wie den GVU-Trojaner loswerden?

helgeyo · 16.01.2013, 00:56

hey leute,
habe mir auch den gvu trojaner eingefangen. bei dem sperrbildschirm habe ich dann erstmal den rechner per powerknopf ausgemacht und kam dann durch abbrechen des herunterfahrens vom sperrbildschirm auf den desktop. habe gvu gegoogelt und bin über deren seite auf dieses forum gestoßen.

habe jetzt defogger, OTL und GMER laufen lassen. kann schonmal vorwerg sagen, dass der trojaner noch da ist, da der sperrbildschirm bei neustart wieder erschien und ich wie oben beschrieben auf den desktop gelangt bin um jetzt hier ins forum zu schreiben.

defogger lief problemlos, OTL gab jedoch schon schwierigkeiten: es wurde keine Extra.txt datei angefertigt. füge euch mal die OTL.txt und die Gmer.txt hinzu und hoffe, dass ihr mir helfen könnt. bin wirklich ahnungslos auf dem gebiet.

PS:
bevor der anschein entsteht: die download-dateien von far cry 3 sind legal, habe das spiel über den ubishop erstanden und dort ist der download nunmal merkwürdig (AMD verteilte bei aktuellen grafikkarten codes für das spiel, habe die HD7870)

PPS:
wäre das formatieren der festplatte auch eine option, den virus loszuwerden? wenn ja, könnte ich dann trotzdem ein backup von manchen dateien (z.B. ein Steam Backup) auf eine externe festplatte machen, ohne den virus "mitzuschleppen"? denn wenn ja, wäre das formatieren garnicht mal so schlimm für mich. habe den rechner keine 3 monate, es wäre also nicht besonders viel arbeit, den neu einzurichten, windows cd habe ich hier ja schließlich liegen.

OTL:

PHP-Code:

  OTL logfile created on: 16.01.2013 00:18:58 - Run 3

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Helge\Desktop

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

7,90 Gb Total Physical Memory | 6,51 Gb Available Physical Memory | 82,40% Memory free

15,79 Gb Paging File | 14,20 Gb Available in Paging File | 89,92% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 931,41 Gb Total Space | 821,17 Gb Free Space | 88,16% Space Free | Partition Type: NTFS

 

Computer Name: HELGE-PC | User Name: Helge | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 

[color=#E56717]========== Processes (SafeList) ==========[/color]

 

PRC - [2013.01.15 23:09:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

PRC - [2013.01.08 01:06:24 | 001,248,360 | ---- | M] (Google Inc.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

PRC - [2012.12.11 17:51:07 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

PRC - [2012.12.11 17:50:58 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

PRC - [2012.11.29 15:59:49 | 000,076,888 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe

PRC - [2007.05.28 17:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

 

[color=#E56717]========== Modules (No Company Name) ==========[/color]

 

MOD - [2013.01.08 01:06:22 | 000,460,392 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll

MOD - [2013.01.08 01:06:19 | 004,012,648 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll

MOD - [2013.01.08 01:05:29 | 000,598,120 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libglesv2.dll

MOD - [2013.01.08 01:05:28 | 000,124,520 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libegl.dll

MOD - [2013.01.08 01:05:25 | 001,553,000 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ffmpegsumo.dll

 

 

[color=#E56717]========== Services (SafeList) ==========[/color]

 

SRV:[b]64bit:[/b] - [2012.12.02 08:36:50 | 000,240,640 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)

SRV - [2012.12.21 16:53:49 | 000,541,760 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)

SRV - [2012.12.11 17:51:07 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2012.12.11 17:50:58 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2012.11.29 15:59:49 | 000,076,888 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)

SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)

SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)

SRV - [2007.05.28 17:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Running] -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)

 

 

[color=#E56717]========== Driver Services (SafeList) ==========[/color]

 

DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)

DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)

DRV:[b]64bit:[/b] - [2012.12.02 09:29:48 | 011,270,656 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)

DRV:[b]64bit:[/b] - [2012.12.02 08:13:20 | 000,546,816 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)

DRV:[b]64bit:[/b] - [2012.11.04 22:16:29 | 000,868,848 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

DRV:[b]64bit:[/b] - [2012.11.04 20:39:06 | 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01)

DRV:[b]64bit:[/b] - [2012.09.24 09:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)

DRV:[b]64bit:[/b] - [2012.07.17 18:12:08 | 000,062,784 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64)

DRV:[b]64bit:[/b] - [2012.05.14 07:12:30 | 000,096,896 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)

DRV:[b]64bit:[/b] - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,787,736 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\iusb3xhc.sys -- (iusb3xhc)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,356,120 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\iusb3hub.sys -- (iusb3hub)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,016,152 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iusb3hcs.sys -- (iusb3hcs)

DRV:[b]64bit:[/b] - [2011.08.23 14:57:24 | 000,565,352 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)

DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)

DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)

DRV:[b]64bit:[/b] - [2010.11.21 04:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)

DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)

DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD)

DRV:[b]64bit:[/b] - [2009.11.18 00:12:00 | 000,032,344 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\MBfilt64.sys -- (MBfilt)

DRV:[b]64bit:[/b] - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)

DRV:[b]64bit:[/b] - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)

DRV:[b]64bit:[/b] - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)

DRV:[b]64bit:[/b] - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)

DRV:[b]64bit:[/b] - [2007.07.17 17:42:38 | 000,056,336 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\LMouFilt.Sys -- (LMouFilt)

DRV:[b]64bit:[/b] - [2007.07.17 17:42:32 | 000,054,288 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\LHidFilt.Sys -- (LHidFilt)

DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)

 

 

[color=#E56717]========== Standard Registry (SafeList) ==========[/color]

 

 

[color=#E56717]========== Internet Explorer ==========[/color]

 

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 44 14 D1 A7 6A B9 CD 01  [binary data]

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

[color=#E56717]========== FireFox ==========[/color]

 

FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll ()

FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)

FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0: C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll (ESN Social Software AB)

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)

 

 

 

[color=#E56717]========== Chrome  ==========[/color]

 

CHR - homepage: hxxp://www.google.com/

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}

CHR - homepage: hxxp://www.google.com/

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll

CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll

CHR - Extension: YouTube = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\

CHR - Extension: Google-Suche = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\

CHR - Extension: Google Mail = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\

 

O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts

O2:[b]64bit:[/b] - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O3:[b]64bit:[/b] - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O4:[b]64bit:[/b] - HKLM..\Run: [itype] C:\Program Files\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)

O4:[b]64bit:[/b] - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.)

O4:[b]64bit:[/b] - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKLM..\Run: [USB3MON] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation)

O4 - HKCU..\Run: [Foged] C:\Users\Helge\AppData\Roaming\Gytodi\isomi.exe (Microsoft Corporation)

O4 - HKCU..\Run: [Spotify Web Helper] C:\Users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)

O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\steam.exe (Valve Corporation)

O4 - Startup: C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()

O4 - Startup: C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O13[b]64bit:[/b] - gopher Prefix: missing

O13 - gopher Prefix: missing

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{14F304A1-0E1E-45F2-9393-319BE41AABBC}: DhcpNameServer = 192.168.178.1

O18:[b]64bit:[/b] - Protocol\Handler\bwfile-8876480 - No CLSID value found

O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found

O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)

O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)

O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell - "" = AutoRun

O33 - MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell\AutoRun\command - "" = E:\hmh-dishonored.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*

O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*

O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

 

[2013.01.15 23:08:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

[2013.01.15 22:19:41 | 000,190,464 | ---- | C] (&#1050;орпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Gytodi

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Esixiw

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Aknu

[2013.01.07 17:07:46 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games

[2013.01.07 16:56:20 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\directx

[2013.01.06 15:10:51 | 000,000,000 | ---D | C] -- C:\Users\Helge\Documents\Witcher 2

[2013.01.06 15:10:51 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Local\The Witcher 2

[2013.01.03 15:34:30 | 000,000,000 | ---D | C] -- C:\Users\Helge\Desktop\EC1 eVo

[2012.12.23 16:59:28 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Skype

[2012.12.23 16:59:24 | 000,000,000 | R--D | C] -- C:\Program Files (x86)\Skype

[2012.12.23 16:59:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype

[2012.12.23 16:59:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype

[2012.12.23 16:59:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Skype

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

 

[2013.01.16 00:18:08 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2013.01.16 00:18:08 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2013.01.16 00:15:11 | 001,612,484 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI

[2013.01.16 00:15:11 | 000,696,620 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat

[2013.01.16 00:15:11 | 000,651,938 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat

[2013.01.16 00:15:11 | 000,147,916 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat

[2013.01.16 00:15:11 | 000,120,870 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat

[2013.01.16 00:11:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2013.01.16 00:11:25 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

[2013.01.16 00:11:08 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2013.01.16 00:10:51 | 2064,912,383 | -HS- | M] () -- C:\hiberfil.sys

[2013.01.15 23:42:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2013.01.15 23:11:08 | 000,365,568 | ---- | M] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe

[2013.01.15 23:09:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

[2013.01.15 23:04:24 | 000,000,358 | ---- | M] () -- C:\Users\Helge\defogger_reenable

[2013.01.15 23:02:23 | 000,050,477 | ---- | M] () -- C:\Users\Helge\Desktop\Defogger.exe

[2013.01.15 22:19:42 | 000,002,890 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js

[2013.01.15 22:19:42 | 000,001,049 | ---- | M] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

[2013.01.15 22:19:42 | 000,000,159 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.reg

[2013.01.15 22:19:42 | 000,000,066 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.bat

[2013.01.15 22:19:41 | 000,190,464 | ---- | M] (&#1050;орпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe

[2013.01.10 11:52:16 | 000,296,080 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT

[2013.01.09 20:42:53 | 001,589,442 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI

[2013.01.04 17:12:53 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr

[2013.01.04 17:12:53 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe

[2013.01.03 16:57:11 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0

[2012.12.23 16:59:24 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 

[color=#E56717]========== Files Created - No Company Name ==========[/color]

 

[2013.01.15 23:11:08 | 000,365,568 | ---- | C] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe

[2013.01.15 23:04:23 | 000,000,358 | ---- | C] () -- C:\Users\Helge\defogger_reenable

[2013.01.15 23:02:22 | 000,050,477 | ---- | C] () -- C:\Users\Helge\Desktop\Defogger.exe

[2013.01.15 22:19:42 | 000,002,890 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js

[2013.01.15 22:19:42 | 000,001,049 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

[2013.01.15 22:19:42 | 000,000,159 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.reg

[2013.01.15 22:19:42 | 000,000,066 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.bat

[2013.01.15 22:19:41 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

[2013.01.06 15:10:29 | 001,589,442 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI

[2012.12.23 16:59:24 | 000,002,517 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk

[2012.11.29 15:59:51 | 000,281,688 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe

[2012.11.29 15:59:49 | 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe

[2012.11.12 16:07:25 | 000,000,545 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\All CPU MeterV3_Settings.ini

[2012.11.03 03:58:22 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin

[2012.11.03 03:27:44 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat

[2012.11.03 03:27:44 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat

[2012.11.03 03:27:44 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat

[2012.05.02 13:58:10 | 000,029,184 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll

 

[color=#E56717]========== ZeroAccess Check ==========[/color]

 

[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

 

[color=#E56717]========== LOP Check ==========[/color]

 

[2013.01.15 22:23:00 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Aknu

[2012.11.04 19:35:27 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\DAEMON Tools Lite

[2013.01.12 19:22:48 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Esixiw

[2012.11.29 15:41:34 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\GetRightToGo

[2013.01.12 19:22:48 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Gytodi

[2012.11.07 01:25:13 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\OpenOffice.org

[2012.11.06 18:48:02 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Rainmeter

[2012.12.13 20:09:29 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Spotify

 

[color=#E56717]========== Purity Check ==========[/color]

 

 

 
< End of report >

Gmer.txt :

PHP-Code:

  GMER 2.0.18444 - hxxp://www.gmer.net

Rootkit scan 2013-01-16 00:32:03

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST1000DM003-9YN162 rev.CC4B 931,51GB

Running: gmer-2.0.18444.exe; Driver: C:\Users\Helge\AppData\Local\Temp\ugloipod.sys

 
 
---- User code sections - GMER 2.0 ----

 
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!recv + 82                                      00000000730417fa 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!recvfrom + 88                                  0000000073041860 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 98                                0000000073041942 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 109                               000000007304194d 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                        00000000751a1401 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                          00000000751a1419 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                        00000000751a1431 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                        00000000751a144a 2 bytes [1A, 75]

.text    ...                                                                                                                   * 9

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                           00000000751a14dd 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                    00000000751a14f5 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                           00000000751a150d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                    00000000751a1525 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                          00000000751a153d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                               00000000751a1555 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                        00000000751a156d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                          00000000751a1585 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                             00000000751a159d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                          00000000751a15b5 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                        00000000751a15cd 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                    00000000751a16b2 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                    00000000751a16bd 2 bytes [1A, 75]

 
---- Threads - GMER 2.0 ----

 
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312:1720]                                                    00000000746132fb

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2376]                                                  000000007310e2db

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2468]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2472]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2476]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2480]                                                  0000000072704e00

---- Processes - GMER 2.0 ----

 
Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312]                                0000000074600000

Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608]                              0000000075420000

 
---- Registry - GMER 2.0 ----

 
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x40 0xC6 0x78 0x9B ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0x66 0x3B 0x57 0x88 ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xBA 0x3C 0x81 0x69 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x40 0xC6 0x78 0x9B ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0x66 0x3B 0x57 0x88 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xBA 0x3C 0x81 0x69 ...

 
---- EOF - GMER 2.0 ----

hoffe mir kann geholfen werden

mfg helge

markusg · 16.01.2013, 14:43

hi
möchte mir gern was ansehen, dann sage ich dir, ob das formatieren nötig ist

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4*-*HKCU..\Run:*[Foged]*C:\Users\Helge\AppData\Roaming\Gytodi\isomi.exe*(Microsoft*Corporation) 
[2013.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js 
[2013.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk 
[2013.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg 
[2013.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat 
[2013.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad 
[2013.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw 
[2013.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu 
 :Files
C:\Users\Helge\AppData\Roaming\Gytodi
:Commands
[EMPTYFLASH] 
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die

+ E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

helgeyo · 16.01.2013, 15:05

soll ich die sachen im abgesicherten modus ausführen oder im normalen windows. hab grad den rechner gestartet und der sperrbildschirm ist nicht erschienen.

wollte den letzten beitrag editieren, war aber leider schon zu spät.

also der upload des zip-ordners hat geklappt und hier ist der inhalt der OTL-textdatei:

Code:

ATTFilter

All processes killed
========== OTL ==========
File 13.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js not found.
File 13.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk not found.
File 13.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg not found.
File 13.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat not found.
File 13.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad not found.
Folder 13.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw\ not found.
Folder 13.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu\ not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Helge
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Helge
->Temp folder emptied: 10185466973 bytes
->Temporary Internet Files folder emptied: 3892337935 bytes
->Java cache emptied: 741924 bytes
->Google Chrome cache emptied: 403442803 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 301475745 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36098458 bytes
RecycleBin emptied: 1204224 bytes
 
Total Files Cleaned = 14.134,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01162013_155301

Files\Folders moved on Reboot...
C:\Users\Helge\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

also das GVU sperrfenster blieb weg nach dem neustarten, jedoch wurd ich jetzt nach nem komischen java update gefragt. hab abgelehnt, da das irgendwie ungewohnt aussah, hoffe das war richtig.
achja, muss man eigentlich wenn alles fertig ist nochmal was mit dem defogger machen? hab mich direkt gefragt, wozu der gut war, da der ja kein logfile oder so erstellt hat was ich hier posten musste.

markusg · 16.01.2013, 17:07

hi
das hat irgendwie nicht geklappt, noch mal alles aus der codebox in otl einfügen, otl ausführen,upload noch mal machen und log bitte posten

helgeyo · 16.01.2013, 18:32

upload hat geklapt und hier nochmal der log:

Code:

ATTFilter

All processes killed
========== OTL ==========
File 13.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js not found.
File 13.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk not found.
File 13.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg not found.
File 13.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat not found.
File 13.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad not found.
Folder 13.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw\ not found.
Folder 13.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu\ not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Helge
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Helge
->Temp folder emptied: 10306 bytes
->Temporary Internet Files folder emptied: 37427 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 30338947 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 2382 bytes
 
Total Files Cleaned = 29,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01162013_182727

Files\Folders moved on Reboot...
C:\Users\Helge\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

markusg · 16.01.2013, 19:00

hi
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

helgeyo · 16.01.2013, 19:15

hier das ergebnis vom combofix:

Code:

ATTFilter

ComboFix 13-01-16.01 - Helge 16.01.2013  19:07:02.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8087.6518 [GMT 1:00]
ausgeführt von:: c:\users\Helge\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\dsgsdgdsgdsgw.pad
c:\users\Helge\AppData\Roaming\Gytodi
c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-16 bis 2013-01-16  ))))))))))))))))))))))))))))))
.
.
2013-01-16 18:09 . 2013-01-16 18:09	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-01-16 14:53 . 2013-01-16 17:31	--------	d-----w-	C:\_OTL
2013-01-15 21:19 . 2013-01-15 21:19	66	----a-w-	c:\programdata\dsgsdgdsgdsgw.bat
2013-01-15 21:19 . 2013-01-15 21:19	2890	----a-w-	c:\programdata\dsgsdgdsgdsgw.js
2013-01-15 21:19 . 2013-01-15 21:19	159	----a-w-	c:\programdata\dsgsdgdsgdsgw.reg
2013-01-12 18:22 . 2013-01-15 21:23	--------	d-----w-	c:\users\Helge\AppData\Roaming\Aknu
2013-01-12 18:22 . 2013-01-12 18:22	--------	d-----w-	c:\users\Helge\AppData\Roaming\Esixiw
2013-01-06 14:10 . 2013-01-06 14:10	--------	d-----w-	c:\users\Helge\AppData\Local\The Witcher 2
2012-12-23 15:59 . 2013-01-15 20:01	--------	d-----w-	c:\users\Helge\AppData\Roaming\Skype
2012-12-23 15:59 . 2012-12-23 15:59	--------	d-----w-	c:\program files (x86)\Common Files\Skype
2012-12-23 15:59 . 2012-12-23 15:59	--------	d-----r-	c:\program files (x86)\Skype
2012-12-23 15:59 . 2012-12-23 15:59	--------	d-----w-	c:\programdata\Skype
2012-12-21 19:14 . 2012-12-16 17:11	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-21 19:14 . 2012-12-16 14:45	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-21 19:14 . 2012-12-16 14:13	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-21 19:14 . 2012-12-16 14:13	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 12:15 . 2012-11-03 02:30	74248	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-01-10 12:15 . 2012-11-03 02:30	697864	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-01-04 16:12 . 2012-11-29 15:14	281688	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2013-01-04 16:12 . 2012-11-29 14:59	281688	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2013-01-03 15:57 . 2012-11-29 14:59	281688	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2012-12-11 16:51 . 2012-11-03 02:40	99912	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-11 16:51 . 2012-11-03 02:40	129216	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-02 08:31 . 2012-04-06 01:34	5626536	----a-w-	c:\windows\SysWow64\atiumdag.dll
2012-12-02 08:29 . 2012-12-02 08:29	11270656	----a-w-	c:\windows\system32\drivers\atikmdag.sys
2012-12-02 08:17 . 2012-12-02 08:17	23455744	----a-w-	c:\windows\system32\atio6axx.dll
2012-12-02 08:00 . 2012-12-02 08:00	163840	----a-w-	c:\windows\system32\atiapfxx.exe
2012-12-02 07:59 . 2012-11-15 17:47	70144	----a-w-	c:\windows\system32\coinst_9.01.8.dll
2012-12-02 07:58 . 2012-12-02 07:58	51200	----a-w-	c:\windows\system32\aticalrt64.dll
2012-12-02 07:58 . 2012-12-02 07:58	46080	----a-w-	c:\windows\SysWow64\aticalrt.dll
2012-12-02 07:58 . 2012-12-02 07:58	44544	----a-w-	c:\windows\system32\aticalcl64.dll
2012-12-02 07:58 . 2012-12-02 07:58	44032	----a-w-	c:\windows\SysWow64\aticalcl.dll
2012-12-02 07:58 . 2012-12-02 07:58	16082944	----a-w-	c:\windows\system32\aticaldd64.dll
2012-12-02 07:57 . 2012-12-02 07:57	18979328	----a-w-	c:\windows\SysWow64\atioglxx.dll
2012-12-02 07:54 . 2012-12-02 07:54	13703168	----a-w-	c:\windows\SysWow64\aticaldd.dll
2012-12-02 07:50 . 2012-04-06 02:21	949248	----a-w-	c:\windows\SysWow64\aticfx32.dll
2012-12-02 07:48 . 2012-04-06 02:20	1137664	----a-w-	c:\windows\system32\aticfx64.dll
2012-12-02 07:46 . 2012-12-02 07:46	6684672	----a-w-	c:\windows\SysWow64\atidxx32.dll
2012-12-02 07:41 . 2012-12-02 07:41	4674048	----a-w-	c:\windows\system32\atiumd6a.dll
2012-12-02 07:37 . 2012-12-02 07:37	442368	----a-w-	c:\windows\system32\atidemgy.dll
2012-12-02 07:37 . 2012-12-02 07:37	548864	----a-w-	c:\windows\system32\atieclxx.exe
2012-12-02 07:36 . 2012-12-02 07:36	240640	----a-w-	c:\windows\system32\atiesrxx.exe
2012-12-02 07:35 . 2012-12-02 07:35	120320	----a-w-	c:\windows\system32\atitmm64.dll
2012-12-02 07:35 . 2012-12-02 07:35	21504	----a-w-	c:\windows\system32\atimuixx.dll
2012-12-02 07:35 . 2012-12-02 07:35	59392	----a-w-	c:\windows\system32\atiedu64.dll
2012-12-02 07:35 . 2012-12-02 07:35	43520	----a-w-	c:\windows\SysWow64\ati2edxx.dll
2012-12-02 07:29 . 2012-04-06 01:22	3862528	----a-w-	c:\windows\SysWow64\atiumdva.dll
2012-12-02 07:29 . 2012-04-06 01:54	7378944	----a-w-	c:\windows\system32\atidxx64.dll
2012-12-02 07:24 . 2012-12-02 07:24	6781440	----a-w-	c:\windows\system32\atiumd64.dll
2012-12-02 07:18 . 2012-12-02 07:18	79360	----a-w-	c:\windows\system32\amdave64.dll
2012-12-02 07:18 . 2012-12-02 07:18	78336	----a-w-	c:\windows\SysWow64\amdave32.dll
2012-12-02 07:18 . 2012-12-02 07:18	74240	----a-w-	c:\windows\system32\atisamu64.dll
2012-12-02 07:18 . 2012-12-02 07:18	71168	----a-w-	c:\windows\SysWow64\atisamu32.dll
2012-12-02 07:17 . 2012-12-02 07:17	56320	----a-w-	c:\windows\system32\atimpc64.dll
2012-12-02 07:17 . 2012-12-02 07:17	56320	----a-w-	c:\windows\system32\amdpcom64.dll
2012-12-02 07:17 . 2012-12-02 07:17	56832	----a-w-	c:\windows\SysWow64\atimpc32.dll
2012-12-02 07:17 . 2012-12-02 07:17	56832	----a-w-	c:\windows\SysWow64\amdpcom32.dll
2012-12-02 07:14 . 2012-12-02 07:14	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2012-12-02 07:14 . 2012-04-06 01:11	619008	----a-w-	c:\windows\system32\atiadlxx.dll
2012-12-02 07:14 . 2012-12-02 07:14	421888	----a-w-	c:\windows\SysWow64\atiadlxy.dll
2012-12-02 07:13 . 2012-12-02 07:13	17920	----a-w-	c:\windows\system32\atig6pxx.dll
2012-12-02 07:13 . 2012-12-02 07:13	14848	----a-w-	c:\windows\SysWow64\atiglpxx.dll
2012-12-02 07:13 . 2012-12-02 07:13	14848	----a-w-	c:\windows\system32\atiglpxx.dll
2012-12-02 07:13 . 2012-12-02 07:13	41984	----a-w-	c:\windows\system32\atig6txx.dll
2012-12-02 07:13 . 2012-12-02 07:13	33280	----a-w-	c:\windows\SysWow64\atigktxx.dll
2012-12-02 07:13 . 2012-12-02 07:13	546816	----a-w-	c:\windows\system32\drivers\atikmpag.sys
2012-12-02 07:11 . 2012-04-06 01:09	130048	----a-w-	c:\windows\system32\atiuxp64.dll
2012-12-02 07:11 . 2012-12-02 07:11	109568	----a-w-	c:\windows\SysWow64\atiuxpag.dll
2012-12-02 07:11 . 2012-12-02 07:11	104448	----a-w-	c:\windows\system32\atiu9p64.dll
2012-12-02 07:11 . 2012-04-06 01:09	83968	----a-w-	c:\windows\SysWow64\atiu9pag.dll
2012-11-30 04:45 . 2013-01-09 18:43	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-11-29 14:59 . 2012-11-29 14:59	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2012-11-27 17:57 . 2012-11-27 17:57	127034	------r-	c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2012-11-15 12:10 . 2012-11-15 12:10	222720	----a-w-	c:\windows\system32\clinfo.exe
2012-11-15 12:10 . 2012-11-15 12:10	76288	----a-w-	c:\windows\system32\OpenVideo64.dll
2012-11-15 12:10 . 2012-11-15 12:10	65536	----a-w-	c:\windows\SysWow64\OpenVideo.dll
2012-11-15 12:10 . 2012-11-15 12:10	64512	----a-w-	c:\windows\system32\OVDecode64.dll
2012-11-15 12:10 . 2012-11-15 12:10	56320	----a-w-	c:\windows\SysWow64\OVDecode.dll
2012-11-15 12:09 . 2012-11-15 12:09	34523136	----a-w-	c:\windows\system32\amdocl64.dll
2012-11-15 12:05 . 2012-11-15 12:05	28737536	----a-w-	c:\windows\SysWow64\amdocl.dll
2012-11-15 12:01 . 2012-11-15 12:01	54784	----a-w-	c:\windows\system32\OpenCL.dll
2012-11-15 12:01 . 2012-11-15 12:01	50176	----a-w-	c:\windows\SysWow64\OpenCL.dll
2012-11-14 07:06 . 2012-12-13 00:46	17811968	----a-w-	c:\windows\system32\mshtml.dll
2012-11-14 06:32 . 2012-12-13 00:46	10925568	----a-w-	c:\windows\system32\ieframe.dll
2012-11-14 06:11 . 2012-12-13 00:46	2312704	----a-w-	c:\windows\system32\jscript9.dll
2012-11-14 06:04 . 2012-12-13 00:46	1346048	----a-w-	c:\windows\system32\urlmon.dll
2012-11-14 06:04 . 2012-12-13 00:46	1392128	----a-w-	c:\windows\system32\wininet.dll
2012-11-14 06:02 . 2012-12-13 00:46	1494528	----a-w-	c:\windows\system32\inetcpl.cpl
2012-11-14 06:02 . 2012-12-13 00:46	237056	----a-w-	c:\windows\system32\url.dll
2012-11-14 05:59 . 2012-12-13 00:46	85504	----a-w-	c:\windows\system32\jsproxy.dll
2012-11-14 05:58 . 2012-12-13 00:46	816640	----a-w-	c:\windows\system32\jscript.dll
2012-11-14 05:57 . 2012-12-13 00:46	599040	----a-w-	c:\windows\system32\vbscript.dll
2012-11-14 05:57 . 2012-12-13 00:46	173056	----a-w-	c:\windows\system32\ieUnatt.exe
2012-11-14 05:55 . 2012-12-13 00:46	2144768	----a-w-	c:\windows\system32\iertutil.dll
2012-11-14 05:55 . 2012-12-13 00:46	729088	----a-w-	c:\windows\system32\msfeeds.dll
2012-11-14 05:53 . 2012-12-13 00:46	96768	----a-w-	c:\windows\system32\mshtmled.dll
2012-11-14 05:52 . 2012-12-13 00:46	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2012-11-14 05:46 . 2012-12-13 00:46	248320	----a-w-	c:\windows\system32\ieui.dll
2012-11-14 02:09 . 2012-12-13 00:46	1800704	----a-w-	c:\windows\SysWow64\jscript9.dll
2012-11-14 01:58 . 2012-12-13 00:46	1427968	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2012-11-14 01:57 . 2012-12-13 00:46	1129472	----a-w-	c:\windows\SysWow64\wininet.dll
2012-11-14 01:49 . 2012-12-13 00:46	142848	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2012-11-14 01:48 . 2012-12-13 00:46	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2012-11-14 01:44 . 2012-12-13 00:46	2382848	----a-w-	c:\windows\SysWow64\mshtml.tlb
2012-11-09 05:45 . 2012-12-12 13:33	2048	----a-w-	c:\windows\system32\tzres.dll
2012-11-09 04:42 . 2012-12-12 13:33	2048	----a-w-	c:\windows\SysWow64\tzres.dll
2012-11-04 21:16 . 2012-11-04 21:16	868848	----a-w-	c:\windows\system32\drivers\sptd.sys
2012-11-04 20:04 . 2012-11-04 20:04	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-11-04 20:04 . 2012-11-04 20:04	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-11-04 20:04 . 2012-11-04 20:04	89088	----a-w-	c:\windows\system32\ie4uinit.exe
2012-11-04 20:04 . 2012-11-04 20:04	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-11-04 20:04 . 2012-11-04 20:04	85504	----a-w-	c:\windows\system32\iesetup.dll
2012-11-04 20:04 . 2012-11-04 20:04	82432	----a-w-	c:\windows\system32\icardie.dll
2012-11-04 20:04 . 2012-11-04 20:04	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2012-11-04 20:04 . 2012-11-04 20:04	76800	----a-w-	c:\windows\system32\tdc.ocx
2012-11-04 20:04 . 2012-11-04 20:04	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]
"Steam"="c:\program files (x86)\Steam\steam.exe" [2012-12-04 1354736]
"Spotify Web Helper"="c:\users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-04 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-01-26 291608]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-12-02 642216]
.
c:\users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [2012-7-3 41160]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2012-11-27 67128]
SetPointII.lnk - c:\program files\Logitech\SetPoint II\SetPointII.exe [2007-8-30 809984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 WinRing0_1_2_0;WinRing0_1_2_0;c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2012-11-04 868848]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys [2012-01-26 16152]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-09-24 27800]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-11-04 283200]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-12-02 240640]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-12-11 85280]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2012-05-14 96896]
S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys [2012-01-26 356120]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys [2012-01-26 787736]
S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys [2009-11-17 32344]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-08-23 565352]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-01-15 20:44	1606760	----a-w-	c:\program files (x86)\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]
.
2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-10-17 13307496]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-11-05 2345848]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 134160]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.178.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-Foged - c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinRing0_1_2_0]
"ImagePath"="\??\c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-01-16  19:11:07
ComboFix-quarantined-files.txt  2013-01-16 18:11
.
Vor Suchlauf: 9 Verzeichnis(se), 892.162.310.144 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 891.641.565.184 Bytes frei
.
- - End Of File - - 6DB8849EE22CFDE3B464082DB2D416DC

markusg · 16.01.2013, 20:41

öffne bitte c: qoobox rechtsklick quarantain, packen, und im upload channel hochladen.
Trojaner-Board Upload Channel
wenn fertig, bitte melden.

helgeyo · 16.01.2013, 20:45

erledigt.
habe das wieder per
rechtsklick>senden an>komprimierter zip ordner
gepackt.

markusg · 16.01.2013, 21:06

passt.
nutzt du den PC für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

helgeyo · 16.01.2013, 21:08

nutze paypal, ja. ansonsten fürs studium

markusg · 16.01.2013, 21:11

ok, du hast eine Malware (zbot) die es auf Daten sensibler Art abgesehen hatt, also auch paypal Zugang etc
Da man nicht 100 %ig sicher sein kann, dass wir alle erwischen, du aber ein sauberes System benötigst, ist folgenes zu tun:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

helgeyo · 16.01.2013, 21:22

muss ich das aus dem chip forum da komplett durcharbeiten? oder nur n bestimmten punkt, wo das sichern von daten angesprochen wird?

markusg · 16.01.2013, 22:33

Hi
das erstellen der CD und sichern der Daten.

helgeyo · 17.01.2013, 12:38

okay, mache das grad mit dem formatieren und neu aufspielen von windows. soll ich dann eigentlich wirklich alle passwörter ändern oder nur die wichtigen wie email,paypal etc?

und wie ich die gesicherten daten (hab nur savegames von einem spiel "gerettet" und jetzt auf nem usb-stick) auf schädlinge überprüfe, da bräuchte ich auch hilfe.

edit:
das formatieren beim asuwählen der festplatte im windows 7 setup hat nur wenige sekunden gedauert, ist das normal?

16.01.2013, 22:33	#14
markusg /// Malware-holic	wie den GVU-Trojaner loswerden? Hi das erstellen der CD und sichern der Daten. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

wie den GVU-Trojaner loswerden?

Plagegeister aller Art und deren Bekämpfung: wie den GVU-Trojaner loswerden?