| |
| |||||||
Log-Analyse und Auswertung: GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.01.2013, 18:27
| #31 |
 |  GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? Ich erkenne keinerlei Performance- oder sonstige Probleme. Also, der Trojaner muss weg sein? Diverse Antivirenscanner hatten ja noch was in alten riesigen Thunderbird-Mailboxen gefunden. Ich gehe davon aus, dies ist inaktiv. Externe Festplatten sind weitgehend abgetrennt und hatten auch nur in der Richtung was. Was ist mit defogger? Kann man/soll man rückgängig machen? MS Windows Defender ersetzen? -- Sollte ich schauen, ob was andere AV Scanner noch erkannt haben, aber ich nicht gelöscht habe, noch da ist und manuell löschen? Oder wenn Combofix sagt alles ist okay, dann ist es? Code:
ATTFilter ESET erster Scan (spätere Scans zeigten dies nicht mehr auch wenn sie physisch noch da waren, aber dies war vor Combofix etc.)
C:\copydesktopmay2012\DownloadPrograms\EDrawMindMap.exe a variant of Win32/KeyLogger.Ardamax.NBK application
C:\copydesktopmay2012\DownloadPrograms\edrawSoftonicDownloader77933.exe a variant of Win32/SoftonicDownloader.A application
C:\copydesktopmay2012\DownloadPrograms\fc_setup_.zip Win32/Adware.ADON application
C:\copydesktopmay2012\DownloadPrograms\Kantaris_0.5.8_setup.exe Win32/OpenCandy application
C:\copydesktopmay2012\DownloadPrograms\OrbitSetup4.0.3.exe Win32/OpenCandy application
C:\copydesktopmay2012\DownloadPrograms\Setup_FreeBurner.exe Win32/Toolbar.Widgi application
C:\copydesktopmay2012\DownloadPrograms\SoftonicDownloader68760.exe a variant of Win32/SoftonicDownloader.A application
C:\copydesktopmay2012\DownloadPrograms\YouTubeDownloaderSetup272.exe a variant of Win32/Toolbar.Widgi application
C:\copydesktopmay2012\VirtualDesk\LinksPrograms\eBay.url Win32/Adware.ADON application
C:\D-copyMay12\VirtualDesk\LinksPrograms\eBay.url Win32/Adware.ADON application
C:\Users\***\AppData\Local\Temp\somoto-master.exe Win32/Somoto application
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet2_BatchFileRenamer_exe.exe a variant of Win32/InstallCore.D application
C:\Windows\Installer\54360.msi a variant of Win32/Toolbar.Widgi application
D:\FürNeuenHeimrechner\flvplayer4free_setup.exe a variant of Win32/Somoto.A application
D:\FürNeuenHeimrechner\SoftonicDownloader_fuer_quick-media-converter.exe Win32/SoftonicDownloader.D application
D:\FürNeuenHeimrechner\SoftwareDownloads\OrbitSetup4.0.3.exe Win32/OpenCandy application
D:\FürNeuenHeimrechner\SoftwareDownloads\webcamSoftonicDownloader64806.exe a variant of Win32/SoftonicDownloader.A application
D:\installed\cnet2_BatchFileRenamer_exe.exe a variant of Win32/InstallCore.D application
D:\installed\flvplayer4free_setup.exe a variant of Win32/Somoto.A application
D:\installed\SoftonicDownloader_fuer_quick-media-converter.exe Win32/SoftonicDownloader.D application
D:\installed\video-download-toolbar-setup.exe a variant of Win32/Somoto.A application
D:\Installers\video-download-toolbar-setup.exe a variant of Win32/Somoto.A application
Code:
ATTFilter PANDA:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2013-01-13 10:00:11
PROTECTIONS: 1
MALWARE: 18
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira Desktop Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\7i1cipyc.txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\ykcpj54h.txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\eiqbr3jz.txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\x899modp.txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\baek2uv4.txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\4nu8zorz.txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\9r2yzomt.txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\y1d2iq7f.txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\1byayxq9.txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\972fp3sp.txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\xqcoyyhz.txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\c3kvh289.txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\c6vlctmj.txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\nje1cyi9.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\ur9mg1lu.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\t7jgqv65.txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\gitztz5g.txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\xxooxliz.txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\53udhuim.txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\c4anj3oh.txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\low\wul83ati.txt
00235342 Adware/IST.ISTBar Adware No 1 Yes No d:\fürneuenheimrechner\softwaredownloads\qa2_installer_v21_060220.exe
00235342 Adware/IST.ISTBar Adware No 1 Yes No d:\fürneuenheimrechner\softwaredownloads\c-installers\qa2_installer_v21_060220.zip[mydownloadsprograms/qa2_installer_v21_060220.exe]
00235342 Adware/IST.ISTBar Adware No 1 Yes No c:\copydesktopmay2012\downloadprograms\qa2_installer_v21_060220.exe
00235342 Adware/IST.ISTBar Adware No 1 Yes No d:\fürneuenheimrechner\softwaredownloads\softwareinstallers_praktikum\setupqalign2_installer_v21_060220.exe
00235342 Adware/IST.ISTBar Adware No 1 Yes No d:\fürneuenheimrechner\softwaredownloads\c-installers\qa2_installer_v21_060220.exe
00235342 Adware/IST.ISTBar Adware No 1 Yes No d:\fürneuenheimrechner\ag myko softwareinstallers\setupqalign2_installer_v21_060220.exe
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\***\appdata\roaming\microsoft\windows\cookies\eqy1slih.txt
03009106 W32/Xor-encoded.A Virus No 0 Yes No c:\users\***\appdata\local\temp\housecall32\log\742ae857-0101-4206-9f03-fff0b44bf819\backup\59
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\copydesktopmay2012\downloadprograms\fc_setup_.zip[fc_setup.exe]
03403298 Trj/Sinowal.VQK Virus/Trojan No 0 Yes No c:\users\***\appdata\roaming\thunderbird\profiles\oxwq8emt.default\mail\local folders\thunderbird_eudora\thunderbird_&&&neu\importierte.sbd\eingang[e-ticket_n7399294.zip][e-ticket_n7399294_and_invoice_for_n73992943442.exe]
03403298 Trj/Sinowal.VQK Virus/Trojan No 0 Yes No c:\users\***\appdata\roaming\thunderbird\profiles\oxwq8emt.default\mail\thunderbird_&&&neu\importierte.sbd\eingang[e-ticket_n7399294.zip][e-ticket_n7399294_and_invoice_for_n73992943442.exe]
Code:
ATTFilter
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\windows\currentversion\run\\searchsettings
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{95b7759c-8c7f-4bf1-b163-73684a933233}
Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\urlsearchhooks\\{ef99bd32-c1fb-11d2-892f-0090271d4f88}
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{ef99bd32-c1fb-11d2-892f-0090271d4f88}
Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\urlsearchhooks\\{f3fee66e-e034-436a-86e4-9690573bee8a}
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{f3fee66e-e034-436a-86e4-9690573bee8a}
Successfully repaired: [Registry Value] hkey_current_user\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\.default\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-18\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-19\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-20\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\S-1-5-21-1856890243-4045489998-3042283056-1000\software\microsoft\internet explorer\searchscopes\\DefaultScope
~~~ Registry Keys
Successfully deleted: [Registry Key] hkey_local_machine\software\application updater
Successfully deleted: [Registry Key] hkey_current_user\software\appdatalow\software\search settings
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\appid\scripthelper.exe
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\appid\viprotocol.dll
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\protocols\handler\viprotocol
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\s
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\scripthelper.scripthelperapi
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\scripthelper.scripthelperapi.1
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\viprotocol.viprotocolole
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\viprotocol.viprotocolole.1
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{02478d38-c3f9-4efb-9b51-7695eca05670}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{02478d38-c3f9-4efb-9b51-7695eca05670}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}
Successfully deleted: [Registry Key] hkey_current_user\software\microsoft\internet explorer\searchscopes\{95b7759c-8c7f-4bf1-b163-73684a933233}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{95b7759c-8c7f-4bf1-b163-73684a933233}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{aa74d58f-acd0-450d-a85e-6c04b171c044}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{aa74d58f-acd0-450d-a85e-6c04b171c044}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{aaa38851-3cff-475f-b5e0-720d3645e4a5}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{ef99bd32-c1fb-11d2-892f-0090271d4f88}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{f3fee66e-e034-436a-86e4-9690573bee8a}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{f3fee66e-e034-436a-86e4-9690573bee8a}
C:\copydesktopmay2012\DownloadPrograms\EDrawMindMap.exe a variant of Win32/KeyLogger.Ardamax.NBK application (auf externen Platten ist es ohnehin alles, aber in C/D?) Dies ist hxxp://www.ardamax.com/helps/keylogger/hidden-mode.html und ich frage mich wieso das im Installer von was anderem mit drin steckt. habe mal bei fc_setup.exe - VirSCAN.org geschaut - diese datei erkennen AV gelegentlich als Trojaner. a-squared 5.1.0.4 20121223160450 2012-12-23 Trojan-Spy.Win32.SpyEyes!IK 15.845 Ikarus T3.1.32.20.0 2012.12.23.83056 2012-12-23 Trojan-Spy.Win32.SpyEyes a-squared 4.5.0.8 20091009200401 2009-10-09 Trojan-Dropper.Agent!IK Ikarus T3.1.01.72 2009.10.09.74016 2009-10-09 Trojan-Dropper.Agent Microsoft 1.5101 2009.10.08 2009-10-08 TrojanClicker:Win32/Yabector.A Möglicherweise Fehlalarm bei so wenigen Treffern. Hallo Markus ein nerviges Problem habe ich doch. Seit den ganzen Reparaturen muß ich jede externe Festplatte erst über diesen Autorun-Dialog öffnen. Bei maximal 4 Festplatten nervt dies echt. Vorher war es so, daß die wie interne Festplatten einfach da waren, solange sie schon vor dem Windows booten angeschlossen waren. Falls dies aus Sicherheit nun so geschieht ist es trotzdem sehr nervig. Gibt es da eine einfache Lösung ohne da in der registry rumzuspielen? Geändert von downwithtroy (23.01.2013 um 19:26 Uhr) |
|
24.01.2013, 18:08
| #32 |
| /// Malware-holic   | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? lösche alte mails, leere den papierkorb, komprimiere ordner.
__________________und lad software beim hersteller, du hast jede menge misst geladen (adware) externe platten automatisch zu öffnen ist nicht gut, kann schadsoftware übertragen. aber du kannst in dem öffnen dialog ne standard aktion auswählen, keine aktion zb. wegen der toolbar, poste ein neues otl log
__________________ |
|
24.01.2013, 18:33
| #33 |
| | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? Bin noch auf Arbeit, daher erstmal Nachfrage.
__________________lösche alte mails >>> ich habe gestern ein paar Stunden gebraucht die alten e-mails in Thunderbird neu zu indexen und freue mich auch noch eine e-mail Adresse von 2007 so zu finden. Löschen werde ich die auf keinen Fall. Ich muß die Mails schon jahrelang auf Festplatte speichern, da ich sonst nur Webmail habe und da die Quota immer voll ist. Diese habe ich auch mehrfach auf Festplatten wegen Rechnerneukäufen und der Erfahrung einer defekten Festplatte. Die Maildateien waren lange nicht mehr in Ordnung wegen größe, hin-und herschieben bei neuem Rechner, etc, abwechselnder Verwendung von Eudora und Thunderbird die sich dann gegenseitig in die Suppe spucken. Sind aber von Thunderbird nun wieder geindexed. leere den papierkorb >>> sollte leer sein komprimiere ordner >>> meintest Du Mailordner? und lad software beim hersteller, du hast jede menge misst geladen (adware) >>> merk ich mich für die Zukunft. Obwohl ich denke viel gibt es nur auf so online Plattformen zB. von Computerzeitschriften. Ich vermute Du meinst nix laden was nicht Bezahlware ist? Vielleicht helfen Onlinescanner bevor man eine Datei läd - aber sicher nicht gegen Adware? externe platten automatisch zu öffnen ist nicht gut, kann schadsoftware übertragen. aber du kannst in dem öffnen dialog ne standard aktion auswählen, keine aktion zb. >>> Die Option ist da nicht. Ich kann Autoplay komplett abschalten, aber nicht für die externen Festplatten separat. Und wenn Autoplay an ist, keine Option für nichts machen gesehen. In der Regel steht da Fotos zeigen etc., in Explorer öffnen, manchmal auch zu backup nutzen, solche Optionen kommen nur. Vorher war es bei diesem Win7 Rechner wie auch bei früheren Win (andere Version) Rechnern. Wenn ich Autoplay jetzt komplett deaktiviere kriege ich es auch nicht mehr für CDs und USB Sticks, da fand ich dies aber voll in Ordnung für z.B. zu sagen öffne CD mit dem Programm, brenne DVD mit dem Programm..., eben nur bei Festplatten will ich daß die einfach gemounted erscheinen ohne Fragen. - wenn die Platten schon eingesteckt waren und auch Strom hatten, dann wurden sie bis vor wenigen Tagen ohne Autoplay einfach gezeigt. Nur wenn ich die nachträglich angeschlossen habe oder erst dann Stromnetz angeschaltet habe, kam Autoplay. Irgeneines der Tools muß da was verändert haben. wegen der toolbar, poste ein neues otl log Okay, schaue mal wann ich zu komme, WE und Reise kommt näher. Erstmal danke so weit! Ich habe mal gesucht und finde dieses hxxp://www.sevenforums.com/general-discussion/191571-external-hard-drive-keeps-showing-autoplay-prompt-2.html In der Registry in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer oder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer dword "NoDriveTypeAutoRun". Traue mich aber nicht in regedit was zu machen. In hxxp://en.wikipedia.org/wiki/AutoRun liest sich dies noch komplexer. Also, ich finde es riskant und unschön Autoplay bei USB Sticks und optischen Drives nicht zu haben, aber echt blöd daß mir irgendwas die Möglichkeit, Autoplay nicht bei externen Platten zu haben, zerhackt hat. Na schätze muß ich nun bei diesem Rechner mit leben. vom Combofix, da habe ich noch folgendes gefunden: Code:
ATTFilter REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{2FE0F895-6D1D-4c80-A20D-18E42DE9B631}]
2011-12-23 15:57 91992 ----a-w- c:\program files (x86)\Soda 3D PDF Reader\PDFIEHelper.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{64C9D46E-8F8B-4158-9780-A6581C7439B1}"= "c:\program files (x86)\Soda 3D PDF Reader\PDFIEPlugin.dll" [2011-12-23 750936]
.
[HKEY_CLASSES_ROOT\clsid\{64c9d46e-8f8b-4158-9780-a6581c7439b1}]
[HKEY_CLASSES_ROOT\SodaReaderPDFIEPlugin.PDFIEConverter.1]
[HKEY_CLASSES_ROOT\TypeLib\{496FD2B4-369B-4c6b-B4F3-3D93A64D05E4}]
[HKEY_CLASSES_ROOT\SodaReaderPDFIEPlugin.PDFIEConverter]
Ich überlege ob ich nicht dieses Soda 3D PDF Reader, den ich standardmäßg verwende, lösche und neuinstalliere, vielleicht kann man danach die Integration mit IE richtig entfernen falls nicht gebraucht. OTL neuer Scan OTL Logfile: Code:
ATTFilter OTL logfile created on: 24.01.2013 20:52:51 - Run 4 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\***\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 7,95 Gb Total Physical Memory | 5,94 Gb Available Physical Memory | 74,70% Memory free 15,89 Gb Paging File | 13,81 Gb Available in Paging File | 86,93% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 254,14 Gb Total Space | 79,56 Gb Free Space | 31,30% Space Free | Partition Type: NTFS Drive D: | 29,00 Gb Total Space | 14,42 Gb Free Space | 49,74% Space Free | Partition Type: NTFS Drive G: | 335,35 Gb Total Space | 30,45 Gb Free Space | 9,08% Space Free | Partition Type: NTFS Drive H: | 931,51 Gb Total Space | 493,21 Gb Free Space | 52,95% Space Free | Partition Type: NTFS Drive I: | 298,09 Gb Total Space | 149,79 Gb Free Space | 50,25% Space Free | Partition Type: NTFS Drive J: | 931,51 Gb Total Space | 317,84 Gb Free Space | 34,12% Space Free | Partition Type: NTFS Computer Name: ***-PC | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.01.10 06:41:27 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe PRC - [2012.11.26 15:09:20 | 000,659,040 | ---- | M] (Secunia) -- C:\Program Files (x86)\Secunia\PSI\sua.exe PRC - [2012.09.17 06:13:54 | 000,097,152 | ---- | M] (Maxthon International ltd.) -- C:\Program Files (x86)\Maxthon3\Bin\Maxthon.exe PRC - [2012.08.08 22:29:48 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.22 23:01:46 | 000,136,336 | ---- | M] (Google Inc.) -- C:\Users\***\AppData\Local\RockMelt\Update\1.2.189.1\RockMeltCrashHandler.exe PRC - [2012.05.22 21:50:09 | 011,296,768 | ---- | M] (IBM) -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.brand.win32_3.0.1.20120110-2000\program\soffice.bin PRC - [2012.05.02 00:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.01 23:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2012.03.16 13:56:53 | 000,329,056 | ---- | M] (Lenovo) -- C:\Program Files (x86)\Lenovo\VeriFace\PManage.exe PRC - [2011.12.23 16:57:16 | 000,892,760 | ---- | M] (LULU Software) -- C:\Program Files (x86)\Soda 3D PDF Reader\ConversionService.exe PRC - [2011.09.15 15:19:14 | 000,079,232 | ---- | M] (IBM) -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.base_6.2.3.20110915-1350\win32\x86\symphony.exe PRC - [2011.06.15 12:46:52 | 000,548,864 | ---- | M] (Vimicro) -- C:\Program Files (x86)\USB Camera\VM331_STI.EXE PRC - [2011.02.18 09:20:54 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe PRC - [2011.02.18 09:20:50 | 000,283,160 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe PRC - [2011.01.29 00:29:36 | 000,136,488 | ---- | M] (CyberLink) -- C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe PRC - [2010.12.21 03:30:38 | 002,656,280 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe PRC - [2010.12.21 03:30:36 | 000,325,656 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe PRC - [2010.01.29 21:03:36 | 000,903,296 | ---- | M] (Hewlett-Packard Company) -- C:\Program Files (x86)\HP\Digital Imaging\bin\hpqdirec.exe PRC - [2008.12.04 12:24:30 | 000,665,424 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe ========== Modules (No Company Name) ========== MOD - [2013.01.10 01:04:56 | 000,475,648 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\7b0ad24d45e2a3f5f54f5f71748d8545\IAStorUtil.ni.dll MOD - [2013.01.10 01:04:56 | 000,014,336 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\IAStorCommon\8c4058d017d39a61458f635112f4e394\IAStorCommon.ni.dll MOD - [2013.01.10 00:31:01 | 000,771,584 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\90b89f6e8032310e9ac72a309fd49e83\System.Runtime.Remoting.ni.dll MOD - [2013.01.10 00:30:26 | 012,436,480 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\865d2bf19a7af7fab8660a42d92550fe\System.Windows.Forms.ni.dll MOD - [2013.01.10 00:30:17 | 001,592,832 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eead6629e384a5b69f9ae35284b7eeed\System.Drawing.ni.dll MOD - [2013.01.10 00:30:00 | 003,347,968 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\cf827fe7bc99d9bcf0ba3621054ef527\WindowsBase.ni.dll MOD - [2013.01.10 00:29:54 | 005,453,312 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml\f687c43e9fdec031988b33ae722c4613\System.Xml.ni.dll MOD - [2013.01.10 00:29:48 | 000,971,264 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\195a77fcc6206f8bb35d419ff2cf0d72\System.Configuration.ni.dll MOD - [2013.01.10 00:29:47 | 007,989,760 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\System\369f8bdca364e2b4936d18dea582912c\System.ni.dll MOD - [2013.01.10 00:29:39 | 011,493,376 | ---- | M] () -- C:\windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7150b9136fad5b79e88f6c7f9d3d2c39\mscorlib.ni.dll MOD - [2012.08.31 03:27:34 | 000,826,240 | ---- | M] () -- C:\Program Files (x86)\Maxthon3\Core\Webkit\libglesv2.dll MOD - [2012.08.31 03:27:34 | 000,144,256 | ---- | M] () -- C:\Program Files (x86)\Maxthon3\Core\Webkit\libegl.dll MOD - [2012.08.31 03:27:30 | 009,465,032 | ---- | M] () -- C:\Program Files (x86)\Maxthon3\Core\Webkit\Npplugins\NPSWF32.dll MOD - [2012.08.06 03:01:27 | 000,258,944 | ---- | M] () -- C:\Program Files (x86)\Maxthon3\bin\Maxzlib.dll MOD - [2012.05.22 21:50:55 | 000,077,824 | ---- | M] () -- C:\Users\***\IBM\Lotus\Symphony\.config\org.eclipse.osgi\bundles\398\1\.cp\officebean.dll MOD - [2012.05.22 21:50:54 | 000,073,728 | ---- | M] () -- C:\Users\***\IBM\Lotus\Symphony\.config\org.eclipse.osgi\bundles\262\1\.cp\swtIbmWrapper.dll MOD - [2012.05.22 21:50:09 | 000,967,168 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.brand.win32_3.0.1.20120110-2000\program\libxml2.dll MOD - [2012.05.22 21:50:00 | 000,163,840 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.basis.system.win32_3.0.1.20120110-2000\basis\program\libxslt.dll MOD - [2012.05.22 21:49:49 | 000,139,264 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.basis.base.win32_3.0.1.20120110-2000\basis\program\NSLDAP32V50.dll MOD - [2012.05.22 21:49:41 | 000,077,824 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.filetype.win32.x86_3.0.1.20120110-2000\seditorReg.dll MOD - [2012.05.22 21:49:22 | 000,106,496 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.swt.browser.dom.ie_6.2.3.20110915-1350\os\win32\x86\comex.dll MOD - [2012.03.16 13:56:52 | 000,013,664 | ---- | M] () -- C:\Program Files (x86)\Lenovo\VeriFace\ChooseLang.dll MOD - [2012.03.16 05:08:34 | 000,032,768 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_de_b77a5c561934e089\System.Runtime.Remoting.resources.dll MOD - [2012.02.22 19:49:56 | 000,921,600 | ---- | M] () -- C:\Program Files (x86)\Yahoo!\Messenger\yui.dll MOD - [2011.09.15 15:19:14 | 000,081,920 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.base_6.2.3.20110915-1350\win32\x86\eclipse_1118.dll MOD - [2011.09.15 15:19:12 | 000,110,592 | ---- | M] () -- C:\Program Files (x86)\IBM\Lotus\Symphony\framework\rcp\eclipse\plugins\com.ibm.rcp.base_6.2.3.20110915-1350\win32\x86\pipeserver.dll MOD - [2010.11.13 00:26:08 | 000,315,392 | ---- | M] () -- C:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2010.01.29 21:03:36 | 000,140,288 | ---- | M] () -- C:\Program Files (x86)\HP\Digital Imaging\bin\libexpatw.dll MOD - [2008.12.03 13:05:26 | 000,135,168 | ---- | M] () -- C:\PROGRA~2\EPSONS~1\EVENTM~1\ASSIST~1\SCANAS~1\SCANEN~1.DLL MOD - [2008.11.26 09:56:02 | 000,057,344 | ---- | M] () -- C:\PROGRA~2\EPSONS~1\EVENTM~1\ASSIST~1\SCANAS~1\SATWAIN.dll ========== Services (SafeList) ========== SRV - [2012.11.26 15:09:22 | 001,225,312 | ---- | M] (Secunia) [On_Demand | Stopped] -- C:\Program Files (x86)\Secunia\PSI\PSIA.exe -- (Secunia PSI Agent) SRV - [2012.11.26 15:09:20 | 000,659,040 | ---- | M] (Secunia) [Auto | Running] -- C:\Program Files (x86)\Secunia\PSI\sua.exe -- (Secunia Update Agent) SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012.07.30 20:44:10 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2012.05.02 00:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.01 23:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.12.23 16:57:16 | 000,892,760 | ---- | M] (LULU Software) [Auto | Running] -- C:\Program Files (x86)\Soda 3D PDF Reader\ConversionService.exe -- (Soda 3D PDF Reader Service) SRV - [2011.12.23 16:57:10 | 000,821,592 | ---- | M] (LULU Software) [On_Demand | Stopped] -- C:\Program Files (x86)\Soda 3D PDF Reader\HelperService.exe -- (Soda 3D PDF Reader Helper Service) SRV - [2011.02.18 09:20:54 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) SRV - [2010.12.21 03:30:38 | 002,656,280 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) SRV - [2010.12.21 03:30:36 | 000,325,656 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) SRV - [2010.09.22 19:10:10 | 000,057,184 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc) SRV - [2010.09.21 15:49:00 | 002,286,976 | ---- | M] (Microsoft Corp.) [Auto | Running] -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc) SRV - [2010.06.25 18:07:20 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\WinPcap\rpcapd.exe -- (rpcapd) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2007.12.17 22:00:00 | 000,163,840 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\ProgramData\EPSON\EPW!3 SSRP\E_S40STB.EXE -- (EPSON_EB_RPCV4_01) SRV - [2007.01.11 22:02:00 | 000,126,464 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RPB.EXE -- (EPSON_PM_RPCV4_01) ========== Driver Services (SafeList) ========== DRV:64bit: - [2012.05.02 14:24:12 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.04.27 09:20:04 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.04.24 23:32:27 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2012.03.16 14:07:08 | 000,039,008 | ---- | M] (Lenovo.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\LhdX64.sys -- (LHDmgr) DRV:64bit: - [2012.03.16 14:07:06 | 000,029,792 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AcpiVpc.sys -- (ACPIVPC) DRV:64bit: - [2012.03.16 14:04:21 | 000,057,952 | ---- | M] (Lenovo) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\fbfmon.sys -- (fbfmon) DRV:64bit: - [2012.03.16 14:04:21 | 000,013,408 | ---- | M] (Lenovo) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\BPntDrv.sys -- (BPntDrv) DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2011.09.29 04:23:24 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.09.29 04:23:24 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2011.06.15 04:51:18 | 000,250,752 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\vm331avs.sys -- (vm331avs) DRV:64bit: - [2011.04.08 02:59:58 | 001,430,576 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP) DRV:64bit: - [2011.03.25 11:17:48 | 012,262,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2011.03.10 10:01:00 | 001,581,184 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\CHDRT64.sys -- (CnxtHdAudService) DRV:64bit: - [2011.02.18 09:11:54 | 000,439,320 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2011.01.29 00:29:58 | 000,031,088 | ---- | M] (CyberLink Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\clwvd.sys -- (clwvd) DRV:64bit: - [2010.11.21 04:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.21 04:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD) DRV:64bit: - [2010.10.28 11:16:24 | 004,716,608 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\BCMWL664.SYS -- (BCM43XX) DRV:64bit: - [2010.10.21 07:57:30 | 000,076,912 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\L1C62x64.sys -- (L1C) DRV:64bit: - [2010.10.20 01:34:26 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64) DRV:64bit: - [2010.10.14 18:28:16 | 000,317,440 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud) DRV:64bit: - [2010.09.30 09:45:22 | 000,299,520 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rtsuvstor.sys -- (RSUSBVSTOR) DRV:64bit: - [2010.09.01 09:30:58 | 000,017,976 | ---- | M] (Secunia) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\psi_mf.sys -- (PSI) DRV:64bit: - [2010.08.16 10:28:50 | 000,008,320 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\vmuvcflt.sys -- (vmuvcflt) DRV:64bit: - [2010.06.25 18:07:26 | 000,035,344 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\npf.sys -- (NPF) DRV:64bit: - [2009.07.21 15:20:06 | 000,121,840 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\wsvd.sys -- (wsvd) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:35:42 | 000,187,392 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/ [binary data] IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://lenovo.msn.com IE:64bit: - HKLM\..\SearchScopes,DefaultScope = IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/ [binary data] IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://lenovo.msn.com IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\SearchScopes,defaultscope = IE - HKU\S-1-5-20\..\SearchScopes,defaultscope = IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7LENN_deDE486 IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\..\SearchScopes\{B0EDB329-81C3-4985-99CD-0A10755101F1}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811_yserp&p={searchTerms} IE - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.11.2: C:\windows\system32\npDeployJava1.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.11.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_146.dll () FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files (x86)\Foxit Software\Foxit Readerupdate\plugins\npFoxitReaderPlugin.dll (Foxit Corporation) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.10.2: C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6: C:\Program Files (x86)\Yahoo!\Shared\npYState.dll (Yahoo! Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@talk.google.com/GoogleTalkPlugin: C:\Users\***\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google) FF - HKCU\Software\MozillaPlugins\@talk.google.com/O3DPlugin: C:\Users\***\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll () FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\***\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKCU\Software\MozillaPlugins\@us-w1.rockmelt.com/RockMelt Update;version=8: C:\Users\***\AppData\Local\RockMelt\Update\1.2.189.1\npRockMeltOneClick8.dll (RockMelt Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Eudora OSE 1.0\extensions\\Components: C:\Program Files (x86)\Eudora OSE\components [2012.07.25 20:52:03 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Eudora OSE 1.0\extensions\\Plugins: C:\Program Files (x86)\Eudora OSE\plugins FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.05.22 20:59:05 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.05.22 22:49:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.05.22 20:59:05 | 000,000,000 | ---D | M] [2012.07.25 20:52:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2012.07.25 20:52:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} ========== Chrome ========== CHR - homepage: hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN CHR - default_search_provider: Ecosia (Enabled) CHR - default_search_provider: search_url = hxxp://ecosia.org/search.php?q={searchTerms}&addon=opensearch CHR - default_search_provider: suggest_url = hxxp://ecosia.org/ajax/searchsuggestions.php?q={searchTerms}&addon=opensearch CHR - homepage: hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\***\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.31.137.7_0\McChPlg.dll CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll CHR - plugin: Foxit Reader Plugin for Mozilla (Enabled) = C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Picasa (Enabled) = C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Windows Live\u0099 Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll CHR - plugin: RockMelt Update (Enabled) = C:\Users\***\AppData\Local\RockMelt\Update\1.2.189.1\npRockMeltOneClick8.dll CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~2\mcafee\msc\npmcsn~1.dll CHR - Extension: FE = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\agpbdjafdemnjnmmcgdhbaionbdbohmd\1.0.2_0\ CHR - Extension: WOT Safe Search = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddcihbboebboehpkkdfdkhbodacmmfkk\2_0\ CHR - Extension: World Time Buddy = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdhpjomiingppeefgnohkiapmnaeakoj\10_0\ CHR - Extension: Social Extras = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\maeijollgfmffkncnabiigmkoomhjnhf\3.6.0_0\ O1 HOSTS File: ([2013.01.16 21:30:07 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (Soda 3D PDF Reader Helper) - {2FE0F895-6D1D-4c80-A20D-18E42DE9B631} - C:\Program Files (x86)\Soda 3D PDF Reader\PDFIEHelper.dll (LULU Software) O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Soda 3D PDF Reader Toolbar) - {64C9D46E-8F8B-4158-9780-A6581C7439B1} - C:\Program Files (x86)\Soda 3D PDF Reader\PDFIEPlugin.dll (LULU Software) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O4:64bit: - HKLM..\Run: [Energy Management] C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited) O4:64bit: - HKLM..\Run: [EnergyUtility] C:\Program Files (x86)\Lenovo\Energy Management\Utility.exe (Lenovo(beijing) Limited) O4:64bit: - HKLM..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe (The Eraser Project) O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [Lenovo EE Boot Optimizer] C:\Program Files (x86)\Lenovo\Boot Optimizer\PopWnd.exe (Lenovo) O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [331BigDog] C:\Program Files (x86)\USB Camera\VM331_STI.EXE (Vimicro) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [EEventManager] C:\PROGRA~2\EPSONS~1\EVENTM~1\EEventManager.exe (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation) O4 - HKLM..\Run: [UpdateP2GShortCut] C:\Program Files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePRCShortCut] C:\Program Files\Lenovo\OneKey App\OneKey Recovery\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [VeriFaceManager] C:\Program Files (x86)\Lenovo\VeriFace\PManage.exe (Lenovo) O4 - HKLM..\Run: [YouCam Mirage] C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe (CyberLink) O4 - HKLM..\Run: [YouCam Tray] C:\Program Files (x86)\Lenovo\YouCam\YouCam.exe (CyberLink Corp.) O4 - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000..\Run: [Messenger (Yahoo!)] "C:\PROGRA~2\Yahoo!\Messenger\YahooMessenger.exe" -quiet File not found O4 - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000..\Run: [RockMelt Update] C:\Users\***\AppData\Local\RockMelt\Update\RockMeltUpdate.exe (Google Inc.) O4 - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000..\Run: [SymphonyPreLoad] "C:\Program Files (x86)\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.standard.launcher.win32.x86_3.0.1.20120110-2000\IBM Lotus Symphony" -nogui -nosplash File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1856890243-4045489998-3042283056-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200 File not found O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\windows\SysWow64\GPhotos.scr (Google Inc.) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.) O13 - gopher Prefix: missing O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab (Bitdefender QuickScan Control) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AF92EE21-72E2-4964-B614-D80911AF64AE}: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D28F202A-043D-4B78-9537-0E0969E5C61C}: DhcpNameServer = 192.168.1.1 O18:64bit: - Protocol\Handler\livecall - No CLSID value found O18:64bit: - Protocol\Handler\msnim - No CLSID value found O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found O18:64bit: - Protocol\Handler\wlpg - No CLSID value found O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\windows\SysNative\igfxdev.dll (Intel Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.07.12 16:42:46 | 000,000,000 | ---D | M] - G:\AutoCD -- [ NTFS ] O32 - Unable to obtain root file information for disk G:\ O32 - AutoRun File - [2009.12.14 10:00:22 | 000,008,192 | ---- | M] (Microsoft) - J:\AutoOff.exe -- [ NTFS ] O32 - AutoRun File - [2010.01.20 12:02:34 | 000,000,065 | ---- | M] () - J:\autorun.unf -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2013.01.24 20:51:45 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2013.01.23 23:44:02 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\ArcaVirMicroScan [2013.01.22 20:42:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs [2013.01.21 21:16:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP [2013.01.21 21:16:09 | 000,000,000 | ---D | C] -- C:\windows\Hewlett-Packard [2013.01.21 20:35:26 | 001,081,760 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\npDeployJava1.dll [2013.01.21 20:35:26 | 000,960,416 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\deployJava1.dll [2013.01.21 20:35:26 | 000,308,640 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\javaws.exe [2013.01.21 20:35:13 | 000,188,832 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\javaw.exe [2013.01.21 20:35:13 | 000,188,832 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\java.exe [2013.01.21 20:35:13 | 000,108,448 | ---- | C] (Oracle Corporation) -- C:\windows\SysNative\WindowsAccessBridge-64.dll [2013.01.21 20:35:05 | 000,000,000 | ---D | C] -- C:\Program Files\Java [2013.01.21 20:24:37 | 000,697,864 | ---- | C] (Adobe Systems Incorporated) -- C:\windows\SysWow64\FlashPlayerApp.exe [2013.01.21 20:24:37 | 000,074,248 | ---- | C] (Adobe Systems Incorporated) -- C:\windows\SysWow64\FlashPlayerCPLApp.cpl [2013.01.16 22:07:55 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN [2013.01.16 21:31:49 | 000,000,000 | ---D | C] -- C:\windows\temp [2013.01.16 21:18:42 | 000,518,144 | ---- | C] (SteelWerX) -- C:\windows\SWREG.exe [2013.01.16 21:18:42 | 000,406,528 | ---- | C] (SteelWerX) -- C:\windows\SWSC.exe [2013.01.16 21:18:42 | 000,060,416 | ---- | C] (NirSoft) -- C:\windows\NIRCMD.exe [2013.01.16 21:17:25 | 000,000,000 | ---D | C] -- C:\Qoobox [2013.01.16 21:17:12 | 000,000,000 | ---D | C] -- C:\windows\erdnt [2013.01.12 23:19:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Panda Security [2013.01.12 23:15:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\QuickScan [2013.01.12 21:07:23 | 000,200,976 | ---- | C] (Trend Micro Inc.) -- C:\windows\SysWow64\drivers\tmcomm.sys [2013.01.11 23:35:33 | 000,068,232 | ---- | C] (JGsoft - Just Great Software) -- C:\windows\UnDeployV.exe [2013.01.11 23:35:33 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\JGsoft [2013.01.10 21:03:57 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\SumatraPDF [2013.01.10 21:02:55 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IrfanView [2013.01.10 20:57:39 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Secunia PSI [2013.01.10 20:57:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Secunia [2013.01.10 20:43:14 | 000,000,000 | ---D | C] -- C:\ProgramData\YTD Video Downloader [2013.01.10 20:10:57 | 000,000,000 | ---D | C] -- C:\windows\ERUNT [2013.01.10 20:10:50 | 000,000,000 | ---D | C] -- C:\JRT [2013.01.10 19:50:22 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Visa [2013.01.09 23:23:53 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Programs [2013.01.09 23:23:12 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2013.01.09 23:23:07 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\windows\SysNative\drivers\mbam.sys [2013.01.09 23:23:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.01.09 23:23:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2013.01.09 23:23:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.01.09 23:20:34 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\mbam-setup.exe [2013.01.09 23:10:13 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\ElevatedDiagnostics [2013.01.09 20:29:12 | 000,750,592 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\win32spl.dll [2013.01.09 20:29:11 | 000,492,032 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\win32spl.dll [2013.01.09 20:29:01 | 000,307,200 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\ncrypt.dll [2013.01.09 20:29:00 | 000,800,768 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\usp10.dll [2013.01.09 20:28:58 | 002,746,368 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\gameux.dll [2013.01.09 20:28:58 | 002,576,384 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\gameux.dll [2013.01.09 20:28:58 | 000,441,856 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\Wpc.dll [2013.01.09 20:28:58 | 000,308,736 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\Wpc.dll [2013.01.09 20:28:58 | 000,055,296 | ---- | C] (Microsoft) -- C:\windows\SysWow64\cero.rs [2013.01.09 20:28:58 | 000,055,296 | ---- | C] (Microsoft) -- C:\windows\SysNative\cero.rs [2013.01.09 20:28:58 | 000,051,712 | ---- | C] (Microsoft) -- C:\windows\SysWow64\esrb.rs [2013.01.09 20:28:58 | 000,051,712 | ---- | C] (Microsoft) -- C:\windows\SysNative\esrb.rs [2013.01.09 20:28:58 | 000,046,592 | ---- | C] (Microsoft) -- C:\windows\SysWow64\fpb.rs [2013.01.09 20:28:58 | 000,046,592 | ---- | C] (Microsoft) -- C:\windows\SysNative\fpb.rs [2013.01.09 20:28:58 | 000,045,568 | ---- | C] (Microsoft) -- C:\windows\SysWow64\oflc-nz.rs [2013.01.09 20:28:58 | 000,045,568 | ---- | C] (Microsoft) -- C:\windows\SysNative\oflc-nz.rs [2013.01.09 20:28:58 | 000,044,544 | ---- | C] (Microsoft) -- C:\windows\SysWow64\pegibbfc.rs [2013.01.09 20:28:58 | 000,044,544 | ---- | C] (Microsoft) -- C:\windows\SysNative\pegibbfc.rs [2013.01.09 20:28:58 | 000,043,520 | ---- | C] (Microsoft) -- C:\windows\SysWow64\csrr.rs [2013.01.09 20:28:58 | 000,043,520 | ---- | C] (Microsoft) -- C:\windows\SysNative\csrr.rs [2013.01.09 20:28:58 | 000,040,960 | ---- | C] (Microsoft) -- C:\windows\SysWow64\cob-au.rs [2013.01.09 20:28:58 | 000,040,960 | ---- | C] (Microsoft) -- C:\windows\SysNative\cob-au.rs [2013.01.09 20:28:58 | 000,030,720 | ---- | C] (Microsoft) -- C:\windows\SysWow64\usk.rs [2013.01.09 20:28:58 | 000,030,720 | ---- | C] (Microsoft) -- C:\windows\SysNative\usk.rs [2013.01.09 20:28:58 | 000,023,552 | ---- | C] (Microsoft) -- C:\windows\SysWow64\oflc.rs [2013.01.09 20:28:58 | 000,023,552 | ---- | C] (Microsoft) -- C:\windows\SysNative\oflc.rs [2013.01.09 20:28:58 | 000,021,504 | ---- | C] (Microsoft) -- C:\windows\SysWow64\grb.rs [2013.01.09 20:28:58 | 000,021,504 | ---- | C] (Microsoft) -- C:\windows\SysNative\grb.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysWow64\pegi-pt.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysNative\pegi-pt.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysWow64\pegi-fi.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysNative\pegi-fi.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysWow64\pegi.rs [2013.01.09 20:28:58 | 000,020,480 | ---- | C] (Microsoft) -- C:\windows\SysNative\pegi.rs [2013.01.09 20:28:58 | 000,015,360 | ---- | C] (Microsoft) -- C:\windows\SysWow64\djctq.rs [2013.01.09 20:28:58 | 000,015,360 | ---- | C] (Microsoft) -- C:\windows\SysNative\djctq.rs [2013.01.09 20:28:40 | 001,161,216 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\kernel32.dll [2013.01.09 20:28:40 | 000,424,448 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\KernelBase.dll [2013.01.09 20:28:40 | 000,362,496 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\wow64win.dll [2013.01.09 20:28:40 | 000,338,432 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\conhost.exe [2013.01.09 20:28:40 | 000,243,200 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\wow64.dll [2013.01.09 20:28:40 | 000,215,040 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\winsrv.dll [2013.01.09 20:28:40 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\setup16.exe [2013.01.09 20:28:40 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\ntvdm64.dll [2013.01.09 20:28:40 | 000,014,336 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\ntvdm64.dll [2013.01.09 20:28:40 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\wow64cpu.dll [2013.01.09 20:28:40 | 000,007,680 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\instnm.exe [2013.01.09 20:28:40 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-security-base-l1-1-0.dll [2013.01.09 20:28:40 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-security-base-l1-1-0.dll [2013.01.09 20:28:40 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll [2013.01.09 20:28:40 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-file-l1-1-0.dll [2013.01.09 20:28:40 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\wow32.dll [2013.01.09 20:28:40 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-threadpool-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-processthreads-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-sysinfo-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-synch-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-localregistry-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll [2013.01.09 20:28:40 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-localization-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-rtlsupport-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-processenvironment-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-namedpipe-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-misc-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-memory-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-libraryloader-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-heap-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-xstate-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-util-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-util-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-string-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-profile-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-io-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-interlocked-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-handle-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-fibers-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-errorhandling-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-delayload-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-debug-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll [2013.01.09 20:28:40 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-datetime-l1-1-0.dll [2013.01.09 20:28:39 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll [2013.01.09 20:28:39 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\windows\SysNative\api-ms-win-core-console-l1-1-0.dll [2013.01.09 20:28:39 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\user.exe [2013.01.09 20:28:31 | 000,068,608 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\taskhost.exe [2013.01.07 23:39:26 | 000,000,000 | ---D | C] -- C:\Users\***\.thinupload [2012.12.28 00:41:28 | 000,367,616 | ---- | C] (Adobe Systems Incorporated) -- C:\windows\SysNative\atmfd.dll [2012.12.28 00:41:28 | 000,046,080 | ---- | C] (Adobe Systems) -- C:\windows\SysNative\atmlib.dll [2012.12.28 00:41:28 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\windows\SysWow64\atmlib.dll [2012.12.28 00:41:27 | 000,295,424 | ---- | C] (Adobe Systems Incorporated) -- C:\windows\SysWow64\atmfd.dll ========== Files - Modified Within 30 Days ========== [2013.01.24 20:56:42 | 000,021,072 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.01.24 20:56:42 | 000,021,072 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.01.24 20:45:00 | 000,001,136 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1856890243-4045489998-3042283056-1000UA.job [2013.01.24 20:06:00 | 000,000,944 | ---- | M] () -- C:\windows\tasks\RockMeltUpdateTaskUserS-1-5-21-1856890243-4045489998-3042283056-1000UA.job [2013.01.24 20:04:37 | 001,498,506 | ---- | M] () -- C:\windows\SysNative\PerfStringBackup.INI [2013.01.24 20:04:37 | 000,654,166 | ---- | M] () -- C:\windows\SysNative\perfh007.dat [2013.01.24 20:04:37 | 000,616,008 | ---- | M] () -- C:\windows\SysNative\perfh009.dat [2013.01.24 20:04:37 | 000,130,006 | ---- | M] () -- C:\windows\SysNative\perfc007.dat [2013.01.24 20:04:37 | 000,106,388 | ---- | M] () -- C:\windows\SysNative\perfc009.dat [2013.01.24 20:02:01 | 000,001,124 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job [2013.01.24 20:00:07 | 000,317,083 | ---- | M] () -- C:\windows\SysNative\fastboot.set [2013.01.24 19:59:28 | 000,001,120 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job [2013.01.24 19:59:15 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat [2013.01.24 19:58:49 | 2103,332,863 | -HS- | M] () -- C:\hiberfil.sys [2013.01.23 00:06:00 | 000,000,892 | ---- | M] () -- C:\windows\tasks\RockMeltUpdateTaskUserS-1-5-21-1856890243-4045489998-3042283056-1000Core.job [2013.01.21 21:07:34 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\windows\SysWow64\FlashPlayerApp.exe [2013.01.21 21:07:34 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\windows\SysWow64\FlashPlayerCPLApp.cpl [2013.01.21 20:35:07 | 000,308,640 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\javaws.exe [2013.01.21 20:35:07 | 000,188,832 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\javaw.exe [2013.01.21 20:35:07 | 000,108,448 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\WindowsAccessBridge-64.dll [2013.01.21 20:35:06 | 001,081,760 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\npDeployJava1.dll [2013.01.21 20:35:06 | 000,960,416 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\deployJava1.dll [2013.01.21 20:35:06 | 000,188,832 | ---- | M] (Oracle Corporation) -- C:\windows\SysNative\java.exe [2013.01.21 03:45:00 | 000,001,084 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1856890243-4045489998-3042283056-1000Core.job [2013.01.16 21:59:05 | 000,001,245 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Taskmanager.lnk [2013.01.16 21:30:07 | 000,000,027 | ---- | M] () -- C:\windows\SysNative\drivers\etc\hosts [2013.01.14 00:10:19 | 000,452,138 | ---- | M] () -- C:\Users\***\Desktop\AN.10092196.dEMAILPRINTER.dary.2013114014.pdf [2013.01.12 21:14:37 | 000,269,356 | ---- | M] () -- C:\Users\***\AppData\Local\census.cache [2013.01.12 21:14:30 | 000,107,291 | ---- | M] () -- C:\Users\***\AppData\Local\ars.cache [2013.01.12 21:06:51 | 000,000,036 | ---- | M] () -- C:\Users\***\AppData\Local\housecall.guid.cache [2013.01.11 23:35:33 | 000,001,543 | ---- | M] () -- C:\Users\Public\Desktop\EditPad Lite 6.lnk [2013.01.11 23:21:48 | 000,001,606 | ---- | M] () -- C:\Users\Public\Desktop\EditPad Lite 7.lnk [2013.01.11 20:55:46 | 964,357,762 | ---- | M] () -- C:\windows\MEMORY.DMP [2013.01.11 19:29:37 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable [2013.01.10 20:10:25 | 000,002,052 | ---- | M] () -- C:\windows\epplauncher.mif [2013.01.10 06:41:27 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2013.01.10 00:26:48 | 000,309,768 | ---- | M] () -- C:\windows\SysNative\FNTCACHE.DAT [2013.01.09 23:20:44 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\mbam-setup.exe ========== Files Created - No Company Name ========== [2013.01.16 21:58:55 | 000,001,245 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Taskmanager.lnk [2013.01.16 21:18:42 | 000,256,000 | ---- | C] () -- C:\windows\PEV.exe [2013.01.16 21:18:42 | 000,208,896 | ---- | C] () -- C:\windows\MBR.exe [2013.01.16 21:18:42 | 000,098,816 | ---- | C] () -- C:\windows\sed.exe [2013.01.16 21:18:42 | 000,080,412 | ---- | C] () -- C:\windows\grep.exe [2013.01.16 21:18:42 | 000,068,096 | ---- | C] () -- C:\windows\zip.exe [2013.01.14 00:10:19 | 000,452,138 | ---- | C] () -- C:\Users\***\Desktop\AN.10092196.dEMAILPRINTER.dary.2013114014.pdf [2013.01.12 21:14:37 | 000,269,356 | ---- | C] () -- C:\Users\***\AppData\Local\census.cache [2013.01.12 21:14:30 | 000,107,291 | ---- | C] () -- C:\Users\***\AppData\Local\ars.cache [2013.01.12 21:06:51 | 000,000,036 | ---- | C] () -- C:\Users\***\AppData\Local\housecall.guid.cache [2013.01.11 23:35:33 | 000,001,543 | ---- | C] () -- C:\Users\Public\Desktop\EditPad Lite 6.lnk [2013.01.11 23:21:48 | 000,001,606 | ---- | C] () -- C:\Users\Public\Desktop\EditPad Lite 7.lnk [2013.01.11 19:29:37 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable [2013.01.10 20:57:34 | 000,001,073 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Secunia PSI.lnk [2013.01.10 20:10:25 | 000,002,052 | ---- | C] () -- C:\windows\epplauncher.mif [2012.09.27 23:13:08 | 000,007,168 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.05.25 06:20:19 | 000,040,960 | ---- | C] () -- C:\windows\vsnpstd.exe [2012.05.25 06:20:19 | 000,015,541 | ---- | C] () -- C:\windows\snpstd.ini [2012.05.25 06:20:18 | 000,053,248 | ---- | C] () -- C:\windows\SysWow64\dsnpstd.dll [2012.05.25 06:20:12 | 000,301,184 | ---- | C] () -- C:\windows\SysWow64\drivers\snpstd.sys [2012.05.25 06:20:09 | 000,061,440 | ---- | C] ( ) -- C:\windows\SysWow64\csnpstd.dll [2012.05.25 06:20:09 | 000,049,152 | ---- | C] ( ) -- C:\windows\SysWow64\rsnpstd.dll [2012.05.25 06:20:09 | 000,036,864 | ---- | C] ( ) -- C:\windows\SysWow64\vsnpstd.dll [2012.05.25 06:20:07 | 000,020,480 | ---- | C] () -- C:\windows\usnpstd.exe [2012.05.22 23:59:54 | 000,134,132 | ---- | C] () -- C:\windows\ColorPic Uninstaller.exe [2012.05.22 22:01:05 | 000,000,218 | ---- | C] () -- C:\Users\***\.recently-used.xbel [2012.05.22 21:38:21 | 000,993,347 | ---- | C] () -- C:\windows\unins000.exe [2012.05.22 21:38:21 | 000,010,430 | ---- | C] () -- C:\windows\unins000.dat [2012.05.22 21:05:37 | 000,111,932 | ---- | C] () -- C:\windows\SysWow64\EPPICPrinterDB.dat [2012.05.22 21:05:37 | 000,031,053 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern131.dat [2012.05.22 21:05:37 | 000,027,417 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern121.dat [2012.05.22 21:05:37 | 000,026,154 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern1.dat [2012.05.22 21:05:37 | 000,024,903 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern3.dat [2012.05.22 21:05:37 | 000,021,390 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern5.dat [2012.05.22 21:05:37 | 000,020,148 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern2.dat [2012.05.22 21:05:37 | 000,011,811 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern4.dat [2012.05.22 21:05:37 | 000,004,943 | ---- | C] () -- C:\windows\SysWow64\EPPICPattern6.dat [2012.05.22 21:05:37 | 000,001,146 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_DU.dat [2012.05.22 21:05:37 | 000,001,139 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_PT.dat [2012.05.22 21:05:37 | 000,001,139 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_BP.dat [2012.05.22 21:05:37 | 000,001,136 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_ES.dat [2012.05.22 21:05:37 | 000,001,129 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_FR.dat [2012.05.22 21:05:37 | 000,001,129 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_CF.dat [2012.05.22 21:05:37 | 000,001,120 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_IT.dat [2012.05.22 21:05:37 | 000,001,107 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_GE.dat [2012.05.22 21:05:37 | 000,001,104 | ---- | C] () -- C:\windows\SysWow64\EPPICPresetData_EN.dat [2012.05.22 21:05:37 | 000,000,097 | ---- | C] () -- C:\windows\SysWow64\PICSDK.ini [2012.05.22 20:52:05 | 000,187,142 | ---- | C] () -- C:\windows\hphins32.dat [2012.03.16 14:13:07 | 000,000,512 | ---- | C] () -- C:\windows\previous.bin [2012.03.16 14:13:07 | 000,000,512 | ---- | C] () -- C:\windows\current.bin [2012.03.16 13:56:56 | 002,086,240 | ---- | C] () -- C:\windows\SysWow64\LenovoVeriface.Interface.dll [2012.03.16 13:56:56 | 001,500,512 | ---- | C] () -- C:\windows\SysWow64\Apblend.dll [2012.03.16 13:56:56 | 001,171,456 | ---- | C] () -- C:\windows\SysWow64\PicNotify.dll [2012.03.16 13:56:56 | 000,472,416 | ---- | C] () -- C:\windows\SysWow64\Lenovo.VerifaceStub.dll [2012.03.16 13:56:50 | 001,044,480 | ---- | C] () -- C:\windows\SysWow64\3DImageRenderer.dll [2012.03.16 13:47:25 | 000,001,803 | ---- | C] () -- C:\windows\vm331Rmv.ini [2012.03.16 13:47:25 | 000,001,803 | ---- | C] () -- C:\windows\SysWow64\vm331Rmv.ini [2012.03.16 13:44:21 | 000,066,856 | ---- | C] () -- C:\windows\SysWow64\SynTPEnhPS.dll [2012.03.16 13:31:51 | 000,963,116 | ---- | C] () -- C:\windows\SysWow64\igkrng600.bin [2012.03.16 13:31:50 | 000,216,876 | ---- | C] () -- C:\windows\SysWow64\igfcg600m.bin [2012.03.16 13:31:49 | 000,145,804 | ---- | C] () -- C:\windows\SysWow64\igcompkrng600.bin ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== Files - Unicode (All) ========== [2012.11.21 20:20:08 | 000,085,020 | ---- | M] ()(C:\Users\***\Desktop\Beibl?tter 2011.pdf) -- C:\Users\***\Desktop\Beibl?tter 2011.pdf [2012.11.21 20:20:08 | 000,085,020 | ---- | C] ()(C:\Users\***\Desktop\Beibl?tter 2011.pdf) -- C:\Users\***\Desktop\Beibl?tter 2011.pdf < End of report > Diese Chromeplugins findet OTL, aber die sind doch deinstalliert! CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.31.137.7_0\McChPlg.dll CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~2\mcafee\msc\npmcsn~1.dll CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\11.1.0\\npsitesafety.dll So perfekt funktionieren diese Sicherheitsprogramme also auch nicht. Und was ist dies eigentklich? Sicher? [2013.01.22 20:42:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe ? Weiß nicht mehr wie dies sich am 22.1. installiert hat. Okay, nun sehe ich, dies ist etwas was von AdwCleaner empfohlen ist (unter ?), was aber nicht korrekt installiert wurde, deinstaller dazu ist auch keiner da, auch nicht unter Programme gelistet. Soll ich die HOSTS_Anti-Adware.exe und HOSTS_Anti-Adware_main.exe einfach löschen, aber dann bleiben doch Reste in der registry? Ebend habe ich die exe sogar versehentlich ausgeführt, scheint nix passiert zu sein und taucht in taskmanager auch nicht auf. Sorry dass ich nicht einiges obig gepostete rückgängig machen kann. nach mehrfach hin und her Autoplay ein/aus habe ich jetzt zweimal rebootet und die externen Festplatten erscheinen ohne Autoplay, obwohl Autoplay nicht generell deaktiviert ist. Die SD Karte zeigt Autplay wieder. So wollte ich es haben, jetzt geht es wieder. Unerklärlich. Geändert von downwithtroy (24.01.2013 um 18:42 Uhr) |
|
24.01.2013, 22:48
| #34 |
| /// Malware-holic | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? hi du sollst ja auch nur unnötige mails löschen, papierkorb leeren, ordner komprimieren warum sollte es riskannt sein, kein autoplay zu haben, umgekerht wird n schu draus den pdf reader kannst du de und reinstalieren. dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Files
:Commands
[EMPTYFLASH]
[emptytemp]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
25.01.2013, 00:07
| #35 |
| | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? a) Zum Glück habe ich dies kopiert, keine Ahnung wo OTL den Bericht vom Fix hingelegt hat. Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Default
->Flash cache emptied: 58264 bytes
User: Default User
->Flash cache emptied: 0 bytes
User: ***
->Flash cache emptied: 14913037 bytes
User: Public
Total Flash Files Cleaned = 14,00 mb
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: ***
->Temp folder emptied: 171707267 bytes
->Temporary Internet Files folder emptied: 41154391 bytes
->Java cache emptied: 2043632 bytes
->Google Chrome cache emptied: 384122470 bytes
->Opera cache emptied: 2597 bytes
->Flash cache emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 157312 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 70652 bytes
RecycleBin emptied: 574315 bytes
Total Files Cleaned = 572,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 01242013_232809
Files\Folders moved on Reboot...
C:\Users\***\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
c) danach gewundert wieso versteckte Systemdateien wie $RECYCLE.BIN auf C nicht mehr angezeigt werden - wieder so gemacht. d) IE gecheckt, Soda 3D PDF Toolbar da immer noch inaktiv angeboten, dann Soda 3D PDF Reader deinstalliert -> Add-ons in IE sind jetzt weg, lag also an Soda selbst. e) ganz neue Version des Programs Soda 3D PDF Reader neu installiert, ohne die angebotene AVG Sevurity Toolbar mitzuinstallieren f) und siehe da, in IE wird die Soda 3D PDF Toolbar wieder angeboten, wenn man sie aktivieren will, wird gesagt man muß den Soda 3D PDF Helper Tool mitaktivieren (habe beides gelassen, genauso habe ich nicht auf die PDF-Creation Tools von Soda per Registrierung aktiviert) Übrigens Chrome listed die folgenden Plugins, was sich von OTL's gefunden doch unterscheidet: Code:
ATTFilter Plug-ins (13)
Details
Adobe Flash Player (2 files) - Version: 11.5.31.137
Shockwave Flash 11.5 r31
Name: Shockwave Flash
Beschreibung: Shockwave Flash 11.5 r31
Version: 11.5.31.137
Speicherort: C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll
Typ: PPAPI (Out-of-Process)
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-shockwave-flash Shockwave Flash
.swf
application/futuresplash FutureSplash Player
.spl
Name: Shockwave Flash
Beschreibung: Shockwave Flash 11.5 r502
Version: 11,5,502,146
Speicherort: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_146.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-shockwave-flash Adobe Flash movie
.swf
application/futuresplash FutureSplash movie
.spl
Deaktivieren Immer erlaubt
Google Talk (2 files) - Version: 3.10.2.10212
Name: Google Talk Plugin
Version: 3.10.2.10212
Speicherort: C:\Users\DirkSoils\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/googletalk Google voice and video chat
.googletalk
Name: Google Talk Plugin Video Accelerator
Beschreibung: Google Talk Plugin Video Accelerator version:0.1.44.23
Version: 0,1,44,23
Speicherort: C:\Users\DirkSoils\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/vnd.gtpo3d.auto
Deaktivieren Immer erlaubt
Picasa - Version: 3, 1, 0, 0
Picasa plugin
Name: Picasa
Beschreibung: Picasa plugin
Version: 3, 1, 0, 0
Speicherort: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-picasa-detect 3.1
.pinstall
Deaktivieren Immer erlaubt
Chrome Remote Desktop Viewer
This plugin allows you to securely access other computers that have been shared with you. To use this plugin you must first install the Chrome Remote Desktop webapp.
Name: Chrome Remote Desktop Viewer
Beschreibung: This plugin allows you to securely access other computers that have been shared with you. To use this plugin you must first install the Chrome Remote Desktop webapp.
Version:
Speicherort: internal-remoting-viewer
Typ: PPAPI (In-Process)
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/vnd.chromium.remoting-viewer
.
Deaktivieren Immer erlaubt
Google Earth Plugin - Version: 6.2.0.5788
GEPlugin
Name: Google Earth Plugin
Beschreibung: GEPlugin
Version: 6.2.0.5788
Speicherort: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/geplugin GEPlugin
Deaktivieren Immer erlaubt
Native Client
Name: Native Client
Version:
Speicherort: C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll
Typ: PPAPI (In-Process)
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-nacl Native Client Executable
.nexe
Deaktivieren Immer erlaubt
Chrome PDF Viewer
Name: Chrome PDF Viewer
Version:
Speicherort: C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll
Typ: PPAPI (In-Process)
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/pdf Portable Document Format
.pdf
application/x-google-chrome-print-preview-pdf Portable Document Format
.pdf
Deaktivieren Immer erlaubt
Foxit Reader Plugin for Mozilla - Version: 2, 2, 1, 0530
Foxit Reader Plug-In For Firefox and Netscape
Name: Foxit Reader Plugin for Mozilla
Beschreibung: Foxit Reader Plug-In For Firefox and Netscape
Version: 2, 2, 1, 0530
Speicherort: C:\Program Files (x86)\Foxit Software\Foxit Readerupdate\plugins\npFoxitReaderPlugin.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/pdf Acrobat Portable Document Format
.pdf
Deaktivieren Immer erlaubt
Google Update - Version: 1.3.21.123
Name: Google Update
Version: 1.3.21.123
Speicherort: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-vnd.google.update3webcontrol.3
application/x-vnd.google.oneclickctrl.9
Deaktivieren Immer erlaubt
Silverlight - Version: 4.1.10329.0
Name: Silverlight Plug-In
Version: 4.1.10329.0
Speicherort: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-silverlight npctrl
.scr
application/x-silverlight-2
Deaktivieren Immer erlaubt
Windows Live™ Photo Gallery - Version: 15.4.3508.1109_ship.wlx.w4m4 (ship)
NPWLPG
Name: Windows Live™ Photo Gallery
Beschreibung: NPWLPG
Version: 15.4.3508.1109_ship.wlx.w4m4 (ship)
Speicherort: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-wlpg3-detect Windows Live™ Photo Gallery
.wlpg
application/x-wlpg-detect Windows Live™ Photo Gallery
.wlpg
Deaktivieren Immer erlaubt
RockMelt Update - Version: 1.2.189.1
Name: RockMelt Update
Version: 1.2.189.1
Speicherort: C:\Users\DirkSoils\AppData\Local\RockMelt\Update\1.2.189.1\npRockMeltOneClick8.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/x-vnd.rockmelt.oneclickctrl.8
Deaktivieren Immer erlaubt
Java(TM) - Version: 10.10.2.18
NPRuntime Script Plug-in Library for Java(TM) Deploy
Name: Java Deployment Toolkit 7.0.100.18
Beschreibung: NPRuntime Script Plug-in Library for Java(TM) Deploy
Version: 10.10.2.18
Speicherort: C:\windows\SysWOW64\npDeployJava1.dll
Typ: NPAPI
Deaktivieren
MIME-Typen:
MIME-Typ Beschreibung Dateiendungen
application/java-deployment-toolkit
Deaktivieren Immer erlaubt
ich sehe dass alle möglichen Temp Dateien nun weg sind. Habe mal in C bereinigen geschaut. Was ist eigentlich mit evtl. vorhandenen älteren Systemwiederherstellungen und mit Windows-Fehlerberichterstattungsdateien (mehrere mit über 1 GB!), eine Systemfehler-Speicherabbilddatei mit 920 MB? tmp Dateien außerhalb der Ordner die OTL nun gereinigt hat?, ~ Dateien von gecrashten Officeanwendungen? nett daß diese riesigen Chrome und Flash caches leer sind jedenfalls. Da wäre ich nicht draufgekommen. Wo ist eigentlich der Pfad zur Chrome Cache? C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Cache Flash cache ? C:\Users\***\AppData\Roaming\Adobe\Flash Player\AssetCache\JPFT2PPX - da sind aber noch etliche Dateien drin im Flash cache. Geändert von downwithtroy (25.01.2013 um 00:34 Uhr) |
|
25.01.2013, 16:29
| #36 |
| /// Malware-holic | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? die crash dateien kannst du löschen, oder behalten, wie du willst systemwiederhestellung kannst du de und reaktivieen: http://www.windowspower.de/systemwie...vista_967.html das mit der toolbar so belassen cache: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Cache aber so viel ist da ja meist eh nicht drinn in den caches an speicher scheints dir ja zumindest nicht zu mangeln.
__________________ --> GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? |
|
28.01.2013, 19:51
| #37 |
| | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? Hallo Markusg, zurück von Reise. Erstmal ganz vielen Dank. Wie weiter, wenn soweit alles erledigt? downwithtroy |
|
29.01.2013, 12:29
| #38 |
| /// Malware-holic | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? otl öffnen bereinigen, pc startet neu, remover werden gelöscht. lösche über gebliebene Logs, Remover, Setups, leere den Papierkorb als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. Computeractive Software Store - Emsisoft Anti-Malware 7 [1-PC] - 63% off RRP testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren. vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen. Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: Sandboxie - Download - Filepony anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: hide beta updates. Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: http://www.trojaner-board.de/82962-w...en-backup.html Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser passwort sicherheit: jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort bei der passwort verwaltung und erstellung hilft roboform Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager anleitung: RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
29.01.2013, 14:24
| #39 |
| | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? Hallo Markusg, ohje, dies wird eine Weile dauern. Kleine Nach-Fragen: - mit OTL fix anfangen, und dann nach und nach abarbeiten? - was mache ich mit dem defogger? - wenn ich erstmal mit avast Pro fahren will, ich habe gelesen avast Pro hat eine eigene Sandbox, reicht dies dann nicht? Oder Comodo mit Sandbox? - kann man Opera auch als Sandboxed Browser wählen? - bzgl. SEHOP: da wird von Problemen mit cygwin und Skype gesprochen. Cywin hatte ich mal beruflich, aber Skype nutze ich oft. Wenn Skype nicht mehr funktioniert, kann man SEHOP schnell wieder deaktivieren? Dankesehr Und anstelle von Sandboxie, hast Du Erfahrungen damit: hxxp://www.trustware.com/BufferZone-Pro-Features/ (BufferZone)? Ich würde gern mehr als einen Standardbrowser in der Sandbox nutzen können. Ein review davon: hxxp://www.tecchannel.de/sicherheit/tools/2039539/bufferzone_pro_programme_in_isoliertem_bereich_ausfuehren/ Geändert von downwithtroy (29.01.2013 um 14:58 Uhr) |
|
31.01.2013, 19:15
| #40 |
| /// Malware-holic | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? hi nimm Sandboxie, das ist besser, wenn es ne Kaufversion von Antimalware software sein darf, emsisoft, ist ebenfalls besser als Avast. otl löscht alle remover, auch defogger, sehop kann man rückgängig machen. opera kann man auch in der Sandbox laufen lassen. gib anstellte chrome.exe opera.exe frei und unter anwendung, webbrowser, sonstige, opera, alles außer gesammten profil ordner du kannst in Sandboxie mehrere Browser nutzen. in der Vollversion zb erzwungene programmstarts, bei programm zugriff und internet zugriff die benötigte exe datei freigeben und gut is. ich würd aber dann eher chrome nutzen, die halten sich an webstandards und da dürfte es dann keine Probleme geben und mehrere Browser sind gar nicht nötig edit: bei der kostenlosen sandbox version, die Freigaben wie angesprochen, rechtsklick, in Sandboxie starten, bei dem jeweiligem Symbol
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
09.02.2013, 17:38
| #41 |
| | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? Hall Markusg bin momentan viel dienstlich unterwegs, daher dauert es etwas dies abzuarbeiten (verwende Rechner gerade eher wenig). Das wesentliche scheint aber durch zu sein. Ich verwende auch Sandbox. Chrome mußte ich neuinstallieren, da war was komisch daß die Chrome Icons von .url shortcuts immer weg waren. Hatte gegoogelt und verschiedentlich wurde sowas in Foren diskutiert. Ansonten läuft Rechner jetzt super, und ich bleibe über Filehippo auch uptodate. Nochmals vielen vielen Dank für die Hilfe. Allein wäre ich soweit nicht gekommen! downwithtroy |
|
11.02.2013, 13:12
| #42 |
| /// Malware-holic | GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? hi gerne, dafür sind wir hier
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu GVU 2.11 / evtl. noch was in RECYCLE bin und Sytemfoldern? |
| .dll, adobe, adware, antivirus, avira, browser, desktop, desktop.ini, diverse, e-mail, eraser, eset online scanner, explorer, festplatte, file, firewall, gvu 2.11, gvu-trojaner, infizierte, java-update, kaspersky, löschen, netzwerk, ordner, rootkit, scan, starten, suche, updates, viren, windows |
Linear-Darstellung
