserv C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
17:19:55.0731 3796 odserv - ok
17:19:55.0762 3796 [ 3589478E4B22CE21B41FA1BFC0B8B8A0 ] ohci1394 C:\Windows\system32\drivers\ohci1394.sys
17:19:55.0777 3796 ohci1394 - ok
17:19:55.0871 3796 [ 45121447E0728A949329C1C1907BDCC2 ] Olympus DVR Service C:\Program Files (x86)\Common Files\Olympus Shared\DeviceManager\olydvrsv.exe
17:19:55.0887 3796 Olympus DVR Service ( UnsignedFile.Multi.Generic ) - warning
17:19:55.0887 3796 Olympus DVR Service - detected UnsignedFile.Multi.Generic (1)
17:19:55.0933 3796 [ 5A432A042DAE460ABE7199B758E8606C ] ose C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE
17:19:55.0933 3796 ose - ok
17:19:55.0980 3796 [ 3EAC4455472CC2C97107B5291E0DCAFE ] p2pimsvc C:\Windows\system32\pnrpsvc.dll
17:19:56.0027 3796 p2pimsvc - ok
17:19:56.0043 3796 [ 927463ECB02179F88E4B9A17568C63C3 ] p2psvc C:\Windows\system32\p2psvc.dll
17:19:56.0058 3796 p2psvc - ok
17:19:56.0058 3796 [ 0086431C29C35BE1DBC43F52CC273887 ] Parport C:\Windows\system32\DRIVERS\parport.sys
17:19:56.0074 3796 Parport - ok
17:19:56.0105 3796 [ E9766131EEADE40A27DC27D2D68FBA9C ] partmgr C:\Windows\system32\drivers\partmgr.sys
17:19:56.0121 3796 partmgr - ok
17:19:56.0121 3796 [ 3AEAA8B561E63452C655DC0584922257 ] PcaSvc C:\Windows\System32\pcasvc.dll
17:19:56.0152 3796 PcaSvc - ok
17:19:56.0183 3796 [ 94575C0571D1462A0F70BDE6BD6EE6B3 ] pci C:\Windows\system32\drivers\pci.sys
17:19:56.0199 3796 pci - ok
17:19:56.0214 3796 [ B5B8B5EF2E5CB34DF8DCF8831E3534FA ] pciide C:\Windows\system32\drivers\pciide.sys
17:19:56.0230 3796 pciide - ok
17:19:56.0245 3796 [ B2E81D4E87CE48589F98CB8C05B01F2F ] pcmcia C:\Windows\system32\DRIVERS\pcmcia.sys
17:19:56.0261 3796 pcmcia - ok
17:19:56.0277 3796 [ D6B9C2E1A11A3A4B26A182FFEF18F603 ] pcw C:\Windows\system32\drivers\pcw.sys
17:19:56.0277 3796 pcw - ok
17:19:56.0308 3796 [ 68769C3356B3BE5D1C732C97B9A80D6E ] PEAUTH C:\Windows\system32\drivers\peauth.sys
17:19:56.0355 3796 PEAUTH - ok
17:19:56.0386 3796 [ B9B0A4299DD2D76A4243F75FD54DC680 ] PeerDistSvc C:\Windows\system32\peerdistsvc.dll
17:19:56.0464 3796 PeerDistSvc - ok
17:19:56.0526 3796 [ E495E408C93141E8FC72DC0C6046DDFA ] PerfHost C:\Windows\SysWow64\perfhost.exe
17:19:56.0557 3796 PerfHost - ok
17:19:56.0604 3796 [ C7CF6A6E137463219E1259E3F0F0DD6C ] pla C:\Windows\system32\pla.dll
17:19:56.0667 3796 pla - ok
17:19:56.0713 3796 [ 25FBDEF06C4D92815B353F6E792C8129 ] PlugPlay C:\Windows\system32\umpnpmgr.dll
17:19:56.0760 3796 PlugPlay - ok
17:19:56.0776 3796 [ 7195581CEC9BB7D12ABE54036ACC2E38 ] PNRPAutoReg C:\Windows\system32\pnrpauto.dll
17:19:56.0807 3796 PNRPAutoReg - ok
17:19:56.0838 3796 [ 3EAC4455472CC2C97107B5291E0DCAFE ] PNRPsvc C:\Windows\system32\pnrpsvc.dll
17:19:56.0854 3796 PNRPsvc - ok
17:19:56.0885 3796 [ 4F0878FD62D5F7444C5F1C4C66D9D293 ] Point64 C:\Windows\system32\DRIVERS\point64.sys
17:19:56.0885 3796 Point64 - ok
17:19:56.0916 3796 [ 4F15D75ADF6156BF56ECED6D4A55C389 ] PolicyAgent C:\Windows\System32\ipsecsvc.dll
17:19:56.0963 3796 PolicyAgent - ok
17:19:56.0994 3796 [ 6BA9D927DDED70BD1A9CADED45F8B184 ] Power C:\Windows\system32\umpo.dll
17:19:57.0041 3796 Power - ok
17:19:57.0072 3796 [ F92A2C41117A11A00BE01CA01A7FCDE9 ] PptpMiniport C:\Windows\system32\DRIVERS\raspptp.sys
17:19:57.0119 3796 PptpMiniport - ok
17:19:57.0150 3796 [ 0D922E23C041EFB1C3FAC2A6F943C9BF ] Processor C:\Windows\system32\DRIVERS\processr.sys
17:19:57.0150 3796 Processor - ok
17:19:57.0213 3796 [ 53E83F1F6CF9D62F32801CF66D8352A8 ] ProfSvc C:\Windows\system32\profsvc.dll
17:19:57.0291 3796 ProfSvc - ok
17:19:57.0322 3796 [ C118A82CD78818C29AB228366EBF81C3 ] ProtectedStorage C:\Windows\system32\lsass.exe
17:19:57.0337 3796 ProtectedStorage - ok
17:19:57.0447 3796 [ 0557CF5A2556BD58E26384169D72438D ] Psched C:\Windows\system32\DRIVERS\pacer.sys
17:19:57.0509 3796 Psched - ok
17:19:57.0556 3796 [ A53A15A11EBFD21077463EE2C7AFEEF0 ] ql2300 C:\Windows\system32\DRIVERS\ql2300.sys
17:19:57.0603 3796 ql2300 - ok
17:19:57.0603 3796 [ 4F6D12B51DE1AAEFF7DC58C4D75423C8 ] ql40xx C:\Windows\system32\DRIVERS\ql40xx.sys
17:19:57.0618 3796 ql40xx - ok
17:19:57.0634 3796 [ 906191634E99AEA92C4816150BDA3732 ] QWAVE C:\Windows\system32\qwave.dll
17:19:57.0649 3796 QWAVE - ok
17:19:57.0649 3796 [ 76707BB36430888D9CE9D705398ADB6C ] QWAVEdrv C:\Windows\system32\drivers\qwavedrv.sys
17:19:57.0681 3796 QWAVEdrv - ok
17:19:57.0696 3796 [ 5A0DA8AD5762FA2D91678A8A01311704 ] RasAcd C:\Windows\system32\DRIVERS\rasacd.sys
17:19:57.0727 3796 RasAcd - ok
17:19:57.0759 3796 [ 7ECFF9B22276B73F43A99A15A6094E90 ] RasAgileVpn C:\Windows\system32\DRIVERS\AgileVpn.sys
17:19:57.0790 3796 RasAgileVpn - ok
17:19:57.0805 3796 [ 8F26510C5383B8DBE976DE1CD00FC8C7 ] RasAuto C:\Windows\System32\rasauto.dll
17:19:57.0821 3796 RasAuto - ok
17:19:57.0837 3796 [ 471815800AE33E6F1C32FB1B97C490CA ] Rasl2tp C:\Windows\system32\DRIVERS\rasl2tp.sys
17:19:57.0883 3796 Rasl2tp - ok
17:19:57.0915 3796 [ EE867A0870FC9E4972BA9EAAD35651E2 ] RasMan C:\Windows\System32\rasmans.dll
17:19:57.0946 3796 RasMan - ok
17:19:57.0961 3796 [ 855C9B1CD4756C5E9A2AA58A15F58C25 ] RasPppoe C:\Windows\system32\DRIVERS\raspppoe.sys
17:19:58.0008 3796 RasPppoe - ok
17:19:58.0039 3796 [ E8B1E447B008D07FF47D016C2B0EEECB ] RasSstp C:\Windows\system32\DRIVERS\rassstp.sys
17:19:58.0086 3796 RasSstp - ok
17:19:58.0102 3796 [ 77F665941019A1594D887A74F301FA2F ] rdbss C:\Windows\system32\DRIVERS\rdbss.sys
17:19:58.0133 3796 rdbss - ok
17:19:58.0149 3796 [ 302DA2A0539F2CF54D7C6CC30C1F2D8D ] rdpbus C:\Windows\system32\DRIVERS\rdpbus.sys
17:19:58.0164 3796 rdpbus - ok
17:19:58.0164 3796 [ CEA6CC257FC9B7715F1C2B4849286D24 ] RDPCDD C:\Windows\system32\DRIVERS\RDPCDD.sys
17:19:58.0195 3796 RDPCDD - ok
17:19:58.0227 3796 [ 1B6163C503398B23FF8B939C67747683 ] RDPDR C:\Windows\system32\drivers\rdpdr.sys
17:19:58.0242 3796 RDPDR - ok
17:19:58.0258 3796 [ BB5971A4F00659529A5C44831AF22365 ] RDPENCDD C:\Windows\system32\drivers\rdpencdd.sys
17:19:58.0305 3796 RDPENCDD - ok
17:19:58.0320 3796 [ 216F3FA57533D98E1F74DED70113177A ] RDPREFMP C:\Windows\system32\drivers\rdprefmp.sys
17:19:58.0351 3796 RDPREFMP - ok
17:19:58.0367 3796 [ E61608AA35E98999AF9AAEEEA6114B0A ] RDPWD C:\Windows\system32\drivers\RDPWD.sys
17:19:58.0414 3796 RDPWD - ok
17:19:58.0445 3796 [ 34ED295FA0121C241BFEF24764FC4520 ] rdyboost C:\Windows\system32\drivers\rdyboost.sys
17:19:58.0461 3796 rdyboost - ok
17:19:58.0476 3796 [ 254FB7A22D74E5511C73A3F6D802F192 ] RemoteAccess C:\Windows\System32\mprdim.dll
17:19:58.0523 3796 RemoteAccess - ok
17:19:58.0554 3796 [ E4D94F24081440B5FC5AA556C7C62702 ] RemoteRegistry C:\Windows\system32\regsvc.dll
17:19:58.0601 3796 RemoteRegistry - ok
17:19:58.0617 3796 [ E4DC58CF7B3EA515AE917FF0D402A7BB ] RpcEptMapper C:\Windows\System32\RpcEpMap.dll
17:19:58.0663 3796 RpcEptMapper - ok
17:19:58.0695 3796 [ D5BA242D4CF8E384DB90E6A8ED850B8C ] RpcLocator C:\Windows\system32\locator.exe
17:19:58.0726 3796 RpcLocator - ok
17:19:58.0757 3796 [ 5C627D1B1138676C0A7AB2C2C190D123 ] RpcSs C:\Windows\system32\rpcss.dll
17:19:58.0788 3796 RpcSs - ok
17:19:58.0819 3796 [ DDC86E4F8E7456261E637E3552E804FF ] rspndr C:\Windows\system32\DRIVERS\rspndr.sys
17:19:58.0851 3796 rspndr - ok
17:19:58.0866 3796 [ E60C0A09F997826C7627B244195AB581 ] s3cap C:\Windows\system32\drivers\vms3cap.sys
17:19:58.0913 3796 s3cap - ok
17:19:58.0913 3796 [ C118A82CD78818C29AB228366EBF81C3 ] SamSs C:\Windows\system32\lsass.exe
17:19:58.0929 3796 SamSs - ok
17:19:58.0975 3796 [ 3289766038DB2CB14D07DC84392138D5 ] SASDIFSV C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
17:19:58.0991 3796 SASDIFSV - ok
17:19:58.0991 3796 [ 58A38E75F3316A83C23DF6173D41F2B5 ] SASKUTIL C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
17:19:59.0007 3796 SASKUTIL - ok
17:19:59.0007 3796 [ AC03AF3329579FFFB455AA2DAABBE22B ] sbp2port C:\Windows\system32\drivers\sbp2port.sys
17:19:59.0022 3796 sbp2port - ok
17:19:59.0038 3796 [ 9B7395789E3791A3B6D000FE6F8B131E ] SCardSvr C:\Windows\System32\SCardSvr.dll
17:19:59.0069 3796 SCardSvr - ok
17:19:59.0085 3796 [ 253F38D0D7074C02FF8DEB9836C97D2B ] scfilter C:\Windows\system32\DRIVERS\scfilter.sys
17:19:59.0131 3796 scfilter - ok
17:19:59.0178 3796 [ 262F6592C3299C005FD6BEC90FC4463A ] Schedule C:\Windows\system32\schedsvc.dll
17:19:59.0256 3796 Schedule - ok
17:19:59.0287 3796 [ F17D1D393BBC69C5322FBFAFACA28C7F ] SCPolicySvc C:\Windows\System32\certprop.dll
17:19:59.0303 3796 SCPolicySvc - ok
17:19:59.0319 3796 [ 6EA4234DC55346E0709560FE7C2C1972 ] SDRSVC C:\Windows\System32\SDRSVC.dll
17:19:59.0381 3796 SDRSVC - ok
17:19:59.0490 3796 [ 206387AB881E93A1A6EB89966C8651F1 ] SDScannerService C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
17:19:59.0506 3796 SDScannerService - ok
17:19:59.0553 3796 [ A529CFE32565C0B145578FFB2B32C9A5 ] SDUpdateService C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
17:19:59.0568 3796 SDUpdateService - ok
17:19:59.0584 3796 [ CB63BDB77BB86549FC3303C2F11EDC18 ] SDWSCService C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
17:19:59.0584 3796 SDWSCService - ok
17:19:59.0631 3796 [ 3EA8A16169C26AFBEB544E0E48421186 ] secdrv C:\Windows\system32\drivers\secdrv.sys
17:19:59.0677 3796 secdrv - ok
17:19:59.0693 3796 [ BC617A4E1B4FA8DF523A061739A0BD87 ] seclogon C:\Windows\system32\seclogon.dll
17:19:59.0709 3796 seclogon - ok
17:19:59.0740 3796 [ C32AB8FA018EF34C0F113BD501436D21 ] SENS C:\Windows\System32\sens.dll
17:19:59.0755 3796 SENS - ok
17:19:59.0771 3796 [ 0336CFFAFAAB87A11541F1CF1594B2B2 ] SensrSvc C:\Windows\system32\sensrsvc.dll
17:19:59.0818 3796 SensrSvc - ok
17:19:59.0849 3796 [ CB624C0035412AF0DEBEC78C41F5CA1B ] Serenum C:\Windows\system32\DRIVERS\serenum.sys
17:19:59.0880 3796 Serenum - ok
17:19:59.0911 3796 [ C1D8E28B2C2ADFAEC4BA89E9FDA69BD6 ] Serial C:\Windows\system32\DRIVERS\serial.sys
17:19:59.0927 3796 Serial - ok
17:19:59.0943 3796 [ 1C545A7D0691CC4A027396535691C3E3 ] sermouse C:\Windows\system32\DRIVERS\sermouse.sys
17:19:59.0974 3796 sermouse - ok
17:20:00.0005 3796 [ 0B6231BF38174A1628C4AC812CC75804 ] SessionEnv C:\Windows\system32\sessenv.dll
17:20:00.0036 3796 SessionEnv - ok
17:20:00.0052 3796 [ A554811BCD09279536440C964AE35BBF ] sffdisk C:\Windows\system32\drivers\sffdisk.sys
17:20:00.0083 3796 sffdisk - ok
17:20:00.0083 3796 [ FF414F0BAEFEBA59BC6C04B3DB0B87BF ] sffp_mmc C:\Windows\system32\drivers\sffp_mmc.sys
17:20:00.0099 3796 sffp_mmc - ok
17:20:00.0099 3796 [ DD85B78243A19B59F0637DCF284DA63C ] sffp_sd C:\Windows\system32\drivers\sffp_sd.sys
17:20:00.0114 3796 sffp_sd - ok
17:20:00.0145 3796 [ A9D601643A1647211A1EE2EC4E433FF4 ] sfloppy C:\Windows\system32\DRIVERS\sfloppy.sys
17:20:00.0161 3796 sfloppy - ok
17:20:00.0208 3796 [ B95F6501A2F8B2E78C697FEC401970CE ] SharedAccess C:\Windows\System32\ipnathlp.dll
17:20:00.0270 3796 SharedAccess - ok
17:20:00.0301 3796 [ AAF932B4011D14052955D4B212A4DA8D ] ShellHWDetection C:\Windows\System32\shsvcs.dll
17:20:00.0348 3796 ShellHWDetection - ok
17:20:00.0379 3796 [ 843CAF1E5FDE1FFD5FF768F23A51E2E1 ] SiSRaid2 C:\Windows\system32\DRIVERS\SiSRaid2.sys
17:20:00.0395 3796 SiSRaid2 - ok
17:20:00.0395 3796 [ 6A6C106D42E9FFFF8B9FCB4F754F6DA4 ] SiSRaid4 C:\Windows\system32\DRIVERS\sisraid4.sys
17:20:00.0411 3796 SiSRaid4 - ok
17:20:00.0426 3796 [ 548260A7B8654E024DC30BF8A7C5BAA4 ] Smb C:\Windows\system32\DRIVERS\smb.sys
17:20:00.0473 3796 Smb - ok
17:20:00.0520 3796 [ 6313F223E817CC09AA41811DAA7F541D ] SNMPTRAP C:\Windows\System32\snmptrap.exe
17:20:00.0551 3796 SNMPTRAP - ok
17:20:00.0567 3796 [ B9E31E5CACDFE584F34F730A677803F9 ] spldr C:\Windows\system32\drivers\spldr.sys
17:20:00.0582 3796 spldr - ok
17:20:00.0629 3796 [ 85DAA09A98C9286D4EA2BA8D0E644377 ] Spooler C:\Windows\System32\spoolsv.exe
17:20:00.0676 3796 Spooler - ok
17:20:00.0988 3796 [ E17E0188BB90FAE42D83E98707EFA59C ] sppsvc C:\Windows\system32\sppsvc.exe
17:20:01.0113 3796 sppsvc - ok
17:20:01.0128 3796 [ 93D7D61317F3D4BC4F4E9F8A96A7DE45 ] sppuinotify C:\Windows\system32\sppuinotify.dll
17:20:01.0175 3796 sppuinotify - ok
17:20:01.0222 3796 [ 441FBA48BFF01FDB9D5969EBC1838F0B ] srv C:\Windows\system32\DRIVERS\srv.sys
17:20:01.0269 3796 srv - ok
17:20:01.0284 3796 [ B4ADEBBF5E3677CCE9651E0F01F7CC28 ] srv2 C:\Windows\system32\DRIVERS\srv2.sys
17:20:01.0315 3796 srv2 - ok
17:20:01.0347 3796 [ 27E461F0BE5BFF5FC737328F749538C3 ] srvnet C:\Windows\system32\DRIVERS\srvnet.sys
17:20:01.0378 3796 srvnet - ok
17:20:01.0440 3796 [ 51B52FBD583CDE8AA9BA62B8B4298F33 ] SSDPSRV C:\Windows\System32\ssdpsrv.dll
17:20:01.0503 3796 SSDPSRV - ok
17:20:01.0518 3796 [ AB7AEBF58DAD8DAAB7A6C45E6A8885CB ] SstpSvc C:\Windows\system32\sstpsvc.dll
17:20:01.0549 3796 SstpSvc - ok
17:20:01.0659 3796 [ E8606BF6BE3B7481D95F1DD2E4F3FCBA ] StarMoney 7.0 OnlineUpdate C:\Program Files (x86)\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe
17:20:01.0659 3796 StarMoney 7.0 OnlineUpdate - ok
17:20:01.0690 3796 Steam Client Service - ok
17:20:01.0737 3796 [ F3817967ED533D08327DC73BC4D5542A ] stexstor C:\Windows\system32\DRIVERS\stexstor.sys
17:20:01.0737 3796 stexstor - ok
17:20:01.0799 3796 [ 8DD52E8E6128F4B2DA92CE27402871C1 ] stisvc C:\Windows\System32\wiaservc.dll
17:20:01.0846 3796 stisvc - ok
17:20:01.0877 3796 [ 7785DC213270D2FC066538DAF94087E7 ] storflt C:\Windows\system32\drivers\vmstorfl.sys
17:20:01.0893 3796 storflt - ok
17:20:01.0908 3796 [ C40841817EF57D491F22EB103DA587CC ] StorSvc C:\Windows\system32\storsvc.dll
17:20:01.0955 3796 StorSvc - ok
17:20:01.0971 3796 [ D34E4943D5AC096C8EDEEBFD80D76E23 ] storvsc C:\Windows\system32\drivers\storvsc.sys
17:20:01.0971 3796 storvsc - ok
17:20:02.0002 3796 [ D01EC09B6711A5F8E7E6564A4D0FBC90 ] swenum C:\Windows\system32\drivers\swenum.sys
17:20:02.0017 3796 swenum - ok
17:20:02.0049 3796 [ E08E46FDD841B7184194011CA1955A0B ] swprv C:\Windows\System32\swprv.dll
17:20:02.0095 3796 swprv - ok
17:20:02.0173 3796 [ BF9CCC0BF39B418C8D0AE8B05CF95B7D ] SysMain C:\Windows\system32\sysmain.dll
17:20:02.0251 3796 SysMain - ok
17:20:02.0314 3796 [ E3C61FD7B7C2557E1F1B0B4CEC713585 ] TabletInputService C:\Windows\System32\TabSvc.dll
17:20:02.0345 3796 TabletInputService - ok
17:20:02.0376 3796 [ 40F0849F65D13EE87B9A9AE3C1DD6823 ] TapiSrv C:\Windows\System32\tapisrv.dll
17:20:02.0423 3796 TapiSrv - ok
17:20:02.0439 3796 [ 1BE03AC720F4D302EA01D40F588162F6 ] TBS C:\Windows\System32\tbssvc.dll
17:20:02.0470 3796 TBS - ok
17:20:02.0907 3796 [ 37608401DFDB388CAF66917F6B2D6FB0 ] Tcpip C:\Windows\system32\drivers\tcpip.sys
17:20:02.0969 3796 Tcpip - ok
17:20:03.0031 3796 [ 37608401DFDB388CAF66917F6B2D6FB0 ] TCPIP6 C:\Windows\system32\DRIVERS\tcpip.sys
17:20:03.0067 3796 TCPIP6 - ok
17:20:03.0077 3796 [ 1B16D0BD9841794A6E0CDE0CEF744ABC ] tcpipreg C:\Windows\system32\drivers\tcpipreg.sys
17:20:03.0107 3796 tcpipreg - ok
17:20:03.0137 3796 [ 3371D21011695B16333A3934340C4E7C ] TDPIPE C:\Windows\system32\drivers\tdpipe.sys
17:20:03.0187 3796 TDPIPE - ok
17:20:03.0217 3796 [ 51C5ECEB1CDEE2468A1748BE550CFBC8 ] TDTCP C:\Windows\system32\drivers\tdtcp.sys
17:20:03.0247 3796 TDTCP - ok
17:20:03.0287 3796 [ DDAD5A7AB24D8B65F8D724F5C20FD806 ] tdx C:\Windows\system32\DRIVERS\tdx.sys
17:20:03.0317 3796 tdx - ok
17:20:03.0327 3796 [ 561E7E1F06895D78DE991E01DD0FB6E5 ] TermDD C:\Windows\system32\drivers\termdd.sys
17:20:03.0337 3796 TermDD - ok
17:20:03.0367 3796 [ 2E648163254233755035B46DD7B89123 ] TermService C:\Windows\System32\termsrv.dll
17:20:03.0417 3796 TermService - ok
17:20:03.0447 3796 [ F0344071948D1A1FA732231785A0664C ] Themes C:\Windows\system32\themeservice.dll
17:20:03.0467 3796 Themes - ok
17:20:03.0477 3796 [ E40E80D0304A73E8D269F7141D77250B ] THREADORDER C:\Windows\system32\mmcss.dll
17:20:03.0507 3796 THREADORDER - ok
17:20:03.0527 3796 [ 7E7AFD841694F6AC397E99D75CEAD49D ] TrkWks C:\Windows\System32\trkwks.dll
17:20:03.0577 3796 TrkWks - ok
17:20:03.0617 3796 [ 773212B2AAA24C1E31F10246B15B276C ] TrustedInstaller C:\Windows\servicing\TrustedInstaller.exe
17:20:03.0647 3796 TrustedInstaller - ok
17:20:03.0667 3796 [ CE18B2CDFC837C99E5FAE9CA6CBA5D30 ] tssecsrv C:\Windows\system32\DRIVERS\tssecsrv.sys
17:20:03.0727 3796 tssecsrv - ok
17:20:03.0747 3796 [ D11C783E3EF9A3C52C0EBE83CC5000E9 ] TsUsbFlt C:\Windows\system32\drivers\tsusbflt.sys
17:20:03.0807 3796 TsUsbFlt - ok
17:20:03.0837 3796 [ 3566A8DAAFA27AF944F5D705EAA64894 ] tunnel C:\Windows\system32\DRIVERS\tunnel.sys
17:20:03.0897 3796 tunnel - ok
17:20:03.0917 3796 [ B4DD609BD7E282BFC683CEC7EAAAAD67 ] uagp35 C:\Windows\system32\DRIVERS\uagp35.sys
17:20:03.0927 3796 uagp35 - ok
17:20:03.0957 3796 [ FF4232A1A64012BAA1FD97C7B67DF593 ] udfs C:\Windows\system32\DRIVERS\udfs.sys
17:20:04.0057 3796 udfs - ok
17:20:04.0077 3796 [ 3CBDEC8D06B9968ABA702EBA076364A1 ] UI0Detect C:\Windows\system32\UI0Detect.exe
17:20:04.0137 3796 UI0Detect - ok
17:20:04.0187 3796 [ 75894B827B8CA53FC2BB991C91B6728C ] uisp C:\Windows\system32\Drivers\usbicp.sys
17:20:04.0257 3796 uisp - ok
17:20:04.0297 3796 [ 4BFE1BC28391222894CBF1E7D0E42320 ] uliagpkx C:\Windows\system32\drivers\uliagpkx.sys
17:20:04.0307 3796 uliagpkx - ok
17:20:04.0348 3796 [ DC54A574663A895C8763AF0FA1FF7561 ] umbus C:\Windows\system32\DRIVERS\umbus.sys
17:20:04.0378 3796 umbus - ok
17:20:04.0398 3796 [ B2E8E8CB557B156DA5493BBDDCC1474D ] UmPass C:\Windows\system32\DRIVERS\umpass.sys
17:20:04.0428 3796 UmPass - ok
17:20:04.0468 3796 [ A293DCD756D04D8492A750D03B9A297C ] UmRdpService C:\Windows\System32\umrdp.dll
17:20:04.0498 3796 UmRdpService - ok
17:20:04.0538 3796 [ D47EC6A8E81633DD18D2436B19BAF6DE ] upnphost C:\Windows\System32\upnphost.dll
17:20:04.0568 3796 upnphost - ok
17:20:04.0588 3796 [ AF1B9474D67897D0C2CFF58E0ACEACCC ] USBAAPL64 C:\Windows\system32\Drivers\usbaapl64.sys
17:20:04.0638 3796 USBAAPL64 - ok
17:20:04.0678 3796 [ 82E8F44688E6FAC57B5B7C6FC7ADBC2A ] usbaudio C:\Windows\system32\drivers\usbaudio.sys
17:20:04.0708 3796 usbaudio - ok
17:20:04.0728 3796 [ 6F1A3157A1C89435352CEB543CDB359C ] usbccgp C:\Windows\system32\DRIVERS\usbccgp.sys
17:20:04.0788 3796 usbccgp - ok
17:20:04.0818 3796 [ AF0892A803FDDA7492F595368E3B68E7 ] usbcir C:\Windows\system32\drivers\usbcir.sys
17:20:04.0848 3796 usbcir - ok
17:20:04.0878 3796 [ C025055FE7B87701EB042095DF1A2D7B ] usbehci C:\Windows\system32\DRIVERS\usbehci.sys
17:20:04.0908 3796 usbehci - ok
17:20:04.0958 3796 [ 287C6C9410B111B68B52CA298F7B8C24 ] usbhub C:\Windows\system32\DRIVERS\usbhub.sys
17:20:04.0988 3796 usbhub - ok
17:20:05.0018 3796 [ 58E546BBAF87664FC57E0F6081E4F609 ] usbohci C:\Windows\system32\DRIVERS\usbohci.sys
17:20:05.0028 3796 usbohci - ok
17:20:05.0038 3796 [ 73188F58FB384E75C4063D29413CEE3D ] usbprint C:\Windows\system32\DRIVERS\usbprint.sys
17:20:05.0068 3796 usbprint - ok
17:20:05.0088 3796 [ FED648B01349A3C8395A5169DB5FB7D6 ] USBSTOR C:\Windows\system32\DRIVERS\USBSTOR.SYS
17:20:05.0108 3796 USBSTOR - ok
17:20:05.0148 3796 [ 62069A34518BCF9C1FD9E74B3F6DB7CD ] usbuhci C:\Windows\system32\DRIVERS\usbuhci.sys
17:20:05.0168 3796 usbuhci - ok
17:20:05.0208 3796 [ EDBB23CBCF2CDF727D64FF9B51A6070E ] UxSms C:\Windows\System32\uxsms.dll
17:20:05.0258 3796 UxSms - ok
17:20:05.0288 3796 [ C118A82CD78818C29AB228366EBF81C3 ] VaultSvc C:\Windows\system32\lsass.exe
17:20:05.0298 3796 VaultSvc - ok
17:20:05.0328 3796 [ C5C876CCFC083FF3B128F933823E87BD ] vdrvroot C:\Windows\system32\drivers\vdrvroot.sys
17:20:05.0328 3796 vdrvroot - ok
17:20:05.0398 3796 [ 8D6B481601D01A456E75C3210F1830BE ] vds C:\Windows\System32\vds.exe
17:20:05.0458 3796 vds - ok
17:20:05.0498 3796 [ DA4DA3F5E02943C2DC8C6ED875DE68DD ] vga C:\Windows\system32\DRIVERS\vgapnp.sys
17:20:05.0508 3796 vga - ok
17:20:05.0538 3796 [ 53E92A310193CB3C03BEA963DE7D9CFC ] VgaSave C:\Windows\System32\drivers\vga.sys
17:20:05.0578 3796 VgaSave - ok
17:20:05.0608 3796 [ 2CE2DF28C83AEAF30084E1B1EB253CBB ] vhdmp C:\Windows\system32\drivers\vhdmp.sys
17:20:05.0618 3796 vhdmp - ok
17:20:05.0648 3796 [ E5689D93FFE4E5D66C0178761240DD54 ] viaide C:\Windows\system32\drivers\viaide.sys
17:20:05.0658 3796 viaide - ok
17:20:05.0678 3796 [ 86EA3E79AE350FEA5331A1303054005F ] vmbus C:\Windows\system32\drivers\vmbus.sys
17:20:05.0688 3796 vmbus - ok
17:20:05.0698 3796 [ 7DE90B48F210D29649380545DB45A187 ] VMBusHID C:\Windows\system32\drivers\VMBusHID.sys
17:20:05.0728 3796 VMBusHID - ok
17:20:05.0748 3796 [ D2AAFD421940F640B407AEFAAEBD91B0 ] volmgr C:\Windows\system32\drivers\volmgr.sys
17:20:05.0758 3796 volmgr - ok
17:20:05.0798 3796 [ A255814907C89BE58B79EF2F189B843B ] volmgrx C:\Windows\system32\drivers\volmgrx.sys
17:20:05.0798 3796 volmgrx - ok
17:20:05.0829 3796 [ 0D08D2F3B3FF84E433346669B5E0F639 ] volsnap C:\Windows\system32\drivers\volsnap.sys
17:20:05.0845 3796 volsnap - ok
17:20:05.0876 3796 [ 5E2016EA6EBACA03C04FEAC5F330D997 ] vsmraid C:\Windows\system32\DRIVERS\vsmraid.sys
17:20:05.0892 3796 vsmraid - ok
17:20:05.0923 3796 [ B60BA0BC31B0CB414593E169F6F21CC2 ] VSS C:\Windows\system32\vssvc.exe
17:20:06.0001 3796 VSS - ok
17:20:06.0016 3796 [ 36D4720B72B5C5D9CB2B9C29E9DF67A1 ] vwifibus C:\Windows\System32\drivers\vwifibus.sys
17:20:06.0048 3796 vwifibus - ok
17:20:06.0094 3796 [ 1C9D80CC3849B3788048078C26486E1A ] W32Time C:\Windows\system32\w32time.dll
17:20:06.0126 3796 W32Time - ok
17:20:06.0141 3796 [ 4E9440F4F152A7B944CB1663D3935A3E ] WacomPen C:\Windows\system32\DRIVERS\wacompen.sys
17:20:06.0172 3796 WacomPen - ok
17:20:06.0204 3796 [ 356AFD78A6ED4457169241AC3965230C ] WANARP C:\Windows\system32\DRIVERS\wanarp.sys
17:20:06.0235 3796 WANARP - ok
17:20:06.0250 3796 [ 356AFD78A6ED4457169241AC3965230C ] Wanarpv6 C:\Windows\system32\DRIVERS\wanarp.sys
17:20:06.0266 3796 Wanarpv6 - ok
17:20:06.0328 3796 [ 3CEC96DE223E49EAAE3651FCF8FAEA6C ] WatAdminSvc C:\Windows\system32\Wat\WatAdminSvc.exe
17:20:06.0360 3796 WatAdminSvc - ok
17:20:06.0407 3796 [ 78F4E7F5C56CB9716238EB57DA4B6A75 ] wbengine C:\Windows\system32\wbengine.exe
17:20:06.0470 3796 wbengine - ok
17:20:06.0485 3796 [ 3AA101E8EDAB2DB4131333F4325C76A3 ] WbioSrvc C:\Windows\System32\wbiosrvc.dll
17:20:06.0501 3796 WbioSrvc - ok
17:20:06.0532 3796 [ 7368A2AFD46E5A4481D1DE9D14848EDD ] wcncsvc C:\Windows\System32\wcncsvc.dll
17:20:06.0548 3796 wcncsvc - ok
17:20:06.0563 3796 [ 20F7441334B18CEE52027661DF4A6129 ] WcsPlugInService C:\Windows\System32\WcsPlugInService.dll
17:20:06.0579 3796 WcsPlugInService - ok
17:20:06.0595 3796 [ 72889E16FF12BA0F235467D6091B17DC ] Wd C:\Windows\system32\DRIVERS\wd.sys
17:20:06.0595 3796 Wd - ok
17:20:06.0641 3796 [ 442783E2CB0DA19873B7A63833FF4CB4 ] Wdf01000 C:\Windows\system32\drivers\Wdf01000.sys
17:20:06.0657 3796 Wdf01000 - ok
17:20:06.0673 3796 [ BF1FC3F79B863C914687A737C2F3D681 ] WdiServiceHost C:\Windows\system32\wdi.dll
17:20:06.0766 3796 WdiServiceHost - ok
17:20:06.0766 3796 [ BF1FC3F79B863C914687A737C2F3D681 ] WdiSystemHost C:\Windows\system32\wdi.dll
17:20:06.0782 3796 WdiSystemHost - ok
17:20:06.0829 3796 [ 3DB6D04E1C64272F8B14EB8BC4616280 ] WebClient C:\Windows\System32\webclnt.dll
17:20:06.0860 3796 WebClient - ok
17:20:06.0891 3796 [ C749025A679C5103E575E3B48E092C43 ] Wecsvc C:\Windows\system32\wecsvc.dll
17:20:06.0938 3796 Wecsvc - ok
17:20:06.0969 3796 [ 7E591867422DC788B9E5BD337A669A08 ] wercplsupport C:\Windows\System32\wercplsupport.dll
17:20:06.0985 3796 wercplsupport - ok
17:20:07.0016 3796 [ 6D137963730144698CBD10F202E9F251 ] WerSvc C:\Windows\System32\WerSvc.dll
17:20:07.0031 3796 WerSvc - ok
17:20:07.0063 3796 [ 611B23304BF067451A9FDEE01FBDD725 ] WfpLwf C:\Windows\system32\DRIVERS\wfplwf.sys
17:20:07.0094 3796 WfpLwf - ok
17:20:07.0109 3796 [ 05ECAEC3E4529A7153B3136CEB49F0EC ] WIMMount C:\Windows\system32\drivers\wimmount.sys
17:20:07.0109 3796 WIMMount - ok
17:20:07.0141 3796 WinDefend - ok
17:20:07.0161 3796 WinHttpAutoProxySvc - ok
17:20:07.0201 3796 [ 19B07E7E8915D701225DA41CB3877306 ] Winmgmt C:\Windows\system32\wbem\WMIsvc.dll
17:20:07.0251 3796 Winmgmt - ok
17:20:07.0311 3796 [ BCB1310604AA415C4508708975B3931E ] WinRM C:\Windows\system32\WsmSvc.dll
17:20:07.0391 3796 WinRM - ok
17:20:07.0461 3796 [ FE88B288356E7B47B74B13372ADD906D ] WinUsb C:\Windows\system32\DRIVERS\WinUSB.sys
17:20:07.0511 3796 WinUsb - ok
17:20:07.0571 3796 [ 4FADA86E62F18A1B2F42BA18AE24E6AA ] Wlansvc C:\Windows\System32\wlansvc.dll
17:20:07.0591 3796 Wlansvc - ok
17:20:07.0651 3796 [ F6FF8944478594D0E414D3F048F0D778 ] WmiAcpi C:\Windows\system32\drivers\wmiacpi.sys
17:20:07.0661 3796 WmiAcpi - ok
17:20:07.0701 3796 [ 38B84C94C5A8AF291ADFEA478AE54F93 ] wmiApSrv C:\Windows\system32\wbem\WmiApSrv.exe
17:20:07.0731 3796 wmiApSrv - ok
17:20:07.0791 3796 WMPNetworkSvc - ok
17:20:07.0811 3796 [ 96C6E7100D724C69FCF9E7BF590D1DCA ] WPCSvc C:\Windows\System32\wpcsvc.dll
17:20:07.0831 3796 WPCSvc - ok
17:20:07.0951 3796 [ 93221146D4EBBF314C29B23CD6CC391D ] WPDBusEnum C:\Windows\system32\wpdbusenum.dll
17:20:07.0981 3796 WPDBusEnum - ok
17:20:08.0001 3796 [ 6BCC1D7D2FD2453957C5479A32364E52 ] ws2ifsl C:\Windows\system32\drivers\ws2ifsl.sys
17:20:08.0051 3796 ws2ifsl - ok
17:20:08.0061 3796 [ E8B1FE6669397D1772D8196DF0E57A9E ] wscsvc C:\Windows\System32\wscsvc.dll
17:20:08.0101 3796 wscsvc - ok
17:20:08.0101 3796 WSearch - ok
17:20:08.0181 3796 [ D9EF901DCA379CFE914E9FA13B73B4C4 ] wuauserv C:\Windows\system32\wuaueng.dll
17:20:08.0241 3796 wuauserv - ok
17:20:08.0281 3796 [ AB886378EEB55C6C75B4F2D14B6C869F ] WudfPf C:\Windows\system32\drivers\WudfPf.sys
17:20:08.0321 3796 WudfPf - ok
17:20:08.0351 3796 [ DDA4CAF29D8C0A297F886BFE561E6659 ] WUDFRd C:\Windows\system32\DRIVERS\WUDFRd.sys
17:20:08.0381 3796 WUDFRd - ok
17:20:08.0421 3796 [ B20F051B03A966392364C83F009F7D17 ] wudfsvc C:\Windows\System32\WUDFSvc.dll
17:20:08.0441 3796 wudfsvc - ok
17:20:08.0488 3796 [ 9A3452B3C2A46C073166C5CF49FAD1AE ] WwanSvc C:\Windows\System32\wwansvc.dll
17:20:08.0526 3796 WwanSvc - ok
17:20:08.0534 3796 ================ Scan global ===============================
17:20:08.0556 3796 [ BA0CD8C393E8C9F83354106093832C7B ] C:\Windows\system32\basesrv.dll
17:20:08.0586 3796 [ 72CC564BBC70DE268784BCE91EB8A28F ] C:\Windows\system32\winsrv.dll
17:20:08.0596 3796 [ 72CC564BBC70DE268784BCE91EB8A28F ] C:\Windows\system32\winsrv.dll
17:20:08.0616 3796 [ D6160F9D869BA3AF0B787F971DB56368 ] C:\Windows\system32\sxssrv.dll
17:20:08.0636 3796 [ 24ACB7E5BE595468E3B9AA488B9B4FCB ] C:\Windows\system32\services.exe
17:20:08.0646 3796 [Global] - ok
17:20:08.0646 3796 ================ Scan MBR ==================================
17:20:08.0646 3796 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0
17:20:08.0866 3796 \Device\Harddisk0\DR0 - ok
17:20:08.0876 3796 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk1\DR1
17:20:09.0076 3796 \Device\Harddisk1\DR1 - ok
17:20:09.0076 3796 ================ Scan VBR ==================================
17:20:09.0076 3796 [ 4825ECF9B45EEFCB60EBCF3FEFE3A8D0 ] \Device\Harddisk0\DR0\Partition1
17:20:09.0076 3796 \Device\Harddisk0\DR0\Partition1 - ok
17:20:09.0076 3796 [ AEE90AC628EA1E19BF39218082070BEE ] \Device\Harddisk0\DR0\Partition2
17:20:09.0076 3796 \Device\Harddisk0\DR0\Partition2 - ok
17:20:09.0076 3796 [ 5E92DCEAEE2958151F7D9EEB8B6E8554 ] \Device\Harddisk0\DR0\Partition3
17:20:09.0076 3796 \Device\Harddisk0\DR0\Partition3 - ok
17:20:09.0106 3796 [ A7D94962162399F8F6C9D04F4FBE533D ] \Device\Harddisk1\DR1\Partition1
17:20:09.0106 3796 \Device\Harddisk1\DR1\Partition1 - ok
17:20:09.0116 3796 [ ED78AB0479B87FC31AE842198473F8D8 ] \Device\Harddisk1\DR1\Partition2
17:20:09.0116 3796 \Device\Harddisk1\DR1\Partition2 - ok
17:20:09.0116 3796 ============================================================
17:20:09.0116 3796 Scan finished
17:20:09.0116 3796 ============================================================
17:20:09.0126 2636 Detected object count: 2
17:20:09.0126 2636 Actual detected object count: 2
17:34:53.0415 2636 BrYNSvc ( UnsignedFile.Multi.Generic ) - skipped by user
17:34:53.0415 2636 BrYNSvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
17:34:53.0415 2636 Olympus DVR Service ( UnsignedFile.Multi.Generic ) - skipped by user
17:34:53.0415 2636 Olympus DVR Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
17:34:56.0504 3508 Deinitialize success
Gruß, Lawyer P.S. Hier noch die Dateien, die derzeit bei AntiVir in Quarantäne sind: Code:
ATTFilter
Typ: Datei
Quelle: C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\63a79fca-2eeb4870
Status: Infiziert
Quarantäne-Objekt: 58377310.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.222
Virendefinitionsdatei: 7.11.54.16
Meldung: TR/PSW.Fareit.H.80
Datum/Uhrzeit: 17.12.2012, 09:57
Typ: Datei
Quelle: C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\Dr-Helmut-Rutke[1].htm
Status: Infiziert
Quarantäne-Objekt: 59e3ecd4.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.216
Virendefinitionsdatei: 7.11.53.128
Meldung: JS/Blacole.AI
Datum/Uhrzeit: 11.12.2012, 16:06
Typ: Datei
Quelle: C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BTC7RSPM\98995183[1].htm
Status: Infiziert
Quarantäne-Objekt: 4080c349.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.216
Virendefinitionsdatei: 7.11.53.128
Meldung: EXP/JS.Expack.BO
Datum/Uhrzeit: 11.12.2012, 16:06
Typ: Datei
Quelle: C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\78D0V5OA\64s_font[1].eot
Status: Infiziert
Quarantäne-Objekt: 5df3d5da.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.216
Virendefinitionsdatei: 7.11.53.128
Meldung: EXP/CVE-2011-3402.C
Datum/Uhrzeit: 11.12.2012, 15:15
Typ: Datei
Quelle: C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\U68PG70R\bobiporn_com[1].htm
Status: Infiziert
Quarantäne-Objekt: 585fd1ad.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.216
Virendefinitionsdatei: 7.11.53.128
Meldung: JS/JEHBlock.A
Datum/Uhrzeit: 11.12.2012, 15:15
Typ: Datei
Quelle: C:\Users\*****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KURIHKWK\bobiporn_com[1].htm
Status: Infiziert
Quarantäne-Objekt: 59d34af4.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.214
Virendefinitionsdatei: 7.11.52.118
Meldung: JS/JEHBlock.A
Datum/Uhrzeit: 04.12.2012, 12:09
|
|
18.12.2012, 12:52
| #7 | |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion Hi, combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.12.2012, 14:03
| #8 |
| | Keylogger/Trojaner nach GVU Infektion So, hier ist es: Code:
ATTFilter Combofix Logfile: |
|
18.12.2012, 14:16
| #9 |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion Hi, öffne mal Superantispyware, und poste die Berichte mit Funden
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.12.2012, 14:27
| #10 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus, hier, von gestern: Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 12/17/2012 at 09:27 AM
Application Version : 5.6.1014
Core Rules Database Version : 9749
Trace Rules Database Version: 7561
Scan type : Complete Scan
Total Scan Time : 00:04:26
Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User
Memory items scanned : 723
Memory threats detected : 0
Registry items scanned : 72640
Registry threats detected : 0
File items scanned : 12736
File threats detected : 264
Adware.Tracking Cookie
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Cookies\RKT2PN96.txt [ /mediaplex.com ]
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Cookies\X57S7FM8.txt [ /fastclick.net ]
C:\Users\*****\AppData\Roaming\Microsoft\Windows\Cookies\O2VQWZZH.txt [ /apmebf.com ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\77O7FWN2.txt [ Cookie:*****@events.webflowmetrics.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\IXGAA34Q.txt [ Cookie:*****@rubiconproject.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\G911RDRB.txt [ Cookie:*****@magnus.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\RACBS246.txt [ Cookie:*****@adrolays.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\4UTQUIZU.txt [ Cookie:*****@adscale.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\I4RPHMMU.txt [ Cookie:*****@pixel.rubiconproject.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\OWY62HI1.txt [ Cookie:*****@update.scansoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\9BL78D1X.txt [ Cookie:*****@notifier.avira.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\L25ML741.txt [ Cookie:*****@scorecardresearch.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\M8SRDKRY.txt [ Cookie:*****@ih.adscale.de/adscale-ih/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3392VRC9.txt [ Cookie:*****@simpli.fi/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\CM5M0T8J.txt [ Cookie:*****@amgdgt.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FVXTBI8R.txt [ Cookie:*****@www.schuh-helden.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\PTDSZ0NQ.txt [ Cookie:*****@media6degrees.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\V62Z2RC3.txt [ Cookie:*****@connect.wunderloop.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Y5LJ6LEC.txt [ Cookie:*****@books.google.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\WQC7OXJX.txt [ Cookie:*****@flashtalking.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8PV7WHE1.txt [ Cookie:*****@adfarm1.adition.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Q7PD5HQZ.txt [ Cookie:*****@ib.mookie1.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\4Q6P4XBN.txt [ Cookie:*****@mathtag.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BUQ9QGAA.txt [ Cookie:*****@linguee.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UZVQ8VTK.txt [ Cookie:*****@chango.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\76703WWE.txt [ Cookie:*****@ad.zanox.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\400S77A5.txt [ Cookie:*****@www.wer-weiss-was.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\14PZUV3P.txt [ Cookie:*****@advertising.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\LOG4YTK3.txt [ Cookie:*****@mlsat02.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\W8NIOXG1.txt [ Cookie:*****@invitemedia.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8U7HGQDT.txt [ Cookie:*****@4stats.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\RFSHF8EL.txt [ Cookie:*****@chatserver.comm100.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\WKIKSZ2G.txt [ Cookie:*****@gruenderszene.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7XMHL0NK.txt [ Cookie:*****@adcloud.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\XPH21T9E.txt [ Cookie:*****@www.ign.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\O7L5MNA6.txt [ Cookie:*****@info-arbeitsrecht.eu/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2XWNZJYM.txt [ Cookie:*****@openx.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\V1WLKX5U.txt [ Cookie:*****@ratgeber-recht24.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UF9MQHW6.txt [ Cookie:*****@rechtsportal.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\O35OTC72.txt [ Cookie:*****@valvetime.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\I3GUA0WX.txt [ Cookie:*****@visaton.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3WKSHJQI.txt [ Cookie:*****@m.webtrends.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\B8KPKEA0.txt [ Cookie:*****@www.gmx.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\70UC638E.txt [ Cookie:*****@turn.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\1730WINC.txt [ Cookie:*****@ign.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\969GAXAB.txt [ Cookie:*****@tracking.mindshare.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BX3YNYEK.txt [ Cookie:*****@twitch.tv/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\QRGLQTI1.txt [ Cookie:*****@revsci.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BT3UIMPP.txt [ Cookie:*****@events.webflowmetrics.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\O86J4EU1.txt [ Cookie:*****@intergi.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\JW9HWWGR.txt [ Cookie:*****@evilavatar.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\XB78QQRW.txt [ Cookie:*****@www.baur.de/servlet/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EQ9FZSVV.txt [ Cookie:*****@store.malwarebytes.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\740ZCOKU.txt [ Cookie:*****@gmx.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UHTBHX3E.txt [ Cookie:*****@t4ft.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\OT9WEY2Z.txt [ Cookie:*****@gamelawblog.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\QR1SI5Z4.txt [ Cookie:*****@dein-schuhhaus.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\AWPY2TOW.txt [ Cookie:*****@nespresso.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\NW82LFLY.txt [ Cookie:*****@www.kl-ruppert.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R13MB78R.txt [ Cookie:*****@rubiconproject.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\N4O6I0DD.txt [ Cookie:*****@ad4.adfarm1.adition.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\CMSSORUE.txt [ Cookie:*****@answers.microsoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BC8L5JMB.txt [ Cookie:*****@www.nespresso.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\F6JHJ6S2.txt [ Cookie:*****@bizographics.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FP1QYSZJ.txt [ Cookie:*****@tracking.quisma.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\68A28D40.txt [ Cookie:*****@google.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\SP2QGUBO.txt [ Cookie:*****@adspirit.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\J9I3JZDD.txt [ Cookie:*****@adtraxx.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\P6I0XKKX.txt [ Cookie:*****@hijackthis-forum.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EADPELKY.txt [ Cookie:*****@forum.botfrei.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FDC9MS0X.txt [ Cookie:*****@tacoda.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DZ73UO38.txt [ Cookie:*****@quantserve.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0PN6DCQ7.txt [ Cookie:*****@dejure.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\INI1KN8F.txt [ Cookie:*****@pfa.levexis.com/samsungde/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R1QHCZVG.txt [ Cookie:*****@www.mydays.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UL2KU4TH.txt [ Cookie:*****@skimresources.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MAGDQBYZ.txt [ Cookie:*****@gwallet.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\E3Y1EUB1.txt [ Cookie:*****@mirando.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\VTRZMZDF.txt [ Cookie:*****@amazon-adsystem.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3OLI0CD8.txt [ Cookie:*****@www.evilavatar.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BH0KOEMC.txt [ Cookie:*****@youtube.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\KY3OBPQA.txt [ Cookie:*****@c1.atdmt.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Q2OCJQ6M.txt [ Cookie:*****@adrolays.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\N0C1LA20.txt [ Cookie:*****@www.extremetech.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\W76VQXLO.txt [ Cookie:*****@atwola.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DMRK58GD.txt [ Cookie:*****@spotxchange.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MKIIDFF7.txt [ Cookie:*****@nexac.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\NMAHU196.txt [ Cookie:*****@rtbidder.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\T4AQL53T.txt [ Cookie:*****@shooks.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\C91MZL9E.txt [ Cookie:*****@www.seo-anwalt.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X6TWBNNJ.txt [ Cookie:*****@mp-success.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DD6QE3GX.txt [ Cookie:*****@disqus.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UKJHSF23.txt [ Cookie:*****@www.etracker.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\TM7GSMNN.txt [ Cookie:*****@sensic.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2U9HSU5G.txt [ Cookie:*****@kdukvh.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\B5QBO9JL.txt [ Cookie:*****@www.amazon.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0UN87U10.txt [ Cookie:*****@rlcdn.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\SKMNGQV0.txt [ Cookie:*****@erbfall.eu/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\LJ78D3A3.txt [ Cookie:*****@atemda.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\CTFUP4ZX.txt [ Cookie:*****@adtech.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\GJC5C52C.txt [ Cookie:*****@trc.taboolasyndication.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\G3D01S90.txt [ Cookie:*****@tradedoubler.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\S4AXWOPJ.txt [ Cookie:*****@rae-heckert.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8DRQW3LV.txt [ Cookie:*****@c.atdmt.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZGJ1LU9O.txt [ Cookie:*****@pixel.rubiconproject.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\QEQ9U87R.txt [ Cookie:*****@valuenet-content.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BFCF2066.txt [ Cookie:*****@www1.mpnrs.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\W0CD4A41.txt [ Cookie:*****@www.cleanpcguide.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\N9DJL8EJ.txt [ Cookie:*****@meinews.niuz.biz/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MIN5SQP7.txt [ Cookie:*****@sharethis.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X1SS1Y0X.txt [ Cookie:*****@quality-channel.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\CUHIYHFG.txt [ Cookie:*****@crowdscience.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\JSG0YW23.txt [ Cookie:*****@zdbb.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2QEV8WMC.txt [ Cookie:*****@ebay.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BNKJ4Q0C.txt [ Cookie:*****@adworx.at/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZS8105JK.txt [ Cookie:*****@twitter.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R6Q62XFI.txt [ Cookie:*****@schuhe.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R3CS9YR0.txt [ Cookie:*****@www.safer-networking.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0L72DXV9.txt [ Cookie:*****@www.pc-magazin.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\TSCWE3NU.txt [ Cookie:*****@met.vgwort.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DL55M288.txt [ Cookie:*****@log3.optimizely.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\XUU15U3I.txt [ Cookie:*****@actionallocator.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\NZ9T3U8M.txt [ Cookie:*****@wunderloop.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\4VMYIBU3.txt [ Cookie:*****@chip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EIN8I9FO.txt [ Cookie:*****@bmw.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\J9C9R1SU.txt [ Cookie:*****@www.stroemer.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\AJLFWHZG.txt [ Cookie:*****@adx.chip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\1XAWDL61.txt [ Cookie:*****@www.trojaner-board.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X83UWHOF.txt [ Cookie:*****@zopim.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8S2QX52S.txt [ Cookie:*****@newtention.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\JQJROQ6B.txt [ Cookie:*****@www.chip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Y4ZG72G0.txt [ Cookie:*****@google.de/verify ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3WJUVEJW.txt [ Cookie:*****@tag.admeld.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\SNCA09ZP.txt [ Cookie:*****@triggit.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\KC06EQCT.txt [ Cookie:*****@bluekai.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\M6YJ7UJN.txt [ Cookie:*****@outbrain.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\6F0MAPXV.txt [ Cookie:*****@imrworldwide.com/cgi-bin ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2E3TOANT.txt [ Cookie:*****@haendlerbund.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\WT618DKJ.txt [ Cookie:*****@eanalyzer.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BULMNJU4.txt [ Cookie:*****@hensche.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Q6MUE5HR.txt [ Cookie:*****@trc.taboolasyndication.com/ign-ign/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Z5KFDT7E.txt [ Cookie:*****@scanscout.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7LR7KVF9.txt [ Cookie:*****@cleverbridge.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\LFSK0OSU.txt [ Cookie:*****@ivwbox.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\NMPTSXRK.txt [ Cookie:*****@track.adform.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\OCDD20JR.txt [ Cookie:*****@ads.pubmatic.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7WVE81TC.txt [ Cookie:*****@statcounter.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0QIUD1B6.txt [ Cookie:*****@adjug.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\K15MY5PC.txt [ Cookie:*****@shop.emsisoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\4T2JCJZZ.txt [ Cookie:*****@w55c.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0OFLEIQK.txt [ Cookie:*****@facebook.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\AQHVDCGS.txt [ Cookie:*****@linux-market.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\WQ44K875.txt [ Cookie:*****@specificclick.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UDLIZ2Q6.txt [ Cookie:*****@ivw.discover-outdoor.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\5TUA6Z2W.txt [ Cookie:*****@server.adformdsp.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\AF2IUXDZ.txt [ Cookie:*****@nolp.dhl.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\OCX3VT3H.txt [ Cookie:*****@bing.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X92ZX5K5.txt [ Cookie:*****@plista.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\UJ9IZ5G9.txt [ Cookie:*****@scorecardresearch.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\MMHJUJ3Z.txt [ Cookie:*****@us.battle.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\QTJR02UX.txt [ Cookie:*****@eas.apm.emediate.eu/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2Z2JH703.txt [ Cookie:*****@adsfac.eu/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\JEE5QWR7.txt [ Cookie:*****@adclear.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0WVN30PT.txt [ Cookie:*****@schuh-helden.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7ZKV299I.txt [ Cookie:*****@meetic-partners.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2UN58KL3.txt [ Cookie:*****@metalyzer.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\C8J7JCW5.txt [ Cookie:*****@adaos-ads.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\67920HR6.txt [ Cookie:*****@collective-media.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\OZCWZH9B.txt [ Cookie:*****@de.wikipedia.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2KK08UEZ.txt [ Cookie:*****@www.blindad.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7M3FZMFY.txt [ Cookie:*****@ih.adscale.de/adscale-ih ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R3XSTQB2.txt [ Cookie:*****@demdex.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\B6TIX9JT.txt [ Cookie:*****@support.microsoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\557C8ZLB.txt [ Cookie:*****@www.spiegel.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Z3O6E37P.txt [ Cookie:*****@vinsight.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2HL4SNB7.txt [ Cookie:*****@webmasterplan.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\W4EO8Y01.txt [ Cookie:*****@internetrecht-rostock.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\46Z84K9L.txt [ Cookie:*****@smartadserver.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\IQGV5HQO.txt [ Cookie:*****@everesttech.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\6I2LX1AF.txt [ Cookie:*****@finanztip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EM864MBB.txt [ Cookie:*****@iitr.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\HTO3SC5C.txt [ Cookie:*****@ad.yieldmanager.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\C4DKRUK3.txt [ Cookie:*****@fastclick.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X38P45CZ.txt [ Cookie:*****@www.frontlineshop.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\04C7TT54.txt [ Cookie:*****@admax.quisma.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\Y0E7TD32.txt [ Cookie:*****@c-and-a.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\D1CMPBG3.txt [ Cookie:*****@adsrvr.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X5V0ZLJO.txt [ Cookie:*****@www.googleadservices.com/pagead/conversion/1053256323/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\4AQ00B3A.txt [ Cookie:*****@tynt.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\22N3IM8S.txt [ Cookie:*****@shooks.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\96BQC70V.txt [ Cookie:*****@www.bing.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\1WD9R6JF.txt [ Cookie:*****@heias.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\SB6GH5TP.txt [ Cookie:*****@ad1.adfarm1.adition.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\V1HPW6KA.txt [ Cookie:*****@medien-internet-und-recht.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X7HDC0C2.txt [ Cookie:*****@www.finanztip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\GXFPFBRM.txt [ Cookie:*****@stroemer.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\POPX95M0.txt [ Cookie:*****@neogaf.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\OW9O26KH.txt [ Cookie:*****@adform.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BP5T2659.txt [ Cookie:*****@www.gruenderszene.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FHKE5QLK.txt [ Cookie:*****@t23.intelliad.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\I1V3CN5V.txt [ Cookie:*****@pubmatic.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\R8F98J5D.txt [ Cookie:*****@adindex.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FCIHQ4V1.txt [ Cookie:*****@liverail.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZUW0VLIU.txt [ Cookie:*****@de-fourmedia.videoplaza.tv/proxy/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8VS0JJ04.txt [ Cookie:*****@at.atwola.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2GF58UZ0.txt [ Cookie:*****@atdmt.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\TV1ZON9A.txt [ Cookie:*****@yellostrom.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3T3X4J5X.txt [ Cookie:*****@www.dein-schuhhaus.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\91BV8TA6.txt [ Cookie:*****@strato.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\VGXPIRN8.txt [ Cookie:*****@c.bing.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0YRUT4DY.txt [ Cookie:*****@adtechus.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\GGS1NC2U.txt [ Cookie:*****@tacoda.at.atwola.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\6B2FESWX.txt [ Cookie:*****@www.t-mobile.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FJRMM9RF.txt [ Cookie:*****@yieldlab.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\CCU443D5.txt [ Cookie:*****@ads.creative-serving.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\HURQ6ZL7.txt [ Cookie:*****@exelator.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\X7ZPVLLB.txt [ Cookie:*****@microsoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\QXLC7PAX.txt [ Cookie:*****@www.computerbild.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\PON7MUDS.txt [ Cookie:*****@www.bmas.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\0ISEE23L.txt [ Cookie:*****@spreadshirt.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\V2TSI4SI.txt [ Cookie:*****@extremetech.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\9RJ0YZ8J.txt [ Cookie:*****@zanox.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\FMFI2SNK.txt [ Cookie:*****@www.shooks.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\HSFND77B.txt [ Cookie:*****@ads.tgramedia.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\1ES1Y601.txt [ Cookie:*****@battle.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DYET07XX.txt [ Cookie:*****@ru4.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\HDHJ7ZQ6.txt [ Cookie:*****@c1.microsoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\6SFEG1G1.txt [ Cookie:*****@forum.avira.com/wbb/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\7AM67UAR.txt [ Cookie:*****@congstar.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\3IR5YGT2.txt [ Cookie:*****@superantispyware.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\D5RANH09.txt [ Cookie:*****@bs.serving-sys.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EZ44VRQN.txt [ Cookie:*****@nonstoppartner.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\N3RDN3PB.txt [ Cookie:*****@de.twitch.tv/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2E0IDUNK.txt [ Cookie:*****@forums.spybot.info/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\8C7ZRCZN.txt [ Cookie:*****@metrigo.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\DAXEO42T.txt [ Cookie:*****@cntr.adrcntr.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\KYOC1ZBC.txt [ Cookie:*****@gelbeseiten.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\4VH73QRK.txt [ Cookie:*****@tracking.mlsat02.de/tmobile/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\04WF4999.txt [ Cookie:*****@tribalfusion.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\2E4X95M5.txt [ Cookie:*****@trojaner-board.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EA39OAUI.txt [ Cookie:*****@www.visaton.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\BTQ6I8WA.txt [ Cookie:*****@adscale.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\ZO7LBN2E.txt [ Cookie:*****@adx2.chip.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\B7HQE3TV.txt [ Cookie:*****@www.pcreview.co.uk/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EA3SXBGR.txt [ Cookie:*****@r.254a.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\6KWCG8JG.txt [ Cookie:*****@www.microsoft.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\M7T23II7.txt [ Cookie:*****@ih.adscale.de/adscale-ih/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\G8DYSI35.txt [ Cookie:*****@pc-magazin.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\TE2Z1Q9W.txt [ Cookie:*****@secure.piriform.com/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\TJPA2EXS.txt [ Cookie:*****@traffictrack.de/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\EAYBTHUY.txt [ Cookie:*****@www.microsofttranslator.com/ ]
C:\USERS\*****\Cookies\77O7FWN2.txt [ Cookie:*****@events.webflowmetrics.com/ ]
C:\USERS\*****\Cookies\IXGAA34Q.txt [ Cookie:*****@rubiconproject.com/ ]
C:\USERS\*****\Cookies\G911RDRB.txt [ Cookie:*****@magnus.de/ ]
C:\USERS\*****\Cookies\RACBS246.txt [ Cookie:*****@adrolays.de/ ]
C:\USERS\*****\Cookies\4UTQUIZU.txt [ Cookie:*****@adscale.de/ ]
C:\USERS\*****\Cookies\I4RPHMMU.txt [ Cookie:*****@pixel.rubiconproject.com/ ]
C:\USERS\*****\Cookies\OWY62HI1.txt [ Cookie:*****@update.scansoft.com/ ]
C:\USERS\*****\Cookies\9BL78D1X.txt [ Cookie:*****@notifier.avira.com/ ]
C:\USERS\*****\Cookies\L25ML741.txt [ Cookie:*****@scorecardresearch.com/ ]
C:\USERS\*****\Cookies\M8SRDKRY.txt [ Cookie:*****@ih.adscale.de/adscale-ih/ ]
C:\USERS\*****\Cookies\X57S7FM8.txt [ Cookie:*****@fastclick.net/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\35TO7GTO.txt [ Cookie:*****@store.malwarebytes.org/ ]
C:\USERS\*****\AppData\Roaming\Microsoft\Windows\Cookies\Low\401361L0.txt [ Cookie:*****@trojaner-board.de/ ]
Hier noch Avira von heute - 62 Funde  Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 18. Dezember 2012 09:09
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : *****
Computername : *****
Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 14:05:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 14:05:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 14:05:39
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 10.12.2012 14:17:57
AVREG.DLL : 13.6.0.406 248096 Bytes 10.12.2012 14:17:57
avlode.dll : 13.6.1.402 428832 Bytes 10.12.2012 14:17:58
avlode.rdf : 13.0.0.26 7958 Bytes 10.12.2012 14:17:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 14:06:57
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 14:06:59
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 14:06:59
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 14:07:00
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 14:07:00
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 14:07:00
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 14:07:00
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 08:03:08
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 08:03:08
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 08:18:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 08:19:14
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 08:08:04
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 08:21:11
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 08:24:09
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 08:17:53
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 08:17:53
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 08:05:01
VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 08:14:03
VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 08:09:29
VBASE026.VDF : 7.11.54.23 149504 Bytes 17.12.2012 14:09:31
VBASE027.VDF : 7.11.54.24 2048 Bytes 17.12.2012 14:09:31
VBASE028.VDF : 7.11.54.25 2048 Bytes 17.12.2012 14:09:32
VBASE029.VDF : 7.11.54.26 2048 Bytes 17.12.2012 14:09:32
VBASE030.VDF : 7.11.54.27 2048 Bytes 17.12.2012 14:09:32
VBASE031.VDF : 7.11.54.46 79872 Bytes 18.12.2012 08:04:52
Engineversion : 8.2.10.222
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.76 467324 Bytes 13.12.2012 14:14:05
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 14:14:05
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.74 643445 Bytes 12.11.2012 08:19:46
AEPACK.DLL : 8.3.1.0 819574 Bytes 13.12.2012 14:14:05
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:35:40
AEHEUR.DLL : 8.1.4.160 5624184 Bytes 06.12.2012 14:23:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 18.10.2012 07:23:24
AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 14:14:04
AEEXP.DLL : 8.3.0.0 184692 Bytes 13.12.2012 14:14:05
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 14:14:04
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:35:37
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 14:05:15
AVREP.DLL : 13.4.0.360 177952 Bytes 10.12.2012 14:17:57
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 14:05:10
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 14:05:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 14:05:40
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 14:05:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 14:05:06
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660, +Windows Imaging File (WIM),
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 18. Dezember 2012 09:09
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE64.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDFSSvc.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDUpdSvc.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWSCSvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipoint.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERANTISPYWARE.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDisc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTray.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil32_11_5_502_135_ActiveX.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '36' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '5906' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:'
C:\Backup_RA_Micro\*****_Outlook\Backup_01_06_2012.pst
[0] Archivtyp: MS Outlook Mailbox
--> Oberste Ebene des Persönlichen Ordners/Posteingang/[Subject:Aktenzeichen: 805802/74][From:anwalt@forderungseinzug.de]1873/Anlage_zum_Mahnung.rar
[1] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Backup_RA_Micro\*****_Outlook\Backup_15_11_2011.pst
[0] Archivtyp: MS Outlook Mailbox
--> Oberste Ebene des Persönlichen Ordners/Posteingang/[Subject:Aktenzeichen: 805802/74][From:anwalt@forderungseinzug.de]1893/Anlage_zum_Mahnung.rar
[1] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
[0] Archivtyp: Runtime Packed
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[1] Archivtyp: ZIP
--> scwtlrslkrjkmdkpcp/ajlajeaernykhtt.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NY
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/bkahajvharwqrg.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.DU
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/dfelrdcfnkkfqhpuw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/eftktcrsuyvpdtleu.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CN
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/ffasltftsycyuqludcckqcp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CO
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/klbwddep.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.HM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/lmpptv.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/pccvjlnnjayrtygvurwennj.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CP
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/sqler.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.OA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/wvtpjjvn.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[1] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.NA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[1] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-5076.N
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.F
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
--> C:\Backup_*****\Laufwerk C\Eigene Dateien\Downloads\jxpiinstall.exe
[1] Archivtyp: Runtime Packed
--> C:\Backup_*****\Laufwerk C\Eigene Dateien\Downloads\jxpiinstall.exe
[2] Archivtyp: Runtime Packed
--> H:\Backup_02_24_2012.pst
[3] Archivtyp: MS Outlook Mailbox
--> Oberste Ebene des Persönlichen Ordners/Posteingang/[Subject:Aktenzeichen: 805802/74][From:anwalt@forderungseinzug.de]1888/Anlage_zum_Mahnung.rar
[4] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
H:\Backup_02_24_2012.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> H:\Backup_*****\Backup_*****\Laufwerk C\Eigene Dateien\Downloads\jxpiinstall.exe
[3] Archivtyp: Runtime Packed
--> H:\RA_Micro_Backup\04192012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[4] Archivtyp: RSRC
--> H:\RA_Micro_Backup\05112012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[5] Archivtyp: RSRC
--> H:\RA_Micro_Backup\07062012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[6] Archivtyp: RSRC
--> H:\RA_Micro_Backup\09132012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[7] Archivtyp: RSRC
--> H:\RA_Micro_Backup\09212012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[8] Archivtyp: RSRC
--> H:\RA_Micro_Backup\11302012\RA\WINEXE\MSEXE\DXMEDIA.EXE
[9] Archivtyp: RSRC
--> C:\Backup_RA_Micro\*****_Outlook\Backup_01_06_2012.pst
[10] Archivtyp: MS Outlook Mailbox
--> Oberste Ebene des Persönlichen Ordners/Posteingang/[Subject:Aktenzeichen: 805802/74][From:anwalt@forderungseinzug.de]1873/Anlage_zum_Mahnung.rar
[11] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Backup_RA_Micro\*****_Outlook\Backup_01_06_2012.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> C:\Backup_RA_Micro\*****_Outlook\Backup_15_11_2011.pst
[10] Archivtyp: MS Outlook Mailbox
--> Oberste Ebene des Persönlichen Ordners/Posteingang/[Subject:Aktenzeichen: 805802/74][From:anwalt@forderungseinzug.de]1893/Anlage_zum_Mahnung.rar
[11] Archivtyp: RAR
--> O_Mahnung_Sign17174724535187871.pdf.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Backup_RA_Micro\*****_Outlook\Backup_15_11_2011.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
--> C:\Backup_*****\Laufwerk C\Eigene Dateien\Downloads\jxpiinstall.exe
[10] Archivtyp: Runtime Packed
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[11] Archivtyp: ZIP
--> scwtlrslkrjkmdkpcp/ajlajeaernykhtt.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NY
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/bkahajvharwqrg.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.DU
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/dfelrdcfnkkfqhpuw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/eftktcrsuyvpdtleu.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CN
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/ffasltftsycyuqludcckqcp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CO
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/klbwddep.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.HM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/lmpptv.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/pccvjlnnjayrtygvurwennj.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CP
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/sqler.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.OA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/wvtpjjvn.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[11] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.NA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[11] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-5076.N
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.F
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[11] Archivtyp: ZIP
--> scwtlrslkrjkmdkpcp/ajlajeaernykhtt.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NY
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/bkahajvharwqrg.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.DU
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/dfelrdcfnkkfqhpuw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/eftktcrsuyvpdtleu.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CN
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/ffasltftsycyuqludcckqcp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CO
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/klbwddep.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.HM
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/lmpptv.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.NZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/pccvjlnnjayrtygvurwennj.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.CP
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/sqler.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.OA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> scwtlrslkrjkmdkpcp/wvtpjjvn.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[11] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.NA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
--> C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[11] Archivtyp: ZIP
--> hw.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-5076.N
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.F
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> test2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
Beginne mit der Desinfektion:
H:\Backup_02_24_2012.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\3b4e9db6-2ff1a630
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5878c5d3.qua' verschoben!
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\4eb24202-70e475ec
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.MH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40d9ea77.qua' verschoben!
C:\Users\*****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\610e42cb-64958d32
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AL.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12b4b74b.qua' verschoben!
C:\Backup_RA_Micro\*****_Outlook\Backup_15_11_2011.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[WARNUNG] Die Datei wurde ignoriert.
C:\Backup_RA_Micro\*****_Outlook\Backup_01_06_2012.pst
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Dienstag, 18. Dezember 2012 13:38
Benötigte Zeit: 4:19:14 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
109190 Verzeichnisse wurden überprüft
3938970 Dateien wurden geprüft
62 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
3938905 Dateien ohne Befall
104142 Archive wurden durchsucht
58 Warnungen
6 Hinweise
841027 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
|
18.12.2012, 20:46
| #11 |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion hi solltest evtl. deine Backups aufräumen, bzw die PST Dateien löschen und nur die aktuelle behalten lade den CCleaner standard: CCleaner Download - CCleaner 3.25.1872 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.12.2012, 09:49
| #12 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus, war gestern leider offline, hier die gewünschte Liste. Habe zwischenzeitlich die alten Backup-Ordner und *.pst wie angeregt entfernt. Ebenfalls JAVA gelöscht und neu installiert (Win 7 64-bit, Version 7.10), weil ich eine alte 32-bit Version hatte, die sich nicht automatisch updaten ließ (da kam immer ein .dll error, wenn ich die Update-Funktion von Java verwenden wollte). Code:
ATTFilter 7-Zip 9.20 (x64 edition) Igor Pavlov 09.11.2011 4,53MB 9.20.00.0 (notwendig) Adobe AIR Adobe Systems Incorporated 28.11.2012 3.4.0.2710 (notwendig) Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 13.12.2012 6,00MB 11.5.502.135 (notwendig) Adobe Flash Player 11 Plugin Adobe Systems Incorporated 12.12.2012 6,00MB 11.5.502.135 (notwendig) Adobe Reader X (10.1.4) - Deutsch Adobe Systems Incorporated 17.08.2012 122MB 10.1.4 (notwendig) AMD Catalyst Install Manager Advanced Micro Devices, Inc. 01.10.2011 22,7MB 3.0.842.0 (notwendig) Formulare 10.10.2011 (notwendig) Apple Application Support Apple Inc. 05.10.2012 65,0MB 2.2.2 (notwendig) Apple Mobile Device Support Apple Inc. 05.10.2012 23,7MB 6.0.0.59 (notwendig) Apple Software Update Apple Inc. 01.10.2011 2,38MB 2.1.3.127 (notwendig) Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver Atheros Communications Inc. 01.10.2011 1.0.0.18 (notwendig) Avira Free Antivirus Avira 11.12.2012 122MB 13.0.0.2890 (notwendig) Bonjour Apple Inc. 05.10.2012 2,04MB 3.0.0.10 (unbekannt) CCleaner Piriform 25.11.2012 (notwendig) 3.25 dBpoweramp DSP Effects Illustrate 09.10.2012 9,65MB Release 8 (notwendig) dBpoweramp Music Converter Illustrate 09.10.2012 15,7MB Release 14.3 (notwendig) DDBAC DataDesign 24.04.2012 8,65MB 4.3.77 (wohl notwendig, HBCI-Banking) Deaktivierungs-Add-on für Browser von Google Analytics Google Inc. 21.11.2011 227KB 0.9.1.0 (notwendig) Device Diagnosis Tool V1.1.0 Build: 20060112.1 KOBIL Systems 04.10.2011 1.1.0 (notwendig) Diablo III Blizzard Entertainment 22.08.2012 1.0.4.11327 (notwendig) DictaNet Mobile Player 04.10.2011 (notwendig) Dragon NaturallySpeaking 11 Nuance Communications Inc. 04.01.2012 2,90GB 11.50.100 (notwendig) ESET Online Scanner v3 17.12.2012 (notwendig) FileZilla Client 3.6.0.2 FileZilla Project 05.12.2012 17,1MB 3.6.0.2 (unnötig) Google Chrome Google Inc. 09.02.2012 23.0.1271.97 (notwendig) Google Earth Plug-in Google 23.04.2012 48,7MB 6.2.2.6613 (notwendig) Google Toolbar for Internet Explorer Google Inc. 24.09.2012 (notwendig) 7.4.3230.2052 (notwendig) HL-2250DN Brother Industries, Ltd. 03.10.2011 1.0.6.0 (notwendig) iTunes Apple Inc. 05.10.2012 180MB 10.7.0.21 (notwendig) Java 7 Update 10 (64-bit) Oracle 18.12.2012 127MB 7.0.100 (notwendig) JDownloader 0.9 AppWork GmbH 12.10.2011 0.9 (unnötig) KF Test Tool V1.0.0 Build: 20050207.1 04.10.2011 (notwendig, SmartCard-Tester) KOBIL Chipkartenterminal Treiber V2.2.11s Build: 20100615.1 KOBIL Systems 05.10.2011 2.2.11s (notwendig) MagicDisc 2.7.106 10.11.2011 (notwendig) Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation 11.12.2012 19,4MB 1.65.1.1000 (notwendig) Microsoft .NET Framework 4 Client Profile Microsoft Corporation 01.10.2011 38,8MB 4.0.30319 (notwendig) Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 01.10.2011 2,93MB 4.0.30319 (notwendig) Microsoft .NET Framework 4 Extended Microsoft Corporation 16.08.2012 51,9MB 4.0.30319 (notwendig) Microsoft IntelliPoint 8.2 Microsoft Corporation 02.02.2012 8.20.468.0 (notwendig) Microsoft Office 2007 Primary Interop Assemblies Microsoft Corporation 04.10.2011 8,50MB 12.0.4518.1014 (notwendig) Microsoft Office Enterprise 2007 Microsoft Corporation 01.10.2011 12.0.6425.1000 (notwendig) Microsoft Reader 04.10.2011 (unnötig) Microsoft SQL Server Compact 4.0 x64 DEU Microsoft Corporation 16.08.2012 20,4MB 4.0.8482.1 (notwendig) Microsoft Surface 2.0 Runtime Microsoft Corporation 28.11.2012 1,06MB 2.0.21114.00 (notwendig) Microsoft Surface Toolkit Runtime for Windows Touch Beta Microsoft Corporation 04.10.2011 231KB 1.5.10404.01 (notwendig) Microsoft Sync Framework 2.0 Core Components (x86) DEU Microsoft Corporation 04.10.2011 976KB 2.0.1578.0 (notwendig) Microsoft Sync Framework 2.0 Provider Services (x86) DEU Microsoft Corporation 04.10.2011 2,31MB 2.0.1578.0 (notwendig) Microsoft Sync Framework 2.1 Core Components (x86) DEU Microsoft Corporation 16.08.2012 1,00MB 2.1.1648.0 (notwendig) Microsoft Sync Framework 2.1 Provider Services (x86) DEU Microsoft Corporation 16.08.2012 2,32MB 2.1.1648.0 (notwendig) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 01.10.2011 240KB 9.0.30729 (notwendig) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 01.10.2011 596KB 9.0.30729.4148 (notwendig) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319 Microsoft Corporation 01.10.2011 13,6MB 10.0.30319 (notwendig) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 02.02.2012 11,1MB 10.0.40219 (notwendig) Microsoft Visual J# 2.0 Redistributable Package - SE (x64) Microsoft Corporation 12.10.2011 mIRC mIRC Co. Ltd. 05.10.2011 7.19 (notwendig) MSI Afterburner 2.1.0 MSI Co., LTD 01.10.2011 (notwendig) 2.1.0 MSI Kombustor 2.0.0 MSI Co., LTD 01.10.2011 31,1MB (notwendig) MSXML 4.0 SP2 (KB954430) Microsoft Corporation 06.10.2011 1,27MB 4.20.9870.0 (notwendig) MSXML 4.0 SP2 (KB973688) Microsoft Corporation 06.10.2011 1,33MB 4.20.9876.0 (notwendig) Notepad++ 27.03.2012 6.0 (notwendig) PDF-XChange 4 Tracker Software Products Ltd 28.11.2012 4.0.162.0 (unbekannt) PKH-fix 4.1 02.01.2012 (notwendig) QuickSFV Totally Useful Software, Inc. 06.10.2011 247KB 3.0.0 (unnötig) QuickTime Apple Inc. 05.10.2012 73,2MB 7.72.80.56 (notwendig) RA-MICRO Deinstallation RA-MICRO Software GmbH 16.08.2012 (notwendig) RA-MICRO Elster RA-MICRO GmbH & Co KGaA 10.12.2012 48,7MB 4.25.0000 (notwendig) RA-MICRO Infragistics 10.3 RA-MICRO Software GmbH 04.10.2011 39,3MB 10.01.30101 (notwendig) RA-MICRO Leadtools RA-MICRO Software GmbH 04.10.2011 45,9MB 2.01.0000 (notwendig) RA-MICRO Systemdateien RA-MICRO Software GmbH 04.10.2011 42,4MB 1.2.2010.0 (notwendig) Realtek High Definition Audio Driver Realtek Semiconductor Corp. 01.10.2011 6.0.1.5859 (notwendig) SchmerzensgeldBeträge 09.01.2012 SecCommerce SecSigner 3.6 SecCommerce Informationssysteme GmbH 10.12.2012 3.6 (notwendig) Spybot - Search & Destroy Safer-Networking Ltd. 14.12.2012 135MB 2.0.12 (notwendig) StarMoney 7.0 Star Finanz GmbH 04.10.2011 7.0 (notwendig) Steam Valve Corporation 10.11.2011 35,4MB 1.0.0.0 (notwendig) SUPERAntiSpyware SUPERAntiSpyware.com 17.12.2012 45,2MB 5.6.1010 (notwendig) TextControl 14.0 SP4 RA-MICRO Software GmbH 04.10.2011 6,14MB 2.00.0000 (notwendig) TreeMail RA-MICRO Software GmbH 04.10.2011 5,30MB 3.22.0000 (notwendig) Visual C++ 9.0 Runtime for Dragon NaturallySpeaking 64bit (x64) Nuance Communications Inc. 04.01.2012 38,0MB 11.0.0 (notwendig) VLC media player 1.1.11 VideoLAN 01.10.2011 1.1.11 (unnötig) µTorrent 28.10.2011 3.0.0 Lawyer |
|
20.12.2012, 12:53
| #13 |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: ESET : bei Bedarf instalieren. FileZilla Google Toolbar : finger weg von Toolbars, sind nur ein Zusatz Risiko und verlangsamen den Browser JDownloader PDF-XChange QuickSFV Spybot : Nutze besser, nach UPdate, von zeit zu Zeit Malwarebytes, Spybot bringt nicht... StarMoney : sollte mal ein Upgrade bekommen, aktuell ist version 8 SUPERAntiSpyware : kann auch weg, findet meist nur Kookies. VLC Öffne CCleaner, analysieren, starten, PC neustarten. Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.12.2012, 15:08
| #14 |
| | Keylogger/Trojaner nach GVU Infektion Hi Markus, alles erledigt, hier das Log: Code:
ATTFilter # AdwCleaner v2.101 - Datei am 20/12/2012 um 15:05:21 erstellt
# Aktualisiert am 16/12/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : ****** - *****
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\*****\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gefunden : C:\Program Files (x86)\Conduit
Ordner Gefunden : C:\ProgramData\Tarma Installer
Ordner Gefunden : C:\Users\*****\AppData\Local\Conduit
Ordner Gefunden : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc
Ordner Gefunden : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc
Ordner Gefunden : C:\Users\*****\AppData\LocalLow\Conduit
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2851647
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\leocdeigfnkaojcapikdjcdbedcjmffc
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16457
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Google Chrome v23.0.1271.97
Datei : C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [2196 octets] - [20/12/2012 15:05:21]
########## EOF - C:\AdwCleaner[R1].txt - [2256 octets] ##########
|
|
20.12.2012, 16:14
| #15 |
| /// Malware-holic | Keylogger/Trojaner nach GVU Infektion Hi,
Danach neustarten, teste bitte, wie der PC läuft + Browser, Wie Chrome, internet Explorer etc.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Keylogger/Trojaner nach GVU Infektion |
| administrator, anti-malware, antivir, autostart, board, bösartige, dateien, explorer, homebanking, infektion, infiziert, logdatei, minute, nichts, rechner, registrierung, sache, sachen, service, speicher, test, trojaner, version, windows-defender, zugriff |
Linear-Darstellung
