Hallo zusammen,

ich habe mir einen Snap.do-Trojaner eingefangen, der sich auch gleich als Standard-Suchmaschine eingenistet hat. Der Rechner wurde extrem langsam und ein Löschen des Programms über "Software" hat erst funktioniert, als ich das Internetkabel entfernt habe. Nun hat Malwarebytes weiteres Ungeziefer gefunden. Zuvor habe ich bereits mit AntiVir gescannt. Es ist ein Windows XP Rechner.

Die Log-Datei von Anti-Vir

Code: Alles auswählenAufklappen

ATTFilter

 Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 21. Dezember 2012  20:31

Es wird nach 4605120 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : EMACHINE-1E3265

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 10:24:19
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38
LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31
AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24
AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 22:37:35
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:04:37
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 14:45:14
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 13:18:21
VBASE008.VDF   : 7.11.50.231     2048 Bytes  22.11.2012 13:18:21
VBASE009.VDF   : 7.11.50.232     2048 Bytes  22.11.2012 13:18:21
VBASE010.VDF   : 7.11.50.233     2048 Bytes  22.11.2012 13:18:21
VBASE011.VDF   : 7.11.50.234     2048 Bytes  22.11.2012 13:18:21
VBASE012.VDF   : 7.11.50.235     2048 Bytes  22.11.2012 13:18:22
VBASE013.VDF   : 7.11.50.236     2048 Bytes  22.11.2012 13:18:22
VBASE014.VDF   : 7.11.51.27    133632 Bytes  23.11.2012 08:19:52
VBASE015.VDF   : 7.11.51.95    140288 Bytes  26.11.2012 17:10:27
VBASE016.VDF   : 7.11.51.221   164352 Bytes  29.11.2012 11:43:06
VBASE017.VDF   : 7.11.52.29    158208 Bytes  01.12.2012 13:58:47
VBASE018.VDF   : 7.11.52.91    116736 Bytes  03.12.2012 16:30:34
VBASE019.VDF   : 7.11.52.151   137728 Bytes  05.12.2012 17:29:49
VBASE020.VDF   : 7.11.52.225   157696 Bytes  06.12.2012 08:15:06
VBASE021.VDF   : 7.11.53.35    126976 Bytes  08.12.2012 17:12:23
VBASE022.VDF   : 7.11.53.55    225792 Bytes  09.12.2012 17:12:24
VBASE023.VDF   : 7.11.53.93    157184 Bytes  10.12.2012 10:20:15
VBASE024.VDF   : 7.11.53.169   153088 Bytes  12.12.2012 11:49:34
VBASE025.VDF   : 7.11.53.237   152064 Bytes  14.12.2012 20:59:02
VBASE026.VDF   : 7.11.54.23    149504 Bytes  17.12.2012 18:28:49
VBASE027.VDF   : 7.11.54.67    130048 Bytes  18.12.2012 20:24:40
VBASE028.VDF   : 7.11.54.68      2048 Bytes  18.12.2012 20:24:40
VBASE029.VDF   : 7.11.54.69      2048 Bytes  18.12.2012 20:24:40
VBASE030.VDF   : 7.11.54.70      2048 Bytes  18.12.2012 20:24:40
VBASE031.VDF   : 7.11.54.144   269824 Bytes  21.12.2012 12:04:40
Engineversion  : 8.2.10.224
AEVDF.DLL      : 8.1.2.10      102772 Bytes  27.07.2012 12:32:27
AESCRIPT.DLL   : 8.1.4.78      467323 Bytes  21.12.2012 12:04:46
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 20:59:04
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20
AERDL.DLL      : 8.2.0.74      643445 Bytes  07.11.2012 18:15:57
AEPACK.DLL     : 8.3.1.2       819574 Bytes  21.12.2012 12:04:45
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 17:49:40
AEHEUR.DLL     : 8.1.4.168    5628280 Bytes  21.12.2012 12:04:44
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 16:26:32
AEGEN.DLL      : 8.1.6.12      434549 Bytes  14.12.2012 20:59:03
AEEXP.DLL      : 8.3.0.4       184692 Bytes  21.12.2012 12:04:46
AEEMU.DLL      : 8.1.3.2       393587 Bytes  27.07.2012 12:31:09
AECORE.DLL     : 8.1.30.0      201079 Bytes  14.12.2012 20:59:02
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 17:49:35
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25
AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 10:24:19
AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23
AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 10:24:18
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24
NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 10:24:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 21. Dezember 2012  20:31

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'RealUpgrade.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'giant savings.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsiExec.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'fxssvc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'tosOBEX.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'mngr.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETService.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'mngr.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosAVRC.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHsp.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ReModem.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RealPlay.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2505' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4a3b8ac0-5070c08d
  [0] Archivtyp: ZIP
  --> fghngfyantc/arwcarvbhpsvgmsyngmfm.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AV.2
  --> fghngfyantc/chuyvctsnrmtamy.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.BQ
  --> fghngfyantc/cndvhpcmmfwhettmnusttc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.BT
  --> fghngfyantc/crccglmuwr.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.BR
  --> fghngfyantc/gjlfdvb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.LN
  --> fghngfyantc/gstedeuepqrnka.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.LP
  --> fghngfyantc/kbgqjaauryrudpe.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-4681.AO
  --> fghngfyantc/sndjuarfhd.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AW.2
  --> fghngfyantc/snyjbfpgtnuhuhvguytkutca.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.LQ
  --> fghngfyantc/vrlysw.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.BS

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4a3b8ac0-5070c08d
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Themod.BS
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 53cc698c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 21. Dezember 2012  21:55
Benötigte Zeit:  1:14:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  12030 Verzeichnisse wurden überprüft
 404688 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 404678 Dateien ohne Befall
  14173 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 416338 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Die Log-Datei von Malwarebytes.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.21.16

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Cäsar :: EMACHINE-1E3265 [Administrator]

22.12.2012 09:24:10
mbam-log-2012-12-22 (09-43-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225857
Laufzeit: 13 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\CROSSRIDER (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\Software\Crossrider|215AppVerifier (Adware.GamePlayLab) -> Daten: a54736d8143f9a90643c62f4c24fb2de -> Keine Aktion durchgeführt.
HKCU\Software\InstalledBrowserExtensions\215 Apps|4479 (PUP.CrossFire.SA) -> Daten: Giant Savings -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\hellomoto (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.
         

Die Log-Datei von OTL.

Code: Alles auswählenAufklappen

ATTFilter

 OTL logfile created on: 22.12.2012 09:48:29 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\Aus dem Internet heruntergeladen
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,17 Mb Total Physical Memory | 255,43 Mb Available Physical Memory | 25,16% Memory free
2,39 Gb Paging File | 1,58 Gb Available in Paging File | 66,33% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 137,05 Gb Total Space | 106,33 Gb Free Space | 77,58% Space Free | Partition Type: NTFS
Drive D: | 702,81 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: EMACHINE-1E3265 | User Name: Cäsar | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.12.22 09:47:43 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\Aus dem Internet heruntergeladen\OTL.exe
PRC - [2012.12.16 14:31:41 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.12.05 18:10:34 | 002,403,352 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe
PRC - [2012.09.29 19:54:26 | 000,981,656 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2012.09.17 11:41:54 | 000,254,896 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.08.11 16:43:06 | 000,055,184 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2012.07.18 17:04:42 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.07.18 17:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.07.18 17:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.07.18 17:04:22 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.08.08 09:49:15 | 000,273,544 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Update\realsched.exe
PRC - [2009.08.26 10:36:00 | 002,684,256 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
PRC - [2009.07.30 20:20:00 | 000,144,752 | ---- | M] (TOSHIBA CORPORATION) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
PRC - [2009.07.21 18:58:00 | 002,651,512 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe
PRC - [2009.07.07 09:44:00 | 000,341,320 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe
PRC - [2009.06.08 13:34:00 | 000,660,808 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
PRC - [2009.06.03 14:33:00 | 000,308,552 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
PRC - [2009.04.03 17:17:00 | 000,447,816 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
PRC - [2008.07.24 10:24:00 | 000,083,272 | ---- | M] (TOSHIBA CORPORATION.) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
PRC - [2008.07.16 13:00:00 | 000,024,576 | ---- | M] () -- C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.05.17 22:45:33 | 000,271,720 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft LifeCam\MSCamS32.exe
PRC - [2007.04.10 22:46:52 | 000,709,992 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\vVX1000.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.16 14:31:41 | 001,014,744 | ---- | M] () -- C:\Programme\Mozilla Firefox\js3250.dll
MOD - [2012.12.13 12:48:52 | 014,586,296 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll
MOD - [2012.12.05 18:10:34 | 002,403,352 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe
MOD - [2012.12.05 18:09:41 | 002,148,376 | ---- | M] () -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll
MOD - [2012.12.05 18:09:28 | 000,540,184 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension\components\mngr-3.6.dll
MOD - [2012.11.20 12:49:33 | 000,998,400 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\d8ca3b9fefcda19eeecd55c239f504ba\System.Management.ni.dll
MOD - [2012.11.14 15:09:27 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\31b7eef43a23e7c6e93594be583f3d08\System.ServiceProcess.ni.dll
MOD - [2012.11.14 15:09:13 | 000,771,584 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\d7ec47c4afad694faa491abd6b45928a\System.Runtime.Remoting.ni.dll
MOD - [2012.11.14 15:03:58 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\6585a5fcaaa1b49b9a1bd9ca5c5c306e\System.Windows.Forms.ni.dll
MOD - [2012.11.14 15:03:13 | 001,592,320 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\da4bcb702feb770ce40cf1371b0c4d02\System.Drawing.ni.dll
MOD - [2012.11.14 14:58:47 | 007,977,472 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\90ad0c96693527ae685ff40019bb33b0\System.ni.dll
MOD - [2012.11.14 14:58:23 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\3add69b075f3da012fb97ce00cd795c0\mscorlib.ni.dll
MOD - [2012.10.11 21:56:46 | 000,087,952 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2012.10.11 21:56:22 | 001,242,512 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2012.07.18 17:04:34 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.07.11 15:36:44 | 000,270,336 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\log4net\1.2.10.0__1b44e1d426115821\log4net.dll
MOD - [2009.07.11 15:36:44 | 000,036,864 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Utility\3.0.3010.0__4df5dcab8860d239\Framework.Utility.dll
MOD - [2009.07.11 15:36:43 | 000,061,440 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Library\3.0.3010.0__3036420f80dd6947\Framework.Library.dll
MOD - [2009.07.11 15:36:43 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Utility.CommonFunctions\3.0.3010.0__770d2a375f176870\Framework.Utility.CommonFunctions.dll
MOD - [2009.07.11 15:36:43 | 000,032,768 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Model.Controller\3.0.3010.0__14bcaafdb44b5951\Framework.Model.Controller.dll
MOD - [2009.07.11 15:36:43 | 000,015,360 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Host\3.0.3010.0__672b450de5a7e94a\Framework.Host.dll
MOD - [2009.07.11 15:36:43 | 000,009,216 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.Model.ControllerInterface\3.0.3010.0__d842b71b4d6ed079\Framework.Model.ControllerInterface.dll
MOD - [2009.07.11 15:36:43 | 000,006,144 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\Framework.PluginInterface\3.0.3010.0__9ecdf03bb2054f94\Framework.PluginInterface.dll
MOD - [2008.07.16 13:00:00 | 000,024,576 | ---- | M] () -- C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Programme\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Programme\Norton Internet Security\Engine\16.0.0.125\diMaster.dll /prefetch:1 -- (Norton Internet Security)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.12.13 12:48:54 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.12.05 18:10:34 | 002,403,352 | ---- | M] () [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -- (Browser Manager)
SRV - [2012.08.11 16:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012.07.18 17:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.07.18 17:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009.07.30 20:20:00 | 000,144,752 | ---- | M] (TOSHIBA CORPORATION) [Auto | Running] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
SRV - [2008.07.16 13:00:00 | 000,024,576 | ---- | M] () [Auto | Running] -- C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe -- (ETService)
SRV - [2007.05.17 22:45:33 | 000,271,720 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2006.10.27 08:36:32 | 000,303,104 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe -- (RoxLiveShare9)
SRV - [2006.10.27 08:35:16 | 000,880,640 | ---- | M] (Sonic Solutions) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9)
SRV - [2006.10.27 08:33:00 | 000,159,744 | ---- | M] (Sonic Solutions) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe -- (RoxWatch9)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX)
DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- c:\acernb\int15.sys -- (int15.sys)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.12.22 09:22:11 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2012.07.18 17:04:42 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.07.18 17:04:42 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.07.18 17:04:42 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.08.28 10:49:00 | 000,169,064 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)
DRV - [2009.08.10 15:54:00 | 000,059,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)
DRV - [2009.08.05 13:44:00 | 000,049,400 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)
DRV - [2009.07.28 19:01:00 | 000,069,480 | ---- | M] (TOSHIBA Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)
DRV - [2009.07.24 10:31:00 | 000,021,608 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)
DRV - [2009.06.17 10:59:00 | 000,046,984 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)
DRV - [2009.06.11 13:05:00 | 000,036,992 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - [2009.05.20 09:23:00 | 000,074,368 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)
DRV - [2009.02.20 08:45:28 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.02.20 08:43:38 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.02.20 08:42:26 | 005,030,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2009.01.12 10:18:47 | 000,111,360 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008.07.16 12:56:06 | 000,015,392 | ---- | M] (Acer, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\int15.sys -- (int15)
DRV - [2007.04.10 22:46:53 | 001,966,312 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VX1000.sys -- (VX1000)
DRV - [2006.10.27 12:19:26 | 000,050,688 | ---- | M] (Sonic Solutions) [File_System | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\RxFilter.sys -- (RxFilter)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=0&o=xph&d=0709&m=el1600
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=0&o=xph&d=0709&m=el1600
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&s=0&o=xph&d=0709&m=el1600
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_4&babsrc=SP_ss&mntrId=5e24c6ab000000000000002511087ba6
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW_deDE335
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Google"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=hp"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}:6.0.32
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}:6.0.37
FF - prefs.js..extensions.enabledItems: crossriderapp4479@crossrider.com:0.86.44
FF - prefs.js..extensions.enabledItems: {58bd07eb-0ee0-4df0-8121-dc9b693373df}:2.5.976.107
FF - prefs.js..keyword.URL: "hxxp://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoEMon&co=DE&userid=0dc93be0-7147-48eb-8dcf-fd3f73ba2708&searchtype=ds&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8051.1204: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647: c:\programme\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647: c:\programme\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.660: c:\programme\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.08.08 09:49:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.12.16 14:31:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.28\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.12.16 14:31:52 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012.12.12 00:34:28 | 000,000,000 | ---D | M]
 
[2009.07.12 11:43:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Extensions
[2012.12.22 09:44:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions
[2011.03.08 13:01:48 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.11.25 14:16:03 | 000,000,000 | ---D | M] ("Giant Savings") -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions\crossriderapp4479@crossrider.com
[2012.11.25 12:54:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions\ffxtlbr@babylon.com
[2012.12.22 09:22:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions\staged
[2012.11.25 14:16:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\extensions\crossriderapp4479@crossrider.com\chrome\content\extensionCode
[2012.12.21 13:14:37 | 000,002,395 | ---- | M] () -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Mozilla\Firefox\Profiles\q5ars8c7.default\searchplugins\Web Search.xml
[2012.12.20 10:22:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.06.18 20:56:22 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.22 19:01:50 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.12.23 10:09:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.04 19:29:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.06.27 11:58:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2012.04.29 09:08:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}
[2012.07.21 09:20:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2012.10.27 18:55:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2012.12.12 00:34:28 | 000,000,000 | ---D | M] (Browser Manager) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\BROWSER MANAGER\2.5.976.107\{C16C1CCB-7046-4E5C-A2F3-533AD2FEC8E8}\FIREFOXEXTENSION
File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\CäSAR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Q5ARS8C7.DEFAULT\EXTENSIONS\{20A82645-C095-46ED-80E3-08825760534B}
File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\CäSAR\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Q5ARS8C7.DEFAULT\EXTENSIONS\CROSSRIDERAPP4479@CROSSRIDER.COM
[2012.04.29 09:07:55 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012.12.16 14:31:46 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.12.16 14:31:47 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.12.16 14:31:47 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.12.16 14:31:47 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.12.16 14:31:47 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Giant Savings) - {11111111-1111-1111-1111-110011441179} - C:\Programme\Giant Savings\Giant Savings.dll (215 Apps)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [ITSecMng] C:\Programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe (TOSHIBA CORPORATION)
O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\programme\update\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VX1000] C:\WINDOWS\vVX1000.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WarReg_PopUp] C:\Programme\eMachines\WR_PopUp\WarReg_PopUp.exe (eMachines)
O4 - HKCU..\Run: [Power2GoExpress] NA File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {B07F54E6-0806-47DB-B5D8-398F240776F2} file:///D:/viewer/ORDcmViewCD.ocx (ORDcmViewCD Control)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DF1C3077-BC2C-4643-AE17-9B226958584E}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (c:\dokume~1\alluse~1\anwend~1\browse~1\25976~1.107\{c16c1~1\mngr.dll) - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ()
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Cäsar\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.26 02:50:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{e3849b42-d2ff-11e1-b47c-002511087ba6}\Shell - "" = AutoRun
O33 - MountPoints2\{e3849b42-d2ff-11e1-b47c-002511087ba6}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e3849b42-d2ff-11e1-b47c-002511087ba6}\Shell\AutoRun\command - "" = G:\SetupPuma.exe
O33 - MountPoints2\{e3849b42-d2ff-11e1-b47c-002511087ba6}\Shell\menu1\command - "" = G:\SetupPuma.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.22 09:22:11 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.12.16 13:52:36 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Cäsar\Startmenü\Programme\Verwaltung
[2012.11.25 13:50:30 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll
[2012.11.25 13:50:30 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll
[2012.11.25 13:50:30 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2012.11.25 13:50:30 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll
[2012.11.25 13:50:21 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2012.11.25 13:22:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2012.11.25 13:21:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\TuneUp Software
[2012.11.25 13:21:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2012.11.25 13:21:04 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012.11.25 13:21:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2012.11.25 13:17:37 | 000,216,064 | RHS- | C] (MONOGRAM Multimedia, s.r.o.) -- C:\WINDOWS\System32\nbDX.dll
[2012.11.25 13:17:37 | 000,163,328 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\flvDX.dll
[2012.11.25 13:17:37 | 000,031,232 | RHS- | C] (Hans Mayerl) -- C:\WINDOWS\System32\msfDX.dll
[2012.11.25 13:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SUPER © - by eRightSoft
[2012.11.25 13:17:36 | 000,186,880 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLOgg.ax
[2012.11.25 13:17:36 | 000,161,792 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\RealMediaDX.ax
[2012.11.25 13:17:36 | 000,092,672 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLVorbisDec.ax
[2012.11.25 13:17:36 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSSplitter.ax
[2012.11.25 13:17:36 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSDecoder.ax
[2012.11.25 13:17:36 | 000,067,584 | RHS- | C] (RadLight, LLC) -- C:\WINDOWS\System32\RLTheoraDec.ax
[2012.11.25 13:17:35 | 000,179,200 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\DiracSplitter.ax
[2012.11.25 13:17:35 | 000,123,904 | RHS- | C] (CoreCodec) -- C:\WINDOWS\System32\AVCDX.ax
[2012.11.25 13:16:35 | 000,000,000 | ---D | C] -- C:\Programme\eRightSoft
[2012.11.25 12:54:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\VideoConverterPackages
[2012.11.25 12:54:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager
[2012.11.25 12:54:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Cäsar\Lokale Einstellungen\Anwendungsdaten\Giant Savings
[2012.11.25 12:54:12 | 000,000,000 | ---D | C] -- C:\Programme\Giant Savings
[2012.11.25 12:53:59 | 000,000,000 | ---D | C] -- C:\Programme\VideoConverter
[2012.11.25 12:53:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Babylon
[2012.11.25 12:53:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2012.11.25 10:39:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime
[2012.11.25 10:39:13 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2012.11.25 10:35:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2012.11.25 10:34:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer
[2012.11.25 10:33:31 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2012.11.25 10:31:33 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2012.11.25 10:31:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoLAN
[2011.08.08 09:50:13 | 000,016,896 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\wmdmhelper.dll
[2011.08.08 09:50:10 | 000,641,024 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rjbres.dll
[2011.08.08 09:50:10 | 000,360,960 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rjdlg.dll
[2011.08.08 09:50:10 | 000,139,264 | ---- | C] (Inner Media, Inc.) -- C:\Programme\dunzip32.dll
[2011.08.08 09:50:10 | 000,045,056 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\ierjplug.dll
[2011.08.08 09:50:10 | 000,034,304 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rjprog.dll
[2011.08.08 09:50:09 | 001,115,376 | ---- | C] (Gracenote) -- C:\Programme\cddbmusicid.dll
[2011.08.08 09:50:09 | 000,009,216 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\fixrjb.exe
[2011.08.08 09:50:08 | 000,943,344 | ---- | C] (Gracenote) -- C:\Programme\cddblink.dll
[2011.08.08 09:50:06 | 002,041,072 | ---- | C] (Gracenote, Inc.) -- C:\Programme\cddbcontrol.dll
[2011.08.08 09:50:06 | 000,074,240 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\tsasdk.dll
[2011.08.08 09:50:06 | 000,045,056 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\mmcdda32.dll
[2011.08.08 09:50:06 | 000,023,552 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\tnetdtct.dll
[2011.08.08 09:50:05 | 000,048,640 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\tpasdk.dll
[2011.08.08 09:50:04 | 000,067,072 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rpwa3260.dll
[2011.08.08 09:50:03 | 000,045,744 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rpshellsearch.dll
[2011.08.08 09:49:55 | 000,368,776 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\realconverter.exe
[2011.08.08 09:49:55 | 000,344,712 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\convert.exe
[2011.08.08 09:49:51 | 000,390,384 | ---- | C] (MainConcept GmbH) -- C:\Programme\mc_enc_mp4v.dll
[2011.08.08 09:49:48 | 000,372,864 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\realtrimmer.exe
[2011.08.08 09:49:48 | 000,120,960 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\realshare.exe
[2011.08.08 09:49:45 | 000,719,360 | ---- | C] (Microsoft Corporation) -- C:\Programme\dbghelp.dll
[2011.08.08 09:49:44 | 000,072,192 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rjwmapln.dll
[2011.08.08 09:49:42 | 000,046,592 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rpau3260.dll
[2011.08.08 09:49:23 | 000,026,768 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rndevicedbbuilder.exe
[2011.08.08 09:49:22 | 000,088,064 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\hxaudiodevicehook.dll
[2011.08.08 09:49:21 | 000,116,392 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rdsf3260.dll
[2011.08.08 09:49:21 | 000,086,528 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rpplugprot.dll
[2011.08.08 09:49:21 | 000,064,672 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rpshell.dll
[2011.08.08 09:49:19 | 000,017,064 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\rphelperapp.exe
[2011.08.08 09:49:19 | 000,009,728 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\realjbox.exe
[2011.08.08 09:49:18 | 000,490,112 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\realplay.exe
[2011.08.08 09:49:16 | 000,415,416 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\recordingmanager.exe
[11 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.22 09:48:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.12.22 09:39:14 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.12.22 09:22:11 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012.12.22 09:18:19 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\LogConfigTemp.xml
[2012.12.22 09:18:00 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-720897496-2247778763-3148463538-1005.job
[2012.12.22 09:17:58 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.12.22 09:17:57 | 000,000,286 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-720897496-2247778763-3148463538-500.job
[2012.12.22 09:17:57 | 000,000,272 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-18.job
[2012.12.22 09:17:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.12.22 09:17:52 | 1064,554,496 | -HS- | M] () -- C:\hiberfil.sys
[2012.12.21 22:05:29 | 000,000,758 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.12.21 20:18:13 | 000,303,624 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.12.21 13:03:30 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.12.16 13:53:04 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-720897496-2247778763-3148463538-1005.job
[2012.12.14 22:11:41 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012.12.13 14:26:27 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.11.25 10:39:34 | 000,001,586 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2012.11.25 10:31:20 | 000,000,693 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2012.11.25 10:16:43 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\Cäsar\Desktop\Windows Media Player.lnk
[2012.11.25 09:24:55 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\umdf\Msft_User_WpdMtpDr_01_00_00.Wdf
[11 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.11.25 13:50:30 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2012.11.25 13:17:37 | 000,121,344 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.ax
[2012.11.25 13:17:37 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
[2012.11.25 13:17:36 | 000,195,584 | RHS- | C] () -- C:\WINDOWS\System32\MatroskaDX.ax
[2012.11.25 13:17:36 | 000,120,832 | RHS- | C] () -- C:\WINDOWS\System32\MPCDx.ax
[2012.11.25 13:17:36 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\RLMPCDec.ax
[2012.11.25 13:17:36 | 000,097,280 | RHS- | C] () -- C:\WINDOWS\System32\FLACDX.ax
[2012.11.25 13:17:36 | 000,070,656 | RHS- | C] () -- C:\WINDOWS\System32\RLAPEDec.ax
[2012.11.25 13:17:36 | 000,051,712 | RHS- | C] () -- C:\WINDOWS\System32\RLSpeexDec.ax
[2012.11.25 13:17:35 | 000,227,328 | RHS- | C] () -- C:\WINDOWS\System32\ac3DX.ax
[2012.11.25 13:17:35 | 000,175,104 | RHS- | C] () -- C:\WINDOWS\System32\CoreAAC.ax
[2012.11.25 13:17:35 | 000,081,920 | RHS- | C] () -- C:\WINDOWS\System32\aac_parser.ax
[2012.11.25 10:39:34 | 000,001,586 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2012.11.25 10:31:19 | 000,000,693 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2012.02.15 20:21:45 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.21 19:52:10 | 000,000,057 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2011.08.08 09:50:10 | 000,002,851 | ---- | C] () -- C:\Programme\cdroms.cfg
[2011.08.08 09:50:04 | 000,119,808 | ---- | C] () -- C:\Programme\waiting.avi
[2011.08.08 09:50:04 | 000,057,762 | ---- | C] () -- C:\Programme\howto.chm
[2011.08.08 09:50:04 | 000,027,278 | ---- | C] () -- C:\Programme\frw.bmp
[2011.08.08 09:50:04 | 000,016,296 | ---- | C] () -- C:\Programme\realtfon.fon
[2011.08.08 09:50:03 | 000,067,473 | ---- | C] () -- C:\Programme\realplay.chm
[2011.08.08 09:49:55 | 000,798,096 | ---- | C] () -- C:\Programme\converter.vs
[2011.08.08 09:49:48 | 000,045,443 | ---- | C] () -- C:\Programme\sharemedia.vs
[2011.08.08 09:49:47 | 000,001,209 | ---- | C] () -- C:\Programme\flvplay.swf
[2011.08.08 09:49:42 | 000,056,750 | ---- | C] () -- C:\Programme\RealNetworks License.html
[2011.08.08 09:49:42 | 000,056,750 | ---- | C] () -- C:\Programme\playrlic.html
[2011.08.08 09:49:38 | 000,055,043 | ---- | C] () -- C:\Programme\presets.rnx
[2011.08.08 09:49:37 | 000,000,480 | ---- | C] () -- C:\Programme\keys.dat
[2011.08.08 09:49:35 | 000,967,303 | ---- | C] () -- C:\Programme\normal.vs
[2011.08.08 09:49:35 | 000,061,495 | ---- | C] () -- C:\Programme\ssimages.vs
[2011.08.08 09:49:21 | 000,001,161 | ---- | C] () -- C:\Programme\autoplaylist.dat
[2011.08.08 09:49:21 | 000,000,043 | ---- | C] () -- C:\Programme\strs23.dat
[2011.08.08 09:49:21 | 000,000,013 | ---- | C] () -- C:\Programme\strs26.dat
[2011.08.08 09:49:18 | 000,017,846 | ---- | C] () -- C:\Programme\videotest.rm
[2011.08.08 09:49:18 | 000,000,221 | ---- | C] () -- C:\Programme\subscription.rnx
[2011.08.08 09:49:18 | 000,000,177 | ---- | C] () -- C:\Programme\freeoffers.rnx
[2011.05.25 20:14:07 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat
[2011.05.25 20:13:24 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2011.05.25 20:08:42 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010.11.25 11:45:30 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Cäsar\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.11.06 18:43:04 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\wklnhst.dat
[2010.02.22 19:33:00 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Cäsar\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2009.02.26 03:24:52 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 13:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.12.22 09:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2012.11.25 12:53:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2012.12.13 12:43:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Browser Manager
[2012.11.25 13:21:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2010.06.20 13:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PDF Writer
[2011.06.27 11:52:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2010.04.03 20:10:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
[2012.11.25 13:22:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.07.12 12:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
[2011.09.11 10:53:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.11.25 13:21:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012.11.25 12:53:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Babylon
[2012.07.12 10:29:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\hellomoto
[2010.06.20 13:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\PDF Writer
[2011.12.28 12:13:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\ScanSoft
[2010.11.06 18:43:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\Template
[2012.11.25 13:21:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\TuneUp Software
[2012.11.25 12:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Cäsar\Anwendungsdaten\VideoConverterPackages
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2012.07.20 20:00:49 | 000,000,000 | ---D | M](C:\Dokumente und Einstellungen\Cäsar\Desktop\??????? ??????????) -- C:\Dokumente und Einstellungen\Cäsar\Desktop\Зарядка Бубновский
[2012.07.05 22:31:13 | 000,000,000 | ---D | C](C:\Dokumente und Einstellungen\Cäsar\Desktop\??????? ??????????) -- C:\Dokumente und Einstellungen\Cäsar\Desktop\Зарядка Бубновский
[2011.03.04 18:40:13 | 000,017,887 | ---- | M] ()(C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\???? ???????????? ?????? ?????? ??? ???.docx) -- C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\Чтоб заработанные деньги любили Ваш дом.docx
[2011.03.04 18:40:13 | 000,017,887 | ---- | C] ()(C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\???? ???????????? ?????? ?????? ??? ???.docx) -- C:\Dokumente und Einstellungen\Cäsar\Eigene Dateien\Чтоб заработанные деньги любили Ваш дом.docx
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 76 bytes -> C:\Dokumente und Einstellungen\Cäsar\Desktop\Desktop:Roxio EMC Stream

< End of report >
         

Vielen Dank schon mal im Voraus.

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Gelesen und verstanden?


Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder,
besten Dank für die schnelle Antwort. Nun stehe ich allerdings vor einem schwierigeren Problem. Gerade wollte ich den Rechner wieder hochfahren, da meldet er mir folgenden Fehler gleich beim booten:

Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist:
<Windows root>\system32\hal.dll
Installieren Sie ein Exemplar der oben angegeben Datei erneut.

Heißt das "Neuformatieren"?

Nicht zwangsläufig. Aber was hast du denn gemacht, dass es dazu kommt?

Ich hatte nur die Scans die oben aufgelistet sind gemacht. Bei AntiVir gab es 10 Funde, einer davon wurde zum Löschen angeboten. Das habe ich gemacht und der Rechner hat noch wunderbar funktioniert. Als ich ihn nun nach ein paar Stunden wieder hochfahren wollte, kam gleich automatisch die Fehlermeldung.

Bei sowas ist es schwer das wiederherzustellen.

Hast du deine XP CD zur Hand?

Soweit ich mich erinnere, habe ich keine angefertigt. Der Sticker mit der Lizenz klebt aber noch am Rechner. Ich hab versucht über den abgesicherten Modus zu starten und auf einen früheren Wiederherstellungszeitpunkt zu gehen. Hat aber alles nicht geklappt. Kann man so eine CD evtl mit einer Testversion (von Windows) geladen mit einem anderen Rechner erstellen?

Ich schätze dann geht an einem Neuaufsetzen nichts vorbei.

Ich müsste dann sozusagen eine neue CD Microsoft bestellen? Gibt es da keinen anderen Weg? Den Key habe ich ja dran.

Oder bei ebay kaufen. Dir muss aber klar sein, dass XP ohnehin veraltet ist und der Support auch in etwas mehr als einem Jahr ausläuft. Evtl wäre ein Umstieg auf Windows 7 durchaus ratsam.

Alles klar. Danke dennoch für die Hilfe. Das nächste Mal lösche ich nichts so einfach. Frohes Fest und ein gesundes neues Jahr

Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/