| |
| |||||||
Log-Analyse und Auswertung: Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.01.2013, 05:33
| #1 |
| |  Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Liebes Trojaner-Board Team, leider muss ich etwas ausholen: Ich habe das Laptop im August/September neu aufgesetzt, weil er sehr langsam war und ich mich plötzlich nicht mehr auf dem Server meines Chefs einloggen konnte! Doch direkt danach: Hat mir das Netzwerk meines Chefs gesagt, dass das kein sicheres Laptop ist und er mich nicht ins Netz lässt! (Ich habe keinen Verdacht geschöpft, denn da konnte ja kein Virus sein, das Laptop ist ja soeben erst formatiert und neu aufgesetzt worden  )Außerdem war/ist es immer noch langsam und beim Seitenaufbau und Programm/e öffnen ging es sogar noch langsamer, es wurde sehr heiß - schon beim Starten - und seit etwa Mitte/Ende Oktober kam dann ab-und-zu plötzliches Abschalten ohne Vorwarnung dazu und keinerlei Fehlermeldung, beim Neustart! Seit 08.01.2013 20.00h läuft es - nach einer "Inspektion": Keine Änderung am Tempo, aber er bleibt an und wird nicht mehr heiß!!! Das Gerät wurde mit Druckluft durch geblasen, da sich der Lüfter/Kühler/Ventilator mit Staub zugesetzt hatte! Beim ersten Öffnen des Firefox, ist mir dann eine Toolbar entgegen gesprungen, die da nicht sein sollte! Der "Inspekteur" hat mir versichert, das er keine Programme außer einem Diagnoseprogramm (SpeedFan) installiert hat und dieses nach getaner Arbeit wieder gelöscht hat! Nach meiner Nachforschung stellte sich herraus, das "etwas" einfach verschiedene Software installiert hat! Ist schon deinstalliert, da ich da noch keinen Verdacht geschöpft hatte!!! Es handelte sich um eine Toolbar, eine Suchmaschine für Sozialenetzwerke und ein Programm, das mir nicht mehr einfällt! Bei der Suche nach weiterer ungewollter Software ist mir auch das Programm "SAVING SIDEKICK" begegnet! Es ist laut Installationsdatum schon vom 02.09.2012!!! Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet! Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert! Nach dem Check von Malwarebytes habe ich aber noch nichts gelöscht! Die nun 4 *.txt-Dateien sind im Anhang - editiert! Ach so, mse von microsoft hat NIE auch nur irgendetwas angemeckert!!! Auch gestern/heute nicht! Könntet Ihr mir ein Programm empfehlen? Ich überlege mir gData InternetSecurity 2013 zuzulegen!? Och nööö, jetzt fängt der Thunderbird an rum zu spinnen - er informiert mich über Mails, obwohl er geschlossen ist! So, ich hoffe ich habe nichts vergessen! Es wäre sehr nett, wenn sich jemand aus dem Team auch um diesen Pflegefall kümmern könnte! Vielen ♥-lichen Dank schon mal im Voraus!!!  Mit hoffnungsvollen Grüßen Pia A. aka. -Hicks- |
|
09.01.2013, 12:27
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Hallo und
__________________ Zitat:
Siehe => http://www.trojaner-board.de/108422-...-anfragen.html Zitat:
__________________ |
|
09.01.2013, 16:52
| #3 |
| | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Hallöle,
__________________kann ich gut nachvollziehen, dass Ihr keine Firmenrechner bearbeitet!  Zur Er-/Klärung: Mein Chef hat eine Ein-Personen-Firma (Darf ich Euch den Namen nennen? Es ist ein Onlineshop für Druckerzubehör und ein wenig Bürobedarf), bei der ich als Minijober MANCHMAL für Rechnungen zuständig bin - von zu hause aus! Höchstens 50Std im Monat! Es gibt keinen IT-Support in dieser Firma! Seit der Neuinstallation im September ist dieses Laptop nicht mehr für gewerbliche Dinge genutzt worden, da sich ja nichts an dem Problem geändert hatte! - Die Verbindungsmöglichkeit zum Server haben WIR also gar nicht mehr eingerichtet! Fazit: Es sind keine Firmendaten o.ä. auf dem Rechner! Nur Privatkram! - Mein Chef weiß noch gar nicht, das ich einen Trojaner eingefangen habe! Humor ist, wenn man trotzdem lacht! Bin ich jetzt bei Euch richtig? Bitte! Auf eine Spende dürft Ihr Euch dann AUF JEDEN FALL freuen/gefasst machen!!! Mit freundlichem Gruß Pia A. aka. -Hicks- Geändert von -Hicks- (09.01.2013 um 17:24 Uhr) |
|
09.01.2013, 23:42
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
10.01.2013, 10:09
| #5 | |
| | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefundenZitat:
alles was ich habe ist in der nochmals angehängten zip-Datei (logfiles.zip) - diese Datei beinhaltet die txt-Dateien aus den "geforderten ersten drei Schritten" (Checkliste)! D.h. OTL.txt, EXTRAS.txt und Gmer.txt - zusätzlich ist die malwarebytes-txt-Datei mit bei! Da ich grad kein zweites Zitat hinbekomme, mache ich das mal so: ZITAT aus meiner ersten Mail: "Daraufhin habe ich im Internet geschaut was das ist und bin dabei auf Eurer Seite gelandet! Hier habe ich mir einige Threads durchgelesen und dann Punkt 1-3 abgehakt, malwarebytes (quick) durchlaufen lassen und mich dann registriert! Nach dem Check von Malwarebytes habe ich aber noch nichts gelöscht! Die nun 4 *.txt-Dateien sind im Anhang - editiert!" ZITATENDE Die Dateien sind alle fertig editiert. Ach, ich habe bei Malwarebytes nicht den QUICK-scan sondern den VOLLSTÄNDIGEN-scan durchlaufen lassen! mse von Microsoft hat NIE irgendwelche Funde gehabt! Also habe ich auch gar keine anderen log Dateien! Vielen Dank für die Mühe! MfG Pia A. aka. -Hicks- |
|
10.01.2013, 16:48
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen? Logfiles im Anhang erschweren die Auswertung massivst Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.
__________________ --> Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden |
|
12.01.2013, 11:38
| #7 |
| | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Guten Tag, *Zähne knirsch* Auf der Seite der Checkliste steht eine Anleitung von "Da GuRu", aus der ich das so übernommen habe! *doppelt Zähne knirsch* Vielleicht hätte ich mir nicht nur die Anleitung durchlesen sollen, sondern auch die Überschrift! *peinlich* Ich versuche es jetzt nochmal nach Deiner Anleitung! Ok!? Ist mir echt unangenehm! Sorry! 1. OTL Code:
ATTFilter OTL logfile created on: 09.01.2013 02:07:16 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop 64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free 7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS Computer Name: PINK | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.12.18 09:10:54 | 001,807,800 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_5_502_135.exe PRC - [2012.12.01 00:20:08 | 000,916,960 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe PRC - [2012.11.20 18:02:32 | 000,388,576 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe PRC - [2012.09.06 12:12:20 | 000,162,408 | ---- | M] (Geek Software GmbH) -- C:\Program Files (x86)\PDF24\pdf24.exe PRC - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () -- C:\ProgramData\IBUpdaterService\ibsvc.exe PRC - [2009.11.04 12:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe PRC - [2009.10.13 18:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files (x86)\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe PRC - [2009.06.03 19:59:02 | 000,103,720 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe PRC - [2009.04.15 22:52:06 | 000,091,432 | ---- | M] (CyberLink Corp.) -- C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe PRC - [2009.03.30 14:00:54 | 000,221,184 | ---- | M] (Brother Industries, Ltd.) -- C:\Program Files (x86)\Brother\Brmfcmon\BrMfcmon.exe ========== Modules (No Company Name) ========== MOD - [2012.12.18 09:10:53 | 014,586,296 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll MOD - [2012.12.01 00:19:39 | 002,397,152 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll MOD - [2012.11.20 18:02:36 | 002,240,992 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\mozjs.dll MOD - [2012.11.20 18:02:35 | 000,157,664 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll MOD - [2012.11.20 18:02:35 | 000,021,984 | ---- | M] () -- C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll MOD - [2011.03.16 23:11:16 | 004,297,568 | ---- | M] () -- C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf MOD - [2009.06.03 19:59:14 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll MOD - [2009.06.03 19:59:02 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll MOD - [2009.02.27 15:38:20 | 000,139,264 | R--- | M] () -- C:\Program Files (x86)\Brother\BrUtilities\BrLogAPI.dll MOD - [2006.08.12 11:48:40 | 000,049,152 | ---- | M] () -- C:\Program Files (x86)\Samsung\Easy Display Manager\HookDllPS2.dll ========== Services (SafeList) ========== SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.12.01 00:20:07 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.09.12 20:21:48 | 000,368,896 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Security Client\NisSrv.exe -- (NisSrv) SRV - [2012.09.12 20:21:48 | 000,022,072 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc) SRV - [2012.09.02 19:03:48 | 000,660,960 | ---- | M] () [Auto | Running] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.01.09 20:34:24 | 004,925,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - [2012.10.24 00:54:14 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2012.10.24 00:54:14 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport) DRV:64bit: - [2012.08.30 21:03:48 | 000,128,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NisDrvWFP.sys -- (NisDrv) DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2011.12.13 02:32:22 | 002,797,056 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr) DRV:64bit: - [2011.10.05 13:51:44 | 000,083,488 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA) DRV:64bit: - [2011.09.20 19:43:34 | 002,793,568 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\athwx.sys -- (AR5416) DRV:64bit: - [2011.09.14 14:58:38 | 000,398,112 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\yk62x64.sys -- (yukonw7) DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.20 14:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.05.28 14:38:04 | 000,013,824 | ---- | M] (SAMSUNG ELECTRONICS) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\SABI.sys -- (SABI) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.msn.com/?ocid=EIE9HP&PC=UP50 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=hp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AF 66 D6 DC 90 88 CD 01 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.snap.do/?publisher=SnapdoW3i&dpid=SnapdoW3i&co=DE&userid=72d31981-84b3-49a4-b0dc-ae9be9a2deb8&searchtype=ds&q={searchTerms} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - user.js - File not found FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files (x86)\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.11.11 11:36:34 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\specialsavings@superfish.com: C:\Users\Pia Albrecht\AppData\Roaming\Mozilla\Firefox\Profiles/psex1rw3.default\extensions\specialsavings@superfish.com FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.12.01 00:20:08 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.09.01 23:16:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2012.09.01 23:20:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\9xh2303k.default\extensions [2013.01.09 01:22:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions [2012.09.01 23:33:00 | 000,000,000 | ---D | M] (Xultris) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019} [2012.09.01 23:32:59 | 000,000,000 | ---D | M] (Wörterbuch Deutsch (de-DE), Hunspell-unterstützt) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de_DE@dicts.j3e.de [2012.10.14 10:17:12 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\psex1rw3.default\extensions\de-DE@dictionaries.addons.mozilla.org [2011.10.08 00:41:41 | 000,074,405 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{bed1bcec-57d3-47e1-a32b-b4e5f3003019}.xpi [2012.11.23 22:00:46 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\psex1rw3.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012.12.01 00:19:34 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2012.12.01 00:20:08 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2012.10.11 20:58:15 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.10.11 20:58:15 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2012.10.11 20:58:15 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2012.10.11 20:58:15 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2012.10.11 20:58:15 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2012.10.11 20:58:15 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation) O2 - BHO: (Savings Sidekick) - {11111111-1111-1111-1111-110011501160} - C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (215 Apps) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~3\Office14\URLREDIR.DLL (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.dll (NVIDIA Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [PDFPrint] C:\Program Files (x86)\PDF24\pdf24.exe (Geek Software GmbH) O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.) O4 - HKLM..\Run: [RemoteControl8] C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdateLBPShortCut] C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePDRShortCut] C:\Program Files (x86)\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePPShortCut] C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation) O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation) O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation) O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AE43CB0D-9978-49C9-8EDA-B608B174A5D4}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CC6D46AE-DDC3-4316-8F73-97738449BD1A}: DhcpNameServer = 192.168.178.1 O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18:64bit: - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation) O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~3\Office14\GROOVEEX.DLL (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2013.01.09 01:47:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Pia Albrecht\Desktop\OTL.exe [2013.01.09 01:42:54 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\20130109 [2013.01.09 01:13:57 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.01.09 01:12:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.01.09 01:12:52 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2013.01.09 01:12:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2013.01.09 01:10:48 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Programs [2013.01.08 21:25:10 | 000,000,000 | R--D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 8 [2013.01.04 00:09:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedFan [2013.01.03 23:06:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Wajam [2013.01.03 23:05:37 | 000,000,000 | ---D | C] -- C:\ProgramData\APN [2013.01.03 22:58:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Motherboard Monitor 5 [2012.12.16 13:00:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype [2012.12.16 13:00:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.01.09 02:06:16 | 000,365,568 | ---- | M] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe [2013.01.09 01:47:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2013.01.09 01:45:18 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable [2013.01.09 01:41:29 | 000,050,477 | ---- | M] () -- C:\Users\***\Desktop\Defogger.exe [2013.01.09 01:12:53 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.01.09 01:11:23 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2013.01.09 01:11:23 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2013.01.09 01:11:23 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2013.01.09 01:11:23 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2013.01.09 01:11:23 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.01.08 21:32:07 | 000,013,760 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.01.08 21:23:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.01.08 21:22:49 | 3111,555,072 | -HS- | M] () -- C:\hiberfil.sys [2013.01.04 00:09:09 | 000,000,045 | ---- | M] () -- C:\Windows\SysWow64\initdebug.nfo [2012.12.21 10:16:58 | 000,427,840 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2012.12.16 13:00:47 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.01.09 02:06:15 | 000,365,568 | ---- | C] () -- C:\Users\***\Desktop\gmer-2.0.18444.exe [2013.01.09 01:45:18 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable [2013.01.09 01:41:29 | 000,050,477 | ---- | C] () -- C:\Users\***\Desktop\Defogger.exe [2013.01.09 01:12:53 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.01.04 00:09:08 | 000,000,045 | ---- | C] () -- C:\Windows\SysWow64\initdebug.nfo [2012.09.03 09:21:54 | 000,000,241 | ---- | C] () -- C:\Windows\Brpfx04a.ini [2012.09.03 09:21:54 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini [2012.09.03 09:20:55 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI [2012.09.03 09:20:55 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI [2012.09.03 09:17:41 | 000,000,000 | ---- | C] () -- C:\Windows\brdfxspd.dat [2012.09.02 21:23:46 | 000,000,002 | ---- | C] () -- C:\Windows\HotFixList.ini [2012.09.02 19:25:27 | 000,000,000 | ---- | C] () -- C:\Windows\HPMProp.INI [2012.09.01 22:40:28 | 001,500,444 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2012.12.07 15:09:27 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Amazon [2012.12.02 11:55:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarAlpine2012 [2012.10.31 23:20:39 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarClassic2011 [2012.09.02 00:45:37 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\JLAdventCalendarLondon2011 [2012.09.01 23:04:56 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\pdfforge [2012.09.01 23:37:18 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Thunderbird ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 09.01.2013 02:07:16 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,86 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 50,35% Memory free
7,73 Gb Paging File | 5,88 Gb Available in Paging File | 76,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 150,39 Gb Total Space | 112,91 Gb Free Space | 75,08% Space Free | Partition Type: NTFS
Drive D: | 315,27 Gb Total Space | 282,50 Gb Free Space | 89,61% Space Free | Partition Type: NTFS
Computer Name: PINK | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0E779B1A-4120-40EE-BFBD-BF0BE4ED7F8B}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{20665F67-2CE1-4B36-ADB7-5D7D000A1663}" = lport=138 | protocol=17 | dir=in | app=system |
"{232EDA45-F1A4-4807-BF5F-4A9C6ADE601C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{263EFA2C-1BDB-4DCB-806B-BAC503F31997}" = lport=445 | protocol=6 | dir=in | app=system |
"{26C74827-0C09-4F24-9C16-3FA77C8CA536}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{2BA7F4CB-5CB5-46B1-99CF-DFF82BE78DD4}" = rport=137 | protocol=17 | dir=out | app=system |
"{2FCCF13E-2417-4144-8552-50B30FFBC497}" = rport=139 | protocol=6 | dir=out | app=system |
"{39337DCD-80FC-4303-AA28-C05F3151AE42}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{3C85EDE6-1842-41FC-BAEE-EE7FEB59717B}" = rport=10243 | protocol=6 | dir=out | app=system |
"{4725BBE2-47F0-4960-B8A7-21B84C61B8E5}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{48C37966-4598-42F7-A265-90D4C2732F47}" = lport=2869 | protocol=6 | dir=in | app=system |
"{5082192D-7016-49E9-A698-7E4AA84E1617}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{57C3D9BF-14D4-462F-81D5-C3E39F9050B4}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{5BA14985-60F7-488A-80D1-45F4BAC192AE}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{7C4E96AE-F2A9-4AF3-8093-C700B98C30F2}" = lport=137 | protocol=17 | dir=in | app=system |
"{81150E2D-64E9-493F-B8DC-9C355188F055}" = rport=138 | protocol=17 | dir=out | app=system |
"{8E97201E-37C5-49F2-AFBE-AB4848851947}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\outlook.exe |
"{9FE3F0F8-D83C-4866-84B9-CB51FC2CA21D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{A721C789-3CB2-4E3E-A7B6-DA84AA688FCB}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{A975C81E-ED33-405F-B86D-1FB3C2065C65}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{CD54ED01-596B-40EC-9AE7-A4D91ABDC096}" = lport=10243 | protocol=6 | dir=in | app=system |
"{D012CA70-BD75-42F3-8CC4-FA1E5119FC74}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{F1A14BFB-E860-432D-B589-63A0ECCCEA04}" = lport=139 | protocol=6 | dir=in | app=system |
"{F71AB340-E423-4582-9178-023F1ED3B362}" = rport=445 | protocol=6 | dir=out | app=system |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00818A32-CEC8-4918-A812-7DE4BA29CB66}" = protocol=6 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe |
"{03F58712-497D-4188-BD29-9A7588C4BED0}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd8\powerdvd8.exe |
"{27B11F11-492E-4025-B454-7B28F84EA7C5}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe |
"{2F82FC56-26DD-4152-A4A9-103CFF99C614}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{322F49A4-3E89-4DA4-86BE-BE05D2F72DA7}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe |
"{330B6293-FFA9-4176-A16C-C9C487B8D4F8}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{3AC76464-A363-4493-8EDC-6B907F63E67E}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{3E187ADE-8E14-4EEA-804B-9BD27EBD7E0D}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{420733B1-2A83-4EA2-8AFA-801DD4C597F2}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{468B4194-908B-46BD-B451-463860C8F011}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{4825C8EB-81F3-4958-AD3B-51983403CF88}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe |
"{499D23E5-9D59-42B9-90F3-A09DCB272AB7}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{4F95E4B8-B609-4847-A89C-6761683526E1}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe |
"{53EAC81C-C2FF-4086-8823-75D4418DCBE2}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{587D6ED7-9FD9-4606-B035-62C8D1D9AA2F}" = dir=in | app=c:\program files (x86)\cyberlink\powerdirector\pdr.exe |
"{5CC77C25-507C-449D-9D37-FEDAC495CB2E}" = protocol=17 | dir=in | app=c:\program files (x86)\sweetim\communicator\sweetpacksupdatemanager.exe |
"{5E0756DD-10B7-4DD5-A256-B2502A985E0F}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{61FFBEE3-A8DD-46CD-8E7A-5B8124FE7264}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{776AFE87-85CE-463B-AA48-09040800D8B8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{7900C459-3D50-40C2-99DA-8F2D44DDE276}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{931AAFF3-0227-485E-B919-2C5B7EDBE87D}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C49D3784-C087-4DC0-B3AC-3CB7828BD65D}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{C579F04E-A95A-4EE9-B3F4-5FF2C736793D}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C907A894-D26A-48C3-9806-F83D84E87627}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{D09274A0-C98E-432E-A4FD-DB757E66DA4B}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe |
"{D5E6B8FD-32FC-4217-9BF4-E14351D2805F}" = protocol=17 | dir=in | app=c:\windows\syswow64\msiexec.exe |
"{D75F654B-CF92-4270-BBC9-44D74A58BEAD}" = protocol=6 | dir=out | app=system |
"{F1D21D29-F4D7-47A4-A29C-A086131527C1}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{F4132ADA-F668-48EA-8E0E-E4DF4F3D2E2B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{F4A3A9D7-6489-447B-8535-DC2BF1215F94}" = protocol=6 | dir=in | app=c:\windows\syswow64\msiexec.exe |
"{F4A4A18B-CC3F-483C-98DC-29809C260D03}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{377672F0-6B8A-467D-8DDC-79338BCCD531}" = 64 Bit HP CIO Components Installer
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{C78D3032-9DFD-41D0-9DE9-58EAE750CBA4}" = Microsoft Security Client
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft Security Client" = Microsoft Security Essentials
"NVIDIA Drivers" = NVIDIA Drivers
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{14DC0059-00F1-4F62-BD1A-AB23CD51A95E}" = Adobe AIR
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{48D082B9-18F6-4426-AFAC-8B6A3E7021B1}" = Brother MFL-Pro Suite MFC-290C
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6A462C3E-955D-FFE1-ED19-268969DEBBBE}" = Jacquie Lawson Alpine Advent Calendar
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.9.0
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.PROPLUSR_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A19E1C26-6DAF-AFDC-4EFF-EFF7FA36F72D}" = Jacquie Lawson London Advent Calendar
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}" = Internet Explorer Toolbar 4.6 by SweetPacks
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F5266D28-E0B2-4130-BFC5-EE155AD514DC}" = Apple Application Support
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.17
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"JLAdventCalendarAlpine2012" = Jacquie Lawson Alpine Advent Calendar
"JLAdventCalendarLondon2011" = Jacquie Lawson London Advent Calendar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Marvell Miniport Driver" = Marvell Miniport Driver
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NAVIGON Fresh" = NAVIGON Fresh 3.4.1
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"Savings Sidekick" = Savings Sidekick
"Updater Service" = Updater Service
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 20.11.2012 21:21:59 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:21:59.507]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:01 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:01.051]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:02 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:02.596]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:04 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:04.140]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:05 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:05.684]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:07 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:07.229]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:08 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:08.773]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:10 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:10.318]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:11 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:11.862]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
Error - 20.11.2012 21:22:13 | Computer Name = PINK | Source = Brother BrLog | ID = 1001
Description = WDLMW BrtWDLMW: [2012/11/21 02:22:13.406]: [00003328]: lperrcode->api
= 1 , lperrcode->code = 2
[ System Events ]
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
heruntergefahren. Zeit für das Herunterfahren = 2013-01-03T22:40:42.698247900Z
ACPI-Thermozone = ACPI\ThermalZone\TZ00 _CRT = 362K
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
heruntergefahren. Zeit für das Herunterfahren = 2013-01-03T22:40:42.764251600Z
ACPI-Thermozone = ACPI\ThermalZone\TZ00 _CRT = 362K
Error - 03.01.2013 18:40:42 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
heruntergefahren. Zeit für das Herunterfahren = 2013-01-03T22:40:42.898259300Z
ACPI-Thermozone = ACPI\ThermalZone\TZ00 _CRT = 362K
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
heruntergefahren. Zeit für das Herunterfahren = 2013-01-03T22:40:43.099270800Z
ACPI-Thermozone = ACPI\ThermalZone\TZ00 _CRT = 362K
Error - 03.01.2013 18:40:43 | Computer Name = PINK | Source = Microsoft-Windows-Kernel-Power | ID = 86
Description = Das System wurde aufgrund eines kritischen thermischen Ereignisses
heruntergefahren. Zeit für das Herunterfahren = 2013-01-03T22:40:43.300282300Z
ACPI-Thermozone = ACPI\ThermalZone\TZ00 _CRT = 362K
Error - 03.01.2013 18:41:40 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?03.?01.?2013 um 23:39:14 unerwartet heruntergefahren.
Error - 03.01.2013 18:42:07 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
cdrom
Error - 04.01.2013 08:33:57 | Computer Name = PINK | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?04.?01.?2013 um 00:18:25 unerwartet heruntergefahren.
Error - 04.01.2013 08:34:45 | Computer Name = PINK | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
cdrom
Error - 08.01.2013 15:39:39 | Computer Name = PINK | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst ShellHWDetection erreicht.
< End of report >
Code:
ATTFilter GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-09 02:59:44
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HN-M500MBB rev.2AR10001 465,76GB
Running: gmer-2.0.18444.exe; Driver: C:\Users\PIAALB~1\AppData\Local\Temp\pxldapoc.sys
---- User code sections - GMER 2.0 ----
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 00000000757a1401 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 00000000757a1419 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 00000000757a1431 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 00000000757a144a 2 bytes [7A, 75]
.text ... * 9
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 00000000757a14dd 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 00000000757a14f5 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 00000000757a150d 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 00000000757a1525 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 00000000757a153d 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 00000000757a1555 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 00000000757a156d 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 00000000757a1585 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 00000000757a159d 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 00000000757a15b5 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 00000000757a15cd 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 00000000757a16b2 2 bytes [7A, 75]
.text C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE[2780] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 00000000757a16bd 2 bytes [7A, 75]
---- Threads - GMER 2.0 ----
Thread C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:1996] 0000000010078d61
Thread C:\ProgramData\IBUpdaterService\ibsvc.exe [1984:2016] 0000000010078d61
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:780] 0000000067ec6f0a
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4360] 00000000685f9b9b
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4424] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4432] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4420] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4416] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3272] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4412] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3900] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3312] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4340] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4336] 0000000077022e25
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4900] 00000000725027e1
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4892] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4876] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:900] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2344] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3040] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2892] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4320] 00000000729427c1
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4992] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:4580] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:3896] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:1824] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2108] 0000000077023e45
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:968] 00000000696cc724
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2200] 00000000728f46fa
Thread C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe [4300:2628] 0000000077023e45
---- Processes - GMER 2.0 ----
Library ? (*** suspicious ***) @ C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [4812] 000007fefed40000
---- Disk sectors - GMER 2.0 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.0 ----
Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.01.08.13 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 *** :: PINK [Administrator] 09.01.2013 03:23:07 MBAM-log-2013-01-09 (04-08-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 334849 Laufzeit: 29 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 1 C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> 1984 -> Keine Aktion durchgeführt. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 13 HKCR\CLSID\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKCR\TypeLib\{44444444-4444-4444-4444-440044504460} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKCR\Interface\{55555555-5555-5555-5555-550055505560} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKCR\CrossriderApp0005060.BHO.1 (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160} (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updater Service (PUP.InstallBrain) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\Software\InstalledBrowserExtensions\215 Apps|5060 (PUP.CrossFire.SA) -> Daten: Savings Sidekick -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. Infizierte Dateien: 10 C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.dll (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Savings SidekickGui.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Uninstall.exe (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Keine Aktion durchgeführt. C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Savings SidekickInstaller.log (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ico (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Program Files (x86)\Savings Sidekick\Savings Sidekick.ini (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. C:\Users\***\AppData\Local\Savings Sidekick\Chrome\Savings Sidekick.crx (PUP.CrossRider.SSK) -> Keine Aktion durchgeführt. (Ende) Ich gelobe Besserung! Versprochen! MfG Pia A. aka. -Hicks- |
|
12.01.2013, 15:56
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Malwarebytes Anti-Rootkit  Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.01.2013, 17:55
| #9 |
| | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Hallo Cosinus, hoffentlich strapaziere ich nicht Deine Nerven!!!  Nun ist schon wieder alles anders!  Ich habe heute wider Erwarten ein neues Laptop bekommen  und mache dieses hier nun platt!  Vielen dank Dir für Deine Mühen! Ich möchte Dir / Euch einen Obolus zukommen lassen - sagen wir 30,-€ - ist das i.O.?  Mit freundlichem Gruß Pia A. aka. -Hicks-  |
|
13.01.2013, 19:18
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden Schon ok und danke für die großzügige Spende 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Virus - Trojaner - SAVING SIDEKICK - manuell von mir gefunden |
| beim starten, check, einloggen, fehlermeldung, firefox, gdata, gelöscht, langsam, laptop, malwarebytes, microsoft, netzwerk, neustart, programme, pup.crossfire.sa, pup.crossrider.ssk, pup.installbrain, saving, security, sehr langsam, server, software, starten, suche, suchmaschine, trojaner, trojaner-board, virus |
Linear-Darstellung
