Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Plagegeister aller Art und deren Bekämpfung: "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.01.2013, 00:44   #1
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Hallo,

Ich nutze Windows 7 Home Premium und habe mir gerade eben den "Computer gesperrt" Trojaner eingefangen. Ich wurde dabei gefragt, ob ich Änderungen an meinem System durch Rundll32.exe zulassen möchte, was ich verneint habe.

Ich hab den PC jetzt im Abgesicherten Modus gestartet und lasse gerade MBAM im Vollscan laufen.

Was kann ich noch tun? Vielen Dank für eure Hilfe.

Im Systemstart finde ich einen mysteriösen Eintrag, der als Befehl C:\Windows\System 32\rundll32.exe C:\Users\MeinName\wgsdgsdgdsgsd.exe,H1N1 und als Ort C:\Users\MeinName\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup angibt. Unter dem ersten Pfad finde ich die Datei wgsdgsdgdsgsd.exe und unter dem zweiten finde ich eine Verknüpfung namens runctf, die diese Datei als Ziel hat.

So, Malwarebytes Anti-Malware ist nun fertig und er hat 4 Dateien in die Quarantäne verschoben. Er wollte dabei einen Neustart und ich konnte wieder normal ins Windows booten. Hier die Logdatei:

Zitat:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.09.09

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Shakka :: SHAKKA-DESKTOP [Administrator]

10.01.2013 00:06:52
mbam-log-2013-01-10 (00-06-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 499213
Laufzeit: 1 Stunde(n), 16 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Shakka\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\2ebcaa81-13a32521 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Shakka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die in meinem Eingangspost erwähnte Datei, der Eintrag im Systemstart und die runctf Verknüpfung sind nun nicht mehr vorhanden. Ans Internet werde ich den PC aber noch nicht wieder anschliessen, sondern auf weitere Anweisungen von euch warten.

Ich habe nun noch einen zweiten vollständigen Suchlauf mit MBAM durchgeführt, diesmal im regulären Windows Betrieb, der zum Glück ohne Fund geblieben ist. Bis ich eure Entwarnung habe bleibt der PC aber wie gesagt offline.

Alt 10.01.2013, 07:09   #2
t'john
/// Helfer-Team
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1




Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


danach:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________
Alt 10.01.2013, 19:12   #3
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


So, ich habe beides durchgeführt. Hier zuerst das AdwCleaner Log:

Code:
ATTFilter
# AdwCleaner v2.105 - Datei am 10/01/2013 um 18:23:08 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : Shakka - SHAKKA-DESKTOP
# Bootmodus : Normal
# Ausgef¸hrt unter : C:\Users\Shakka\Desktop\adwcleaner.exe
# Option [Lˆschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Users\Shakka\AppData\Roaming\Mozilla\Firefox\Profiles\eex7z2n6.default\prefs.js

C:\Users\Shakka\AppData\Roaming\Mozilla\Firefox\Profiles\eex7z2n6.default\user.js ... Gelˆscht !

Gelˆscht : user_pref("extensions.vshare@toolbar.install-event-fired", true);
Gelˆscht : user_pref("vshare.install.date", "1281916800000");
Gelˆscht : user_pref("vshare.install.finished", "1.0.0");
Gelˆscht : user_pref("vshare.install.guid", "{c984774b-df9d-4d8d-b0a6-3c4c59b93271}");
Gelˆscht : user_pref("vshare.install.isDisabled", true);
Gelˆscht : user_pref("vshare.install.isHidden", true);
Gelˆscht : user_pref("vshare.install.laststatreq", "1284336000000");
Gelˆscht : user_pref("vshare.install.newtab", false);

-\\ Google Chrome v23.0.1271.97

Datei : C:\Users\Shakka\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1483 octets] - [10/01/2013 18:23:08]

########## EOF - C:\AdwCleaner[S1].txt - [1543 octets] ##########
Die beiden OTL Logs habe ich als Anhang hinzugefügt. Ich sollte vielleicht noch anmerken, dass Windows letzte Nacht ein Update durchgeführt hat. Die Daten dafür hatte er gestern tagsüber, also bevor ich mir den Trojaner einfing, heruntergeladen. Installiert wurde das Update dann, während ich den PC nach meinem zweiten, fundlosen MBAM Scan heruntergefahren habe.

Edit: Ich habe gerade gelesen, dass man Logs nicht als Anhang posten soll, daher nun noch einmal als Code.

Zuerst OTL.Txt

OTL EXTRAS Logfile:
Code:
ATTFilter
OTL logfile created on: 10.01.2013 18:32:32 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Shakka\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,07 Gb Available Physical Memory | 53,39% Memory free
4,00 Gb Paging File | 2,93 Gb Available in Paging File | 73,33% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,88 Gb Total Space | 20,27 Gb Free Space | 8,70% Space Free | Partition Type: NTFS
Drive D: | 603,42 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 2,80 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive F: | 465,62 Gb Total Space | 68,29 Gb Free Space | 14,67% Space Free | Partition Type: FAT32
 
Computer Name: SHAKKA-DESKTOP | User Name: Shakka | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Shakka\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\Display\nvtray.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Programme\Hi-Rez Studios\HiPatchService.exe (Hi-Rez Studios)
PRC - C:\Programme\Logitech Gaming Software\LCore.exe (Logitech Inc.)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corp.)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (Steam Client Service) -- C:\Program Files\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (HiPatchService) -- C:\Programme\Hi-Rez Studios\HiPatchService.exe (Hi-Rez Studios)
SRV - (wlidsvc) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys ()
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (LGSHidFilt) -- C:\Windows\System32\drivers\LGSHidFilt.Sys (Logitech Inc.)
DRV - (LMouFilt) -- C:\Windows\System32\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV - (LUsbFilt) -- C:\Windows\System32\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV - (LHidFilt) -- C:\Windows\System32\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV - (WDC_SAM) -- C:\Windows\System32\drivers\wdcsam.sys (Western Digital Technologies)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (TsUsbGD) -- C:\Windows\System32\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV - (tap0901) -- C:\Windows\System32\drivers\tap0901.sys (The OpenVPN Project)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (LGVirHid) -- C:\Windows\System32\drivers\LGVirHid.sys (Logitech Inc.)
DRV - (LGBusEnum) -- C:\Windows\System32\drivers\LGBusEnum.sys (Logitech Inc.)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm62x32.sys (NVIDIA Corporation)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (MTsensor) -- C:\Windows\System32\drivers\ASACPI.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&q={searchTerms}
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\..\SearchScopes\{C7E747C7-CB53-47A9-BB8C-37E1A81E9820}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2235342744-2551366845-176364765-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7B19503e42-ca3c-4c27-b1e2-9cdb2170ee34%7D:1.5.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.8
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.3.0.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {1280606b-2510-4fe0-97ef-9b5a22eafe30}:0.7.5
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: C:\Program Files\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files\Battlelog Web Plugins\1.122.0\npesnlaunch.dll (ESN Social Software AB)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3555.0308: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Shakka\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Shakka\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Shakka\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\electronicarts.com/GameFacePlugin: C:\Users\Shakka\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll (Electronic Arts)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.05 16:40:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.05 16:40:21 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
 
[2012.07.13 19:04:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\Extensions
[2012.07.13 19:04:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\Firefox\Crash Reports\Extensions
[2011.04.10 01:51:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\Firefox\Crash Reports\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2013.01.09 04:32:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\Firefox\Profiles\eex7z2n6.default\extensions
[2012.12.13 20:41:55 | 002,151,598 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\firebug@software.joehewitt.com.xpi
[2013.01.09 04:32:33 | 000,516,839 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi
[2012.12.25 20:02:35 | 000,347,856 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi
[2011.12.10 20:33:26 | 000,061,705 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\{b749fc7c-e949-447f-926c-3f4eed6accfe}.xpi
[2012.11.24 18:45:28 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.11.21 18:43:21 | 000,243,496 | ---- | M] () (No name found) -- C:\Users\Shakka\AppData\Roaming\mozilla\firefox\profiles\eex7z2n6.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
[2012.12.05 16:40:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.12.05 16:40:21 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.06.14 23:46:57 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.02 05:27:05 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.14 23:46:57 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.14 23:46:57 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.14 23:46:57 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.14 23:46:56 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.de/
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter},
CHR - homepage: hxxp://www.google.de/
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Users\Shakka\AppData\Local\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\Shakka\AppData\Local\Google\Chrome\Application\23.0.1271.97\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Users\Shakka\AppData\Local\Google\Chrome\Application\23.0.1271.97\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.310.5 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Programme\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Move Media Player 7 (Enabled) = C:\Dokumente und Einstellungen\Shakka\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
CHR - plugin: DivX Web Player (Enabled) = C:\Programme\DivX\DivX Web Player\npdivx32.dll
CHR - plugin: IGN Download Manager Plug-in (Enabled) = C:\Programme\Download Manager\npfpdlm.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll
CHR - plugin: RayV Plugin (Enabled) = C:\Programme\RayV\RayV\plugins\nprayvplugin.dll
CHR - plugin: Veetle TV Player (Enabled) = C:\Programme\Veetle\Player\npvlc.dll
CHR - plugin: Veetle Broadcaster Plugin (Enabled) = C:\Programme\Veetle\VLCBroadcast\npvbp.dll
CHR - plugin: Veetle TV Core (Enabled) = C:\Programme\Veetle\plugins\npVeetle.dll
CHR - plugin: iTunes Application Detector (Enabled) = C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Programme\ICQ7M\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0D257C11-8635-4BAA-A5DB-B0A615CFBADB}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2011.08.27 07:35:06 | 000,000,652 | ---- | M] () - C:\Automatisch Herunterfahren.lnk -- [ NTFS ]
O32 - AutoRun File - [2006.02.07 03:31:51 | 000,000,000 | ---D | M] - D:\AutoRun -- [ CDFS ]
O32 - AutoRun File - [2006.02.07 03:28:25 | 000,700,416 | R--- | M] (Electronic Arts Inc.) - D:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2006.02.07 01:46:43 | 000,630,784 | R--- | M] (Electronic Arts Inc.) - D:\AutoRunGUI.dll -- [ CDFS ]
O32 - AutoRun File - [2006.02.07 03:31:24 | 000,000,159 | R--- | M] () - D:\autorun.inf -- [ CDFS ]
O32 - AutoRun File - [2009.05.23 19:26:32 | 001,713,448 | R--- | M] () - E:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2006.03.02 17:58:48 | 000,000,047 | R--- | M] () - E:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\{e302f965-cd0f-11e1-8060-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{e302f965-cd0f-11e1-8060-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe -- [2006.02.07 03:28:25 | 000,700,416 | R--- | M] (Electronic Arts Inc.)
O33 - MountPoints2\{e302f966-cd0f-11e1-8060-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{e302f966-cd0f-11e1-8060-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2009.05.23 19:26:32 | 001,713,448 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.10 18:31:18 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Shakka\Desktop\OTL.exe
[2013.01.10 03:14:28 | 002,345,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.01.10 03:13:09 | 000,169,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2013.01.10 03:13:09 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2013.01.10 03:13:09 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2013.01.10 03:13:09 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2013.01.10 03:13:09 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2013.01.10 03:13:09 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2013.01.10 03:13:09 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2013.01.10 03:13:08 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2013.01.10 03:13:08 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2013.01.10 03:13:08 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2013.01.10 03:13:08 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2013.01.10 03:13:08 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2013.01.10 03:13:08 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2013.01.10 03:13:03 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2013.01.10 03:11:01 | 000,308,736 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Wpc.dll
[2013.01.10 03:10:50 | 000,045,568 | ---- | C] (Microsoft) -- C:\Windows\System32\oflc-nz.rs
[2013.01.10 03:10:50 | 000,044,544 | ---- | C] (Microsoft) -- C:\Windows\System32\pegibbfc.rs
[2013.01.10 03:10:50 | 000,030,720 | ---- | C] (Microsoft) -- C:\Windows\System32\usk.rs
[2013.01.10 03:10:50 | 000,023,552 | ---- | C] (Microsoft) -- C:\Windows\System32\oflc.rs
[2013.01.10 03:10:50 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi-pt.rs
[2013.01.10 03:10:50 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi-fi.rs
[2013.01.10 03:10:50 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi.rs
[2013.01.10 03:10:49 | 000,051,712 | ---- | C] (Microsoft) -- C:\Windows\System32\esrb.rs
[2013.01.10 03:10:49 | 000,046,592 | ---- | C] (Microsoft) -- C:\Windows\System32\fpb.rs
[2013.01.10 03:10:49 | 000,021,504 | ---- | C] (Microsoft) -- C:\Windows\System32\grb.rs
[2013.01.10 03:10:49 | 000,015,360 | ---- | C] (Microsoft) -- C:\Windows\System32\djctq.rs
[2013.01.10 03:10:48 | 002,576,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\gameux.dll
[2013.01.10 03:10:48 | 000,055,296 | ---- | C] (Microsoft) -- C:\Windows\System32\cero.rs
[2013.01.10 03:10:48 | 000,043,520 | ---- | C] (Microsoft) -- C:\Windows\System32\csrr.rs
[2013.01.10 03:10:48 | 000,040,960 | ---- | C] (Microsoft) -- C:\Windows\System32\cob-au.rs
[2013.01.10 03:10:23 | 000,220,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ncrypt.dll
[2013.01.10 03:10:17 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
[2013.01.10 00:05:07 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\Programs
[2013.01.09 18:51:58 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{655301F8-1EB9-4201-A79F-B647E7A0A6DB}
[2013.01.09 00:53:19 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{AC768506-0A64-4F02-940D-E2C354AFE770}
[2013.01.08 06:54:48 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{5B912624-7E0C-4E7F-9EA2-AFDB725C6A29}
[2013.01.07 14:14:54 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{B86DDAE3-D090-4813-9574-1CAFF297DE06}
[2013.01.06 16:25:11 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{A2121702-77D3-47D6-9A2F-85FCDEF53FBB}
[2013.01.05 20:46:00 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{2FE5F35D-AADD-44CD-B013-02072669C86E}
[2013.01.04 22:59:19 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{E8EF3B4A-C973-41F4-9F8E-BCD7C60B97AD}
[2013.01.03 17:23:19 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{B8A00D13-D021-43CD-BE90-31049D716C01}
[2013.01.02 23:42:10 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{0739F4C0-9DD5-4560-9B00-DB98384729DE}
[2013.01.02 01:10:57 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{FFB3BFCB-1AB2-4479-939C-641EC3FB6F80}
[2012.12.28 14:47:12 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{ACA45EAA-EBF3-49D9-81F5-C2BF5A90DEFA}
[2012.12.27 18:20:49 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{19CD975A-F7A0-417C-BA34-CFDA815D364D}
[2012.12.27 04:34:36 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{9CF3DA5E-1C94-43BF-97AA-1325D630D97F}
[2012.12.26 16:33:59 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{F5649067-8C47-414B-895A-95246C6086DD}
[2012.12.26 02:57:26 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\EA Games
[2012.12.26 02:35:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES
[2012.12.26 02:11:57 | 000,442,368 | R--- | C] (On2.com) -- C:\Windows\System32\vp6vfw.dll
[2012.12.25 20:04:02 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{5D233241-7A3D-41B9-979F-914E5FAD7FFF}
[2012.12.23 16:57:34 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{89DDEAA0-E84B-4DF4-BDF4-B5C3796D8743}
[2012.12.23 04:14:19 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{CA3676E9-3731-4B22-B04C-C268B300E650}
[2012.12.22 16:01:08 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{39CD6D5B-6C36-4FE1-9CCE-12FE1A3C2F61}
[2012.12.21 15:27:26 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{B4A1B9FD-FF9A-479B-A3D4-20E90AB62138}
[2012.12.21 08:19:07 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Roaming\Avira
[2012.12.21 08:13:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2012.12.21 08:13:27 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2012.12.21 08:13:27 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2012.12.21 08:13:27 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2012.12.21 08:13:27 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2012.12.21 08:13:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.12.21 08:13:18 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2012.12.21 03:01:05 | 000,295,424 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2012.12.21 03:01:05 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2012.12.20 22:56:44 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{FA371C95-C64E-468A-BD27-DD69C18F0218}
[2012.12.19 01:50:47 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{20D56BD9-3AD4-495E-A1C6-A72BDDEC229D}
[2012.12.17 21:27:55 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{915D848F-4FAB-417E-98D0-C59BD642F443}
[2012.12.16 16:43:33 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{555E63C8-09B5-440F-8D8C-4FA513FD05E3}
[2012.12.15 20:08:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2012.12.15 20:07:24 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2012.12.15 20:06:59 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2012.12.15 20:06:59 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2012.12.15 19:56:18 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{F5BE75B9-8694-46E6-899A-206F7BFE6EDA}
[2012.12.13 19:34:47 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{37A3F55B-B34F-40E9-A1CD-90882A6D644E}
[2012.12.12 23:08:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA
[2012.12.12 23:08:48 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\BioWare
[2012.12.12 22:18:05 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2012.12.12 21:33:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unreal Tournament 2004
[2012.12.12 12:45:17 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012.12.12 12:45:16 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012.12.12 12:45:16 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012.12.12 12:45:15 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2012.12.12 12:45:15 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2012.12.12 12:45:14 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012.12.12 12:45:14 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012.12.12 12:45:13 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012.12.12 11:40:53 | 000,376,832 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dpnet.dll
[2012.12.12 11:40:47 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2012.12.12 09:41:42 | 000,000,000 | ---D | C] -- C:\Users\Shakka\AppData\Local\{6C17CB67-D2B0-43B3-8CCB-9DC41F741C88}
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.10 18:36:13 | 000,021,664 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.10 18:36:13 | 000,021,664 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.10 18:31:22 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Shakka\Desktop\OTL.exe
[2013.01.10 18:28:49 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.10 18:28:20 | 1609,474,048 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.10 18:22:21 | 000,554,087 | ---- | M] () -- C:\Users\Shakka\Desktop\adwcleaner.exe
[2013.01.10 18:17:13 | 000,294,528 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.01.10 04:07:21 | 000,001,124 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2235342744-2551366845-176364765-1000UA.job
[2013.01.10 03:06:29 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.01.10 03:06:29 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.01.10 03:06:29 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.01.10 03:06:29 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.01.09 23:58:55 | 000,002,913 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013.01.09 20:07:01 | 000,001,072 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2235342744-2551366845-176364765-1000Core.job
[2013.01.09 18:48:56 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2013.01.09 18:48:55 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.12.29 02:09:38 | 004,977,195 | ---- | M] () -- C:\Users\Shakka\Documents\sessionstore.js
[2012.12.16 15:13:28 | 000,295,424 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2012.12.16 15:13:20 | 000,034,304 | ---- | M] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
 
========== Files Created - No Company Name ==========
 
[2013.01.10 18:22:13 | 000,554,087 | ---- | C] () -- C:\Users\Shakka\Desktop\adwcleaner.exe
[2013.01.09 23:58:55 | 000,002,913 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2012.12.26 04:08:04 | 004,977,195 | ---- | C] () -- C:\Users\Shakka\Documents\sessionstore.js
[2012.10.23 00:34:27 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2012.07.14 23:56:46 | 000,140,800 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2012.07.14 23:56:14 | 000,283,304 | ---- | C] () -- C:\Windows\System32\PnkBstrB.exe
[2012.07.14 23:56:12 | 000,076,888 | ---- | C] () -- C:\Windows\System32\PnkBstrA.exe
[2012.07.13 22:26:11 | 000,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2012.07.13 22:26:10 | 000,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2012.07.13 21:10:19 | 000,023,220 | ---- | C] () -- C:\Windows\System32\emptyregdb.dat
[2011.04.12 02:30:05 | 000,653,928 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2011.04.12 02:30:05 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2011.04.12 02:30:05 | 000,129,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2011.04.12 02:30:05 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.27 03:02:42 | 000,032,336 | ---- | C] () -- C:\Users\Shakka\20090728_SHAKKA_YH72IQ.pdf
[2009.07.11 22:56:47 | 000,310,956 | ---- | C] () -- C:\Users\Shakka\OSSIBAHN.WAV
[2009.06.20 05:32:05 | 000,000,600 | ---- | C] () -- C:\Users\Shakka\PUTTY.RND
[2009.03.06 06:46:15 | 000,000,654 | ---- | C] () -- C:\Program Files\Automatisch Herunterfahren.lnk
[2007.11.06 16:46:10 | 000,000,155 | ---- | C] () -- C:\Program Files\record.bat
[2007.11.06 01:42:22 | 000,121,018 | ---- | C] () -- C:\Users\Shakka\AppData\Roaming\Cosmos Prefs
[2007.09.11 01:24:44 | 000,138,056 | ---- | C] () -- C:\Users\Shakka\AppData\Roaming\PnkBstrK.sys
[2007.07.22 21:16:48 | 000,000,001 | ---- | C] () -- C:\Users\Shakka\SI.bin
[2007.02.23 16:12:05 | 002,110,178 | -H-- | C] () -- C:\Users\Shakka\AppData\Local\IconCache (1).db
[2007.02.22 19:28:35 | 000,000,139 | ---- | C] () -- C:\Users\Shakka\AppData\Local\fusioncache.dat
[2007.02.21 23:16:49 | 000,089,088 | ---- | C] () -- C:\Users\Shakka\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.02.21 20:35:51 | 000,037,840 | ---- | C] () -- C:\Users\Shakka\AppData\Local\GDIPFONTCACHEV1 (1).DAT
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 22:29:20 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
--- --- ---



Und Extras.txt:

OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 10.01.2013 18:32:32 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Shakka\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,07 Gb Available Physical Memory | 53,39% Memory free
4,00 Gb Paging File | 2,93 Gb Available in Paging File | 73,33% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,88 Gb Total Space | 20,27 Gb Free Space | 8,70% Space Free | Partition Type: NTFS
Drive D: | 603,42 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive E: | 2,80 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive F: | 465,62 Gb Total Space | 68,29 Gb Free Space | 14,67% Space Free | Partition Type: FAT32
 
Computer Name: SHAKKA-DESKTOP | User Name: Shakka | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-2235342744-2551366845-176364765-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{15AAFD63-A7BA-4EDF-A5E9-2FB60A338EF4}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{231AA14B-4E54-4283-AEA8-A1B42FDF265A}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) | 
"{28E2A79A-FA8E-4870-A990-6DB9B67982C5}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{3AEF93E7-9FF0-45D5-93FD-FFAD1EDFC894}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{54F2D302-FB08-49D7-B03A-546782D2B3E4}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{6035F6E9-1485-4D2E-8387-070463182B3C}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{6F8E353F-D17C-4E13-94C7-C0A19EEEF1AC}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) | 
"{7CD1BFD7-39E0-4C4A-946F-7CEC31A2C8B0}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{81E1ACB0-08C3-4805-9136-2A828E4A58F0}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{91A729E9-6E4D-4C08-8D87-4E3FB2A3FC43}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{93CD5D3E-490A-4FAA-9F12-0BA39CAC2989}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{DC29B86E-FC46-4F28-9C16-65EB5B2FA91E}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{E5DD4CCA-C6AD-469B-811D-A4991181FC4B}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{14782C27-A6B0-4207-B032-3DB8B0ED1E7C}" = protocol=6 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{172543E3-9D61-4E50-9A86-A2EF2E43F6E8}" = protocol=6 | dir=in | app=c:\program files\ubisoft\related designs\anno 2070 demo\anno5.exe | 
"{18A000BE-AF0B-4C6A-B5C8-A903BA3BF41F}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1267\agent.exe | 
"{19476210-8F17-4AD4-9DE0-40F543077A43}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\ftl faster than light\ftlgame.exe | 
"{213B7EE5-36B0-4C82-BBD8-B25E69AB6370}" = protocol=6 | dir=in | app=f:\programme\star wars-the old republic\swtor\retailclient\swtor.exe | 
"{29452D55-EA48-4000-A38B-F66DB13B495E}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.524\agent.exe | 
"{2A12FCAC-7292-48A2-AD4D-6ACF51BECB20}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{2F105C4E-9AF4-4668-A403-8B0EE068EF21}" = protocol=17 | dir=in | app=c:\program files\steam\steam.exe | 
"{3282716B-B587-4036-AFA7-371FE9308E0B}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\runaway a road adventure\video card setup.exe | 
"{3369E717-0F85-4D63-BE70-68E730DD59DA}" = protocol=17 | dir=in | app=c:\program files\ubisoft\related designs\anno 2070 demo\initengine.exe | 
"{37B78268-DC9A-4132-A44E-1ABEF1B7FA50}" = protocol=17 | dir=in | app=c:\windows\system32\pnkbstrb.exe | 
"{38DD4C3E-1AB9-4DAC-8012-A42A41407A67}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{4467F238-002C-4F0A-BE48-5B82D3A8A412}" = protocol=17 | dir=in | app=c:\program files\origin games\battlefield 3\bf3.exe | 
"{4B50AD7D-6FE4-46F2-9D6D-4A5F0E50CD33}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1363\agent.exe | 
"{4CC04B4A-7636-42B9-A05B-7B8FE841ADA0}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\runaway a road adventure\runaway.exe | 
"{4FC3CC07-533D-4955-8980-C99BF9D7CD8F}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1267\agent.exe | 
"{520C85C1-4402-485C-AF41-C2CBE37E34D7}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe | 
"{55D81E76-88AF-4205-8C88-78F299CC2643}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{5869BCA4-36ED-45E2-BA6E-4788E4405FE9}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe | 
"{5CD62AD8-7F75-487D-9E7A-103A434012C1}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\hotline_miami\hotlinemiami.exe | 
"{66AB7F09-7557-4365-8220-7CE5936B5F58}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\dragon age ultimate edition\daoriginslauncher.exe | 
"{6E986F75-6B43-46DB-A06F-9BBD3EF2749E}" = protocol=6 | dir=in | app=f:\programme\star wars-the old republic\launcher.exe | 
"{71308F44-0DF6-42B9-A305-F8D94131EAC1}" = protocol=17 | dir=in | app=c:\program files\diablo iii\diablo iii.exe | 
"{7B4D90DF-B863-421A-8540-D315CAEC0F85}" = protocol=6 | dir=in | app=c:\program files\battlelog web plugins\sonar\0.70.4\sonarhost.exe | 
"{7ED7C510-87E1-4E82-A32E-E96F2DF5088A}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1363\agent.exe | 
"{82311C3E-C2EF-4E76-8871-307EE0F53469}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\runaway a road adventure\runaway.exe | 
"{8242A7A5-87B1-4774-8962-0239D451973E}" = protocol=6 | dir=in | app=c:\windows\system32\pnkbstrb.exe | 
"{8384DCA9-834B-4CC7-8C4B-9E8FAE025056}" = protocol=6 | dir=in | app=c:\program files\diablo iii\diablo iii.exe | 
"{8734B5A6-361B-4F27-A019-6100C8C50A9B}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\dragon age ultimate edition\daoriginslauncher.exe | 
"{8CB58709-02A3-4D7A-B018-190F095088E6}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{8ECD29CD-FD66-413B-8FF1-C2DEBB426500}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\tribes\binaries\win32\hirezbridge.exe | 
"{909AB5EE-0F5F-4AB2-AEE8-ACA0B50EE8EB}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{979D34A6-71AF-4A5D-BF08-33318D63C693}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{9805AAD1-A578-4AD0-B860-E822B003AC3B}" = protocol=17 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{9AAF9CFB-B7A4-4CAD-9176-8DB8A78DDC35}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\galactic civilizations ii - ultimate edition\twilight\gc2twilightofthearnor.exe | 
"{A24F492E-0517-4ECF-BFC8-C2022912A55D}" = protocol=6 | dir=in | app=c:\program files\ubisoft\related designs\anno 2070 demo\initengine.exe | 
"{A3BE7AA4-656F-4992-BB57-1FAFE14F6518}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\ftl faster than light\ftlgame.exe | 
"{A5E89FA5-7234-41AD-8DAF-2464DDC9A44C}" = protocol=6 | dir=in | app=c:\windows\system32\pnkbstra.exe | 
"{A8B68209-8C9A-41E9-BB57-400F742A7606}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{AB742D40-029A-43A9-B30A-BC60FB289986}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{AC38C73E-B4F0-40C4-984F-4A4C66C447DF}" = protocol=6 | dir=out | app=system | 
"{AE8095D5-93C5-479C-9AF5-E28405A919E9}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\runaway a road adventure\video card setup.exe | 
"{AEDA41B7-F156-4F08-9C97-5511958105E0}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{B2A34311-246F-484D-80F3-0C5B591E2755}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\tribes\binaries\win32\hirezbridge.exe | 
"{B818155C-8411-4B10-BD15-54AAEBF560DF}" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\galactic civilizations ii - ultimate edition\twilight\gc2twilightofthearnor.exe | 
"{BB50734E-1751-4801-BA7F-5A875F019F25}" = protocol=6 | dir=in | app=c:\program files\steam\steam.exe | 
"{BE8A50FD-CD47-462C-993A-C04254894296}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"{C32539F1-B53B-4CEE-87C4-F85587455A38}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{C48A05DE-F1FF-44C6-9B7E-B6428E849500}" = protocol=17 | dir=in | app=f:\programme\star wars-the old republic\launcher.exe | 
"{CFDD5820-E6FE-434D-A94E-F9C4624940DA}" = protocol=6 | dir=in | app=f:\programme\star wars-the old republic\swtor\retailclient\swtor.exe | 
"{D4213CA8-CBF2-4D4D-AA22-C17407A10DBD}" = protocol=6 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{D474CA40-0955-4928-8A3B-0847C20C7713}" = protocol=17 | dir=in | app=f:\programme\star wars-the old republic\launcher.exe | 
"{D49B9A0E-92C5-4962-90B1-7BC7E0D5ACBE}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{D688D2E9-6E5B-458B-B1FC-0236D83A2C55}" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\hotline_miami\hotlinemiami.exe | 
"{DA3E325F-02C3-4E93-B797-10D290FB278F}" = protocol=17 | dir=in | app=c:\windows\system32\pnkbstra.exe | 
"{DB0F88E9-CC41-4DBF-AE1F-03858A3554C7}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{E008A402-C1FB-4440-8FC0-EE23AF723C99}" = protocol=6 | dir=in | app=c:\program files\origin games\battlefield 3\bf3.exe | 
"{E2E9891B-6CE0-4A44-B7EF-1C7EE13FA0B6}" = protocol=17 | dir=in | app=f:\programme\star wars-the old republic\swtor\retailclient\swtor.exe | 
"{E7EEB444-9495-499A-8E2A-0CC50B5143BE}" = protocol=17 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{EE2B7995-F4A9-4E45-8067-78779EF006F9}" = dir=in | app=c:\program files\itunes\itunes.exe | 
"{F130FBF0-17A5-4152-89B4-7A0C1C747913}" = protocol=17 | dir=in | app=c:\program files\ubisoft\related designs\anno 2070 demo\anno5.exe | 
"{F2A898F3-480E-4212-B848-F32286544485}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.524\agent.exe | 
"{F4A0B0B8-79B9-42DF-B6A9-6FF1275A1E86}" = protocol=17 | dir=in | app=f:\programme\star wars-the old republic\swtor\retailclient\swtor.exe | 
"{F6047C90-9E36-4EF7-9D4B-B1A03451F7DC}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"{F623A2B3-060B-4CE1-96CB-E8F23F81E522}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{F8012705-68CE-48C0-84D1-A26E2815FDCB}" = protocol=6 | dir=in | app=f:\programme\star wars-the old republic\launcher.exe | 
"{FF56391A-3634-4CD5-8B78-FB4B6AFFC3E1}" = protocol=17 | dir=in | app=c:\program files\battlelog web plugins\sonar\0.70.4\sonarhost.exe | 
"TCP Query User{61AAD030-AB6A-47B8-BA35-2DD944D4BF4C}C:\program files\steam\steamapps\common\tribes\binaries\win32\tribesascend.exe" = protocol=6 | dir=in | app=c:\program files\steam\steamapps\common\tribes\binaries\win32\tribesascend.exe | 
"TCP Query User{6E4E4E4B-AA65-49A3-8B09-DF2C63014106}C:\program files\mirc\mirc.exe" = protocol=6 | dir=in | app=c:\program files\mirc\mirc.exe | 
"TCP Query User{7C249896-8F48-4270-8E30-83EA49604306}F:\programme\ut2004\system\ut2004.exe" = protocol=6 | dir=in | app=f:\programme\ut2004\system\ut2004.exe | 
"UDP Query User{4F72BB26-F036-4085-8F2E-D7AD37F9C3B7}F:\programme\ut2004\system\ut2004.exe" = protocol=17 | dir=in | app=f:\programme\ut2004\system\ut2004.exe | 
"UDP Query User{6ACE9A5D-E528-440F-8585-0DF963BE4E7B}C:\program files\steam\steamapps\common\tribes\binaries\win32\tribesascend.exe" = protocol=17 | dir=in | app=c:\program files\steam\steamapps\common\tribes\binaries\win32\tribesascend.exe | 
"UDP Query User{E62D944C-2FF3-49A6-ADF1-EF60196EC72C}C:\program files\mirc\mirc.exe" = protocol=17 | dir=in | app=c:\program files\mirc\mirc.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01521746-02A6-4A72-00BD-A285DF6B80C6}" = Die Sims 2: Wilde Campus-Jahre
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{0673654C-5296-453B-9798-B61CD7E03FEB}" = SES Driver
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3B11D799-48E0-48ED-BFD7-EA655676D8BB}" = Star Wars: The Old Republic
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3C87E0FF-BC0A-4F5E-951B-68DC3F8DF1FC}" = Hi-Rez Studios Authenticate and Update Service
"{3D035310-3D86-4537-93B5-D390A6CF1778}" = ANNO 2070 DEMO
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{459699C3-9430-4381-964B-4248D87B49F9}" = Apple Mobile Device Support
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4C552FD3-2CCD-4E00-AC64-0681DBB3F8B5}" = OpenOffice.org 3.4
"{5DA8F6CD-C70E-39D8-8430-3D9808D6BD17}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{6E7DD182-9FC6-4651-0095-2E666CC6AF35}" = Die Sims 2
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{76285C16-411A-488A-BCE3-C83CB933D8CF}" = Battlefield 3™
"{781B39EC-2E18-41FC-9B00-B84E4FFCA85F}" = ICQ7M
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7B3577F5-1D82-4C9B-008B-69D026FD8BCA}" = Die Sims 2: Open For Business
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{8795CBED-55E2-4693-9F14-84EC446935BE}" = SpeechRedist
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{93FF055C-7E0B-4E26-AAFB-2C4333E2D7D0}" = Logitech Gaming Software
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{AF844339-2F8A-4593-81B3-9F4C54038C4E}" = Windows Live MIME IFilter
"{B0261E53-B6F1-474A-864B-E7C3CBF468E0}" = iTunes
"{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}" = Cisco Systems VPN Client 5.0.07.0290
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.0213
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.10.8
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CCE825DB-347A-4004-A186-5F4A6FDD8547}" = Apple Application Support
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{DA909E62-3B45-4BA1-8B58-FCAEBA4BCEC9}" = NVIDIA PhysX
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F7529650-B9DB-481B-0089-A2AC3C2821C1}" = Die Sims 2: Nightlife
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{F968F939-1B50-4AD7-A910-8647EFC2935B}" = ALL-INKL WebDisk v0.1.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"Battlelog Web Plugins" = Battlelog Web Plugins
"Diablo III" = Diablo III
"ESN Sonar-0.70.4" = ESN Sonar
"IrfanView" = IrfanView (remove only)
"Logitech Gaming Software" = Logitech Gaming Software 8.30
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"mIRC" = mIRC
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Origin" = Origin
"PunkBusterSvc" = PunkBuster Services
"Steam App 17080" = Tribes: Ascend
"Steam App 202200" = Galactic Civilizations II: Ultimate Edition
"Steam App 212680" = FTL: Faster Than Light
"Steam App 219150" = Hotline Miami
"Steam App 47810" = Dragon Age: Origins - Ultimate Edition
"Steam App 7210" = Runaway: A Road Adventure
"Universal Document Converter_is1" = Universal Document Converter (Demo)
"UT2004" = Unreal Tournament 2004
"VLC media player" = VLC media player 2.0.4
"WinLiveSuite" = Windows Live Essentials
"WinRAR archiver" = WinRAR 4.20 (32-Bit)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2235342744-2551366845-176364765-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"EA SPORTS Game Face Browser Plugin" = EA SPORTS Game Face Browser Plugin 1.5.3.0
"Google Chrome" = Google Chrome
"UnityWebPlayer" = Unity Web Player
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 05.01.2013 15:44:28 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 06.01.2013 11:23:37 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.01.2013 09:13:59 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 07.01.2013 19:06:33 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 08.01.2013 19:52:10 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 09.01.2013 13:49:17 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 09.01.2013 19:05:10 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 09.01.2013 20:30:25 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 10.01.2013 13:18:10 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
Error - 10.01.2013 13:30:13 | Computer Name = Shakka-Desktop | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 09.01.2013 22:04:36 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Update für Windows 7 (KB2726535)
 
Error - 09.01.2013 22:04:41 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Sicherheitsupdate für Windows 7 (KB2757638)
 
Error - 09.01.2013 22:04:55 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Sicherheitsupdate für Microsoft .NET Framework
 3.5.1 unter Windows 7 SP1 x86 (KB2756921)
 
Error - 09.01.2013 22:09:23 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Sicherheitsupdate für Windows 7 (KB2769369)
 
Error - 09.01.2013 22:09:23 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Sicherheitsupdate für Windows 7 (KB2778930)
 
Error - 09.01.2013 22:10:04 | Computer Name = Shakka-Desktop | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x8024200d fehlgeschlagen: Update für Windows 7 (KB2786400)
 
Error - 10.01.2013 13:19:21 | Computer Name = Shakka-Desktop | Source = Service Control Manager | ID = 7038
Description = Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser"
 mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:   %%1330    Vergewissern
 Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
 Management Console (MMC).
 
Error - 10.01.2013 13:19:21 | Computer Name = Shakka-Desktop | Source = Service Control Manager | ID = 7000
Description = Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1069
 
Error - 10.01.2013 13:31:07 | Computer Name = Shakka-Desktop | Source = Service Control Manager | ID = 7038
Description = Der Dienst "nvUpdatusService" konnte sich nicht als ".\UpdatusUser"
 mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:   %%1330    Vergewissern
 Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
 Management Console (MMC).
 
Error - 10.01.2013 13:31:07 | Computer Name = Shakka-Desktop | Source = Service Control Manager | ID = 7000
Description = Der Dienst "NVIDIA Update Service Daemon" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1069
 
 
< End of report >
--- --- ---

[/CODE]
__________________
Geändert von Shakka (10.01.2013 um 19:51 Uhr)

Alt 11.01.2013, 07:19   #4
t'john
/// Helfer-Team
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL

[2013.01.09 23:58:55 | 000,002,913 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js 

:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Shakka\*.tmp
C:\Users\Shakka\AppData\Local\Temp\*.exe
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 12.01.2013, 04:37   #5
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Erstmal vielen Dank für deine weitere Hilfe. Ich habe alle deine Anweisungen ausgeführt, hier die gewünschten Logs.

Das OTL Log:

Code:
ATTFilter
All processes killed
========== OTL ==========
C:\ProgramData\dsgsdgdsgdsgw.js moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
C:\ProgramData\TEMP folder moved successfully.
File\Folder C:\Users\Shakka\*.tmp not found.
C:\Users\Shakka\AppData\Local\Temp\AdobeUpdater12345.exe moved successfully.
C:\Users\Shakka\AppData\Local\Temp\AutoRun.exe moved successfully.
C:\Users\Shakka\AppData\Local\Temp\First15.exe moved successfully.
C:\Users\Shakka\AppData\Local\Temp\rootsupd.exe moved successfully.
C:\Users\Shakka\AppData\Local\Temp\vlc-2.0.4-win32.exe moved successfully.
C:\Users\Shakka\AppData\Local\Temp\VP6Install.exe moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
File/Folder C:\Users\Shakka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Shakka\Desktop\cmd.bat deleted successfully.
C:\Users\Shakka\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Shakka
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 74081732 bytes
->Java cache emptied: 14339147 bytes
->FireFox cache emptied: 429085504 bytes
->Google Chrome cache emptied: 254931515 bytes
->Flash cache emptied: 3141601 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 92765155 bytes
RecycleBin emptied: 1604177016 bytes
 
Total Files Cleaned = 2.358,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01112013_234811

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Das MBAR Log (nur einmal durchgeführt, da beim ersten Mal direkt ohne Fund):

Code:
ATTFilter
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2013.01.11.15

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Shakka :: SHAKKA-DESKTOP [administrator]

12.01.2013 00:13:47
mbar-log-2013-01-12 (00-13-47).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26314
Time elapsed: 10 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Und zu guter Letzt das Emsisoft Log:

Code:
ATTFilter
Emsisoft Anti-Malware - Version 7.0
Letztes Update: 12.01.2013 00:38:28

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	12.01.2013 00:38:57

C:\_OTL\MovedFiles\01112013_234811\C_ProgramData\dsgsdgdsgdsgw.js 	gefunden: Trojan.Script.480412 (B)
C:\_OTL\MovedFiles\01112013_234811\C_Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3cd49f10-60e09b33 -> ewjvaiwebvhtuai124a.class 	gefunden: Java.Exploit.Agent.A (B)
C:\_OTL\MovedFiles\01112013_234811\C_Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3cd49f10-60e09b33 -> hw.class 	gefunden: Exploit.Java.Agent.B (B)
C:\_OTL\MovedFiles\01112013_234811\C_Users\Shakka\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3cd49f10-60e09b33 -> test.class 	gefunden: Exploit.Java.Agent.B (B)


Gescannt	655337
Gefunden	4

Scan Ende:	12.01.2013 04:24:24
Scan Zeit:	3:45:27

Die Emsisoft Funde habe ich, so wie du gesagt hast, nicht in Quarantäne verschieben, sondern mir nur den Bericht anzeigen lassen.


Alt 12.01.2013, 13:11   #6
t'john
/// Helfer-Team
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Sehr gut!

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
--> "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1

Alt 12.01.2013, 21:10   #7
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Ich habe die 4 Funde von Emsisoft in die Quarantäne verschieben lassen und das Programm deinstalliert. Danach hab ich ESET durchgeführt, hier das Log:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=16852de0cbe39e478f1910851f027946
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-12 08:01:54
# local_time=2013-01-12 09:01:54 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 23260 223444204 19635 0
# compatibility_mode=5893 16776573 100 94 56346 109652105 0 0
# scanned=346086
# found=0
# cleaned=0
# scan_time=10209
Der "Quarantine" Ordner von Emsisoft ist im Übrigen noch auf meiner Festplatte vorhanden, soll ich den einfach löschen?

Alt 13.01.2013, 00:43   #8
t'john
/// Helfer-Team
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Zitat:
Der "Quarantine" Ordner von Emsisoft ist im Übrigen noch auf meiner Festplatte vorhanden, soll ich den einfach löschen?
ja, kannst du.


Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 10 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 13.01.2013, 05:10   #9
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Der PluginCheck mit aktiviertem Java Plugin:

Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 17.0 ist aktuell

    Flash (11,5,502,146) ist aktuell.

    Java ist Installiert aber nicht aktiviert.

    Adobe Reader 11,0,1,36 ist aktuell.
Und dann noch einmal mit deaktiviertem:

Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 17.0 ist aktuell

    Flash (11,5,502,146) ist aktuell.

    Java ist nicht Installiert oder nicht aktiviert.

    Adobe Reader 11,0,1,36 ist aktuell.
Als Browser habe ich Firefox verwendet. Warum Java auch mit aktiviertem Plugin als nicht installiert angezeigt wird, weiß ich nicht. Ich habe aber das Update durchgeführt und habe in der Programmliste Java 7 Update 10 stehen, und nur dieses. Die Verion des Plugins ist 7.0.100.18 10.10.2.18.

Alt 13.01.2013, 18:04   #10
t'john
/// Helfer-Team
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 13.01.2013, 18:16   #11
Shakka
 
"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Standard

"Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


Super. Vielen Dank für deine Hilfe!

Eine Frage habe ich aber noch, und zwar zum CCleaner. Du schreibst, dass man damit die Registry reinigen soll, in der Anleitung, die du verlinkt hast, wird dagegen davon abgeraten, daher bin ich mit nicht sicher, worauf ich hören soll.

Antwort

Themen zu "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1
.exe, abgesicherte, abgesicherten, abgesicherten modus, compu, computer, dll, gesperrt, gestartet, home, laufe, mbam, modus, nutze, premium, rundll, rundll32.exe, system, troja, trojaner, wgsdgsdgdsgsd.exe, windows, windows 7, zulassen, Änderungen


« Problem mit Trojaner GVU | Ads by Browse to Save - Virus »


Ähnliche Themen: "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1


  1. Computer wurde gesperrt - "Polizei" Trojaner/Virus
    Plagegeister aller Art und deren Bekämpfung - 09.05.2013 (15)
  2. Rechner gesperrt - "Polizei - Ihr Computer wurde gesperrt"
    Log-Analyse und Auswertung - 12.02.2013 (5)
  3. Computer gesperrt; wgsdgsdgdsgsd.exe,H1N1
    Plagegeister aller Art und deren Bekämpfung - 14.01.2013 (3)
  4. "Ihr Computer wurde gesperrt" Trojaner (User:Landvoigt)
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (18)
  5. Ihr Computer ist Gesperrt! Msconfig=>Systemstart wgsdgsdgdsgsd.dll,H1N1 deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 25.12.2012 (2)
  6. Bundestrojaner Variante: "Ihr Computer wurde gesperrt"; " Ihr Computer wurde durch das Speichern der autom. Informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 25.11.2012 (10)
  7. "Ihr Computer wurde durch das System der automatischen Informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 19.09.2012 (1)
  8. "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik Deutschland wurde gesperrt."
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (2)
  9. "Ihr Computer wurde gesperrt", Schweizerische Eidgenossenschaft, Ukash
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (7)
  10. Windows 7 64 Bit "GVU"" Ihr Computer wurde gesperrt."
    Log-Analyse und Auswertung - 30.07.2012 (27)
  11. Malware/Trojaner "Achtung! Ihr Computer wurde gesperrt!"
    Log-Analyse und Auswertung - 02.05.2012 (19)
  12. Windows 7(64bit) "Ihr Computer wurde aus Sicherheitsgründen gesperrt"
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (4)
  13. Windows Sicherheitszenter-Fenster "Achtung! Ihr Computer wurde gesperrt!"
    Log-Analyse und Auswertung - 15.02.2012 (7)
  14. Security Center " Achtung Ihr Computer wurde gesperrt " -> 100€ ....
    Plagegeister aller Art und deren Bekämpfung - 08.02.2012 (12)
  15. Meldung "Security Center !Achtung! Ihr Computer wurde gesperrt"
    Log-Analyse und Auswertung - 06.02.2012 (3)
  16. windows security center " Achtung! Ihr Computer wurde gesperrt! " Nr. 2
    Alles rund um Windows - 31.01.2012 (1)
  17. windows security center " Achtung! Ihr Computer wurde gesperrt! "
    Alles rund um Windows - 31.01.2012 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 - Hallo, Ich nutze Windows 7 Home Premium und habe mir gerade eben den "Computer gesperrt" Trojaner eingefangen. Ich wurde dabei gefragt, ob ich Änderungen an meinem System durch Rundll32.exe zulassen - "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1...
Archiv
Du betrachtest: "Ihr Computer wurde gesperrt", wgsdgsdgdsgsd.exe , H1N1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19