wgsdgsdgdsgsd.exe und A0067266.exe

freddie234 · 17.01.2013, 20:43

Hallo,

habe mir die Tage o.g. Schädlinge eingefangen und wollte fragen, wie ich die entfernt bekomme, ohne das System neu aufzusetzen. Habe mal einen Scan mit AntiMalware und OTL gemacht, den ich anbei poste. Habe einen ähnlichen Beitrag gelesen, mit dem Hinweis, dass die Fix-Anleitung nur für dessen System gilt, daher mein eigener Beitrag.

Bin für jegliche Hilfe sehr dankbar!

AntiMalware TXT:

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: K9-5050E [Administrator]

17.01.2013 16:39:19
MBAM-log-2013-01-17 (18-50-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|P:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 547941
Laufzeit: 2 Stunde(n), 10 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP302\A0067018.exe (Trojan.Zbot.ACgen) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067130.exe (Trojan.FakeMS) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067262.exe (Trojan.Zbot.ACgen) -> Keine Aktion durchgeführt.

(Ende)

OTL.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 17.01.2013 19:26:10 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,75% Memory free
3,85 Gb Paging File | 3,27 Gb Available in Paging File | 84,98% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,04 Gb Free Space | 63,56% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,66 Gb Free Space | 83,27% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive F: | 1,59 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.15 08:24:16 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.12.15 08:24:15 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
PRC - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
PRC - [2011.09.22 22:21:12 | 000,395,344 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2011.09.22 22:20:44 | 005,587,832 | ---- | M] (Acronis) -- C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe
PRC - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.01.27 22:12:11 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
PRC - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) -- C:\WINDOWS\system32\DVDRAMSV.exe
PRC - [2005.09.26 18:21:58 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Anwendungen\Omnipage 15.0\OpWare15.exe
PRC - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) -- C:\Anwendungen\VPN Client\cvpnd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
MOD - [2011.09.22 22:20:28 | 011,233,136 | ---- | M] () -- C:\Programme\Acronis\TrueImageHome\Common\ti_managers.dll
MOD - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.09.07 19:08:34 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () [Auto | Running] -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe -- (OS Selector)
SRV - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011.06.07 20:29:16 | 000,630,272 | ---- | M] (FileZilla Project) [On_Demand | Stopped] -- C:\Anwendungen\FileZilla Server\FileZilla server.exe -- (FileZilla Server)
SRV - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011.04.26 13:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2010.03.09 19:50:25 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Anwendungen\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2007.12.10 12:59:04 | 000,353,280 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) [Auto | Running] -- C:\WINDOWS\system32\DVDRAMSV.exe -- (DVD-RAM_Service)
SRV - [2006.07.05 14:02:03 | 000,358,008 | ---- | M] (Protection Technology (StarForce)) [Auto | Stopped] -- C:\WINDOWS\System32\sfrem01.exe -- (sfrem01)
SRV - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Anwendungen\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302V32.SYS -- (PID_PEPI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Downloads\Optimierung & Benchmark\cpuz.sys -- (cpuz)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2012.12.15 08:24:22 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.15 08:24:22 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.16 20:17:15 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.11.20 01:53:36 | 000,170,752 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2011.11.20 01:53:33 | 000,076,768 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\fltsrv.sys -- (fltsrv)
DRV - [2011.11.20 01:22:34 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2011.11.20 01:22:28 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273)
DRV - [2011.11.20 01:22:27 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2011.08.08 21:58:38 | 000,100,368 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - [2011.02.14 01:42:36 | 000,020,864 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2011.02.14 01:42:34 | 000,025,216 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2011.02.14 01:42:32 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2010.07.30 13:16:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.07.30 13:16:44 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.07.30 13:16:42 | 000,023,040 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.07.30 13:16:38 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.07.26 11:24:46 | 000,137,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.07.26 11:24:42 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.12.30 17:54:33 | 000,017,480 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.12.11 22:02:42 | 004,525,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.07.16 17:19:32 | 000,009,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\dumpdrv.sys -- (DumpDrv)
DRV - [2009.03.05 10:02:36 | 000,041,120 | ---- | M] (Realtek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
DRV - [2009.03.04 17:27:16 | 000,032,288 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - [2009.03.04 17:27:14 | 000,074,912 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - [2009.02.25 18:55:00 | 000,009,088 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Anwendungen\RivaTuner v2.24\RivaTuner32.sys -- (RivaTuner32)
DRV - [2009.02.20 17:09:16 | 000,044,032 | R--- | M] (Siemens Home and Office Communication Devices GmbH & Co. KG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\GigasetGenericUSB.sys -- (GigasetGenericUSB)
DRV - [2009.01.27 22:15:37 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2009.01.07 03:29:23 | 000,170,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\atinavt2.sys -- (ATIAVAIW)
DRV - [2008.05.20 10:53:00 | 004,800,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.04.29 09:00:00 | 000,288,896 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2007.10.12 02:40:00 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.12.01 12:28:04 | 000,117,744 | ---- | M] (Matsushita Electric Industrial Co.,Ltd.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\meiudf.sys -- (meiudf)
DRV - [2006.11.10 14:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2006.09.06 15:08:30 | 000,017,024 | ---- | M] (Panasonic Shikoku Electronics Co., Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\psecbdr.sys -- (psecbdr)
DRV - [2006.08.11 14:47:13 | 000,059,776 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04)
DRV - [2006.07.05 13:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01a.sys -- (sfdrv01a)
DRV - [2006.06.14 15:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.09.16 05:47:36 | 000,089,808 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabser.sys -- (slabser)
DRV - [2005.09.16 05:47:36 | 000,055,312 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabbus.sys -- (slabbus)
DRV - [2005.08.12 17:35:56 | 000,305,739 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2005.05.17 04:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.05.03 16:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2005.01.26 05:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2004.11.03 12:07:24 | 000,146,888 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.13 10:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.07.09 04:26:38 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2001.08.17 11:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (All) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =  [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll (Microsoft Corporation)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "https://signin.ebay.de/ws/eBayISAPI.dll?SignIn"
FF - prefs.js..extensions.enabledAddons: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.8
FF - prefs.js..extensions.enabledAddons: flvmoviesdownloader@rzll:1.43
FF - prefs.js..extensions.enabledAddons: {972ce4c6-7e08-4474-a285-3208198ce6fd}:15.0.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.17
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@gpac/osmozilla,version=1.0: C:\Anwendungen\GPAC\nposmozilla.dll ( )
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2105: C:\Anwendungen\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2163: C:\Anwendungen\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1212: C:\Anwendungen\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Anwendungen\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{20a82645-c095-46ed-80e3-08825760534b}: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009.02.20 22:41:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Anwendungen\Mozilla Firefox\components [2012.12.01 17:50:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Anwendungen\Mozilla Firefox\plugins [2012.12.01 17:51:34 | 000,000,000 | ---D | M]
 
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2009.05.28 17:53:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2012.09.07 19:09:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions
[2012.03.26 22:21:34 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.02.04 20:51:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Sunbird\Profiles\23ezmf2k.default\extensions
[2012.09.07 19:09:03 | 000,014,838 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\flvmoviesdownloader@rzll.xpi
 
O1 HOSTS File: ([2004.11.11 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKCU\..\Toolbar\ShellBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [OpScheduler] "C:\Anwendungen\Omnipage 15.0\OpScheduler.exe" File not found
O4 - HKLM..\Run: [Opware15] C:\Anwendungen\Omnipage 15.0\Opware15.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [PDF3 Registry Controller] C:\Anwendungen\Omnipage 15.0\PDFConverter3\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe (Acronis)
O4 - HKCU..\Run: [Ogylpaunli] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Anwendungen\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInstrumentation = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMFUprogramsList = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - C:\Anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll (ScanSoft, Inc.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000002 [] - C:\WINDOWS\system32\winrnr.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\WINDOWS\system32\wshbth.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)
O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)
O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll (Microsoft Corporation)
O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)
O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (logonui.exe) - C:\WINDOWS\System32\logonui.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (rundll32 shell32) - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - C:\WINDOWS\System32\sysdm.cpl (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\crypt32chain: DllName - (crypt32.dll) - C:\WINDOWS\System32\crypt32.dll (Microsoft Corporation)
O20 - Winlogon\Notify\cryptnet: DllName - (cryptnet.dll) - C:\WINDOWS\System32\cryptnet.dll (Microsoft Corporation)
O20 - Winlogon\Notify\cscdll: DllName - (cscdll.dll) - C:\WINDOWS\System32\cscdll.dll (Microsoft Corporation)
O20 - Winlogon\Notify\dimsntfy: DllName - (%SystemRoot%\System32\dimsntfy.dll) - C:\WINDOWS\system32\dimsntfy.dll (Microsoft Corporation)
O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\Schedule: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\sclgntfy: DllName - (sclgntfy.dll) - C:\WINDOWS\System32\sclgntfy.dll (Microsoft Corporation)
O20 - Winlogon\Notify\SensLogn: DllName - (WlNotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\termsrv: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\wlballoon: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll (Microsoft Corporation)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll (Microsoft Corporation)
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O24 - Desktop BackupWallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (msapsspc.dll) - C:\WINDOWS\System32\msapsspc.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (schannel.dll) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (digest.dll) - C:\WINDOWS\System32\digest.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (msnsspc.dll) - C:\WINDOWS\System32\msnsspc.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\WINDOWS\System32\kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\WINDOWS\System32\wdigest.dll (Microsoft Corporation)
O31 - SafeBoot: AlternateShell - cmd.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.06.02 13:01:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.07.01 02:24:04 | 000,001,183 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell - "" = AutoRun
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell\AutoRun\command - "" = I:\LGAutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.17 16:39:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.11 00:33:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.01.10 23:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ubofty
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cosah
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Camyl
[2013.01.06 16:13:28 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Brother
[2013.01.06 15:31:35 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Bilder
[2013.01.06 14:57:47 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2013.01.03 14:42:30 | 000,251,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\Msrd2x35.dll
[2013.01.03 14:42:18 | 001,046,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msjet35.dll
[2013.01.03 14:42:18 | 000,037,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJINT35.DLL
[2013.01.03 14:42:18 | 000,024,336 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJTER35.DLL
[2012.12.28 23:55:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steuertipps
[2009.02.15 00:02:04 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.17 19:14:54 | 001,018,998 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.17 19:14:54 | 000,937,642 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.17 19:14:54 | 000,279,308 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.17 19:14:54 | 000,259,882 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.17 18:40:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.17 16:49:40 | 000,000,441 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.17 16:31:17 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.17 14:47:59 | 000,002,305 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.01.17 14:47:53 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.17 14:47:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.15 21:05:01 | 000,072,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.15 20:39:32 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.11 00:25:28 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013.01.06 16:54:40 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.29 00:11:59 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2012.lnk
[2012.12.28 23:55:22 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.28 12:54:32 | 000,334,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.06 16:50:42 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.28 23:55:22 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.02 20:17:15 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2012.09.26 18:44:32 | 000,299,008 | ---- | C] () -- C:\WINDOWS\Uninstall_tkexe.exe
[2012.09.08 17:09:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012.09.08 17:09:18 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat
[2012.09.08 17:09:16 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2011.10.12 16:16:30 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\OpenVideo.dll
[2011.09.14 11:47:40 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011.06.16 17:45:29 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.06.16 17:45:29 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.06.16 17:45:29 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.06.16 17:45:29 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.06.16 17:45:29 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.10 22:46:56 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\HMPCab.dll
[2011.02.05 20:47:28 | 000,000,012 | ---- | C] () -- C:\WINDOWS\B2.INI
[2010.01.19 21:21:29 | 000,000,406 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2009.03.16 00:34:12 | 000,072,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.02.20 22:41:10 | 001,211,072 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.02.15 00:02:04 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe
[2009.02.15 00:02:04 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.cat
[2009.02.15 00:02:04 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.inf
[2009.02.07 21:22:07 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
 
========== ZeroAccess Check ==========
 
[2009.01.31 09:42:24 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.09.05 14:54:40 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:54:48 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 487 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

< End of report >

--- --- ---
Extras.txt (OTL)
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 17.01.2013 19:26:10 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,75% Memory free
3,85 Gb Paging File | 3,27 Gb Available in Paging File | 84,98% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,04 Gb Free Space | 63,56% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,66 Gb Free Space | 83,27% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive F: | 1,59 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = MozillaHTML] -- C:\Anwendungen\Mozilla\seamonkey.exe (mozilla.org)
.js [@ = jsfile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = SeaMonkeyHTML] -- C:\Anwendungen\seamonkey2\seamonkey.exe (mozilla.org)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- C:\ANWEND~1\MOZILLA\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
https [open] -- C:\ANWEND~1\MOZILLA\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
jsfile [edit] -- "C:\Anwendungen\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
jsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
jsefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
vbefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
vbsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
wsffile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Anwendungen\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [foobar2000.enqueue] -- "C:\Anwendungen\foobar2000\foobar2000.exe" /add "%1" ()
Directory [foobar2000.play] -- "C:\Anwendungen\foobar2000\foobar2000.exe" "%1" ()
Directory [OpenNew] -- cmd.exe /k cd %1 (Microsoft Corporation)
Directory [Pixum EasyBook] -- "C:\Anwendungen\Pixum EasyBook\Pixum EasyBook.exe" "%1"
Directory [PlayWithVLC] -- "C:\Anwendungen\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"54925:UDP" = 54925:UDP:*:Enabled:BrotherNetwork Scanner
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe" = C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Oracle Corporation)
"C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe" = C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"C:\WINDOWS\system32\PnkBstrB.exe" = C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"C:\Anwendungen\ClipInc\Server\ClipInc-Server.exe" = C:\Anwendungen\ClipInc\Server\ClipInc-Server.exe:*:Enabled:ClipInc Server
"C:\Anwendungen\ClipInc\Player\ClipInc-Player.exe" = C:\Anwendungen\ClipInc\Player\ClipInc-Player.exe:*:Enabled:ClipInc Player
"E:\Spiele\FlatOut Ultimate Carnage\Fouc.exe" = E:\Spiele\FlatOut Ultimate Carnage\Fouc.exe:*:Enabled:FlatOut Ultimate Carnage -- (Empire Interactive Ltd.)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- (Apple Computer, Inc.)
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox
"E:\Spiele\Ikaro\Ikaro.exe" = E:\Spiele\Ikaro\Ikaro.exe:*:Enabled:Ikaro
"E:\Spiele\COD4\iw3mp.exe" = E:\Spiele\COD4\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"F:\fsetup.exe" = F:\fsetup.exe:*:Enabled:AVM FSetup Application
"C:\Anwendungen\Skype\Phone\Skype.exe" = C:\Anwendungen\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00CD55D6-EE5A-4570-9875-8A306628C032}" = Cisco Systems VPN Client 4.7.00.0533
"{04A3A6B0-8E19-49BB-82FF-65C5A55F917D}" = Acronis*True*Image*Home 2011
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0A3D3C54-2EC0-4D67-B265-FF17926E6D67}" = Nokia Connectivity Cable Driver
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{23CA9123-B1AA-C4B6-6997-7756BBAEC461}" = AMD Catalyst Install Manager
"{258D56DE-24F2-479E-BED2-8103CB0B9D58}" = MAGIX Video deluxe 2013 Plus
"{259C0ABB-A3B2-4D70-008F-BF7EE491B70B}" = Need for Speed™ Carbon
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{2A3A4BD6-6CE0-4E2A-80D2-1D0FF6ACBFBA}" = LG United Mobile Driver
"{2E01C311-3ED2-42CF-B1E9-9A36D4B9E26B}" = MAGIX Speed burnR (MSI)
"{2F8BA3FD-1FA9-4279-B696-712ABB12F09F}" = SmartSound Quicktracks 5
"{30B60E20-E995-4EB5-95F5-91595CA32C0F}" = ACDSee 5.0 Standard Trial
"{332D9DDE-7A4E-40B6-927C-E83F1957C7E7}" = MobileMaster
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{37FAC9D7-D6F9-4A15-8337-311DB7E19444}" = ScanSoft OmniPage 15.0
"{3A08B59E-A9F0-4F4D-B7E5-6875D7F13327}" = Brother MFL-Pro Suite DCP-585CW
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}" = Adobe Dreamweaver CS3
"{6171316C-9234-4FD5-B566-A31DFDCE9784}" = MAGIX Video deluxe 2013 Plus (Video Plugins)
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{68E6C142-9E12-45F4-88DD-C9F7F278FBD9}" = Ulead PhotoImpact 7 Probeversion
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6C5F8503-55D2-4398-858C-362B7A7AF51C}" = Firebird SQL Server - MAGIX Edition
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B4A5C13-069F-4AFE-AE57-C497B4E33C7E}" = Call of Duty(R) 2 Patch 1.3
"{7D386596-0E80-4808-8AAE-C1DDA8212F7F}" = Adobe Setup
"{7F3AD00A-1819-4B15-BB7D-08B3586336D7}" = 3DMark06
"{833C263F-55F0-4D72-AAAD-172FA0484F30}" = ScanSoft PDF Create! 3.0
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{8EFB7927-48AD-4E6D-91B7-6B2BD6C3F380}" = Acronis*Disk*Director*11*Home
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}" = BD Driver
"{9F5FD796-86F0-4360-85F8-D54C0F5411EB}" = Steuer-Spar-Erklärung 2011
"{A25FF1C0-80B6-4B8B-A551-DC525697A408}" = AMD APP SDK Runtime
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X Lite - Deutsch
"{AEB61F7A-4BBA-4292-A096-7893E09034A4}" = Steuer-Spar-Erklärung 2013
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B8A2869E-30CA-40C5-9CF8-BD7354E57EF8}" = SmartSound Common Data
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BA084E7C-8ABA-4670-BDE8-B85E689A5C1B}" = PC Connectivity Solution
"{bd5bef51-989a-4d3e-a935-eae14a2b5b60}" = Gigaset QuickSync
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{CCD2BAD2-0919-40CB-80CC-E9538B0E4C2E}" = Steuer-Spar-Erklärung 2012
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D6F241BA-6CAC-4973-B510-A3B60DF56F76}" = easyFly 3
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{F07AAC22-84FB-4D8C-8294-E401B8E442FC}" = ScanSoft PDF Converter 3.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1" = StreamTransport version: 1.0.2.2171
"{FD052FB9-FE90-4438-B355-15EDC89D8FB1}" = Microsoft Games for Windows - LIVE Redistributable
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_25db75244653b42cb93dc27939d1c0e" = Adobe Dreamweaver CS3
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Empires II: The Conquerors Expansion 1.0" = Microsoft Age of Empires II: The Conquerors Expansion
"Arbeitszeit" = TKexe Arbeitszeit
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"AviSynth" = AviSynth 2.5
"BootDisk2BootStick" = BootDisk2BootStick 0.10
"Call of Duty" = Call of Duty
"CCleaner" = CCleaner
"CloneCD" = CloneCD
"Cool Edit 2000" = Cool Edit 2000
"Duke Nukem 3D HRP" = Duke Nukem 3D HRP V 4.0 (321)
"DVDFab Platinum 4_is1" = DVDFab Platinum 4.1.2.0 Beta Ghosthunter release
"DVD-lab PRO_is1" = DVD-lab PRO 1.53
"DVDx 4.0 Open Edition" = DVDx 4.0 Open Edition
"FileZilla Server" = FileZilla Server
"FlatOut Ultimate Carnage" = FlatOut Ultimate Carnage
"foobar2000" = foobar2000 v1.1.9
"FotoLook3DeinstKey" = Agfa FotoLook 3.60.00 
"Fraps" = Fraps
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"GetDiz 4.5" = GetDiz 4.5
"Hamachi" = Hamachi 1.0.1.5
"hp deskjet 6122 series_Driver" = hp deskjet 6122 series
"ie8" = Windows Internet Explorer 8
"InstallShield_{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"InstallShield_{149464D9-B06F-4505-9968-FD1206F67AD3}" = Call of Duty(R) - World at War(TM) 1.3 Patch
"InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"InstallShield_{2F8BA3FD-1FA9-4279-B696-712ABB12F09F}" = SmartSound Quicktracks 5
"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"InstallShield_{5D7767FA-7FE8-4627-9F09-AEF7A25F1E07}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.1 Patch
"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"InstallShield_{9F01A67B-7D67-482F-9D4F-D5980A440FD4}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"InstallShield_{B8A2869E-30CA-40C5-9CF8-BD7354E57EF8}" = SmartSound Common Data
"InstallShield_{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{E5141379-B2D9-4BBC-BB2A-5805541571DD}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
"IsoBuster_is1" = IsoBuster 1.8
"Klett Lehrersoftware Orange Line" = Klett Lehrersoftware Orange Line
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)
"LogView V2" = LogView V2
"MAGIX_{258D56DE-24F2-479E-BED2-8103CB0B9D58}" = MAGIX Video deluxe 2013 Plus
"MAGIX_{2E01C311-3ED2-42CF-B1E9-9A36D4B9E26B}" = MAGIX Speed burnR (MSI)
"MAGIX_{6171316C-9234-4FD5-B566-A31DFDCE9784}" = MAGIX Video deluxe 2013 Plus (Video Plugins)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MKVtoolnix" = MKVtoolnix 2.2.0
"Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"nLite_is1" = nLite 1.4.9.1
"OpenAL" = OpenAL
"Osmo4" = Osmo4/GPAC (remove only)
"quicktime_lite_is1" = QT Lite 4.1.0
"RealPlayer 6.0" = RealPlayer
"RivaTuner" = RivaTuner v2.24
"SeriousSam2" = Serious Sam 2
"SLABCOMM&10C4&EA60" = CP210x USB to UART Bridge Controller
"StaxRip_is1" = StaxRip 1.1.1.0
"Streamripper" = Streamripper (Remove only)
"Tag&Rename_is1" = Tag&Rename 3.1.6
"Terminal Server Client" = Terminaldiensteclient
"Tweak UI 2.10" = Tweak UI
"UltraISO_is1" = UltraISO V7.6 ME
"Updaterollup" = Updaterollup für Windows XP
"VLC media player" = VLC media player 2.0.1
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.4
"WinImage" = WinImage
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01009" = Microsoft User-Mode Driver Framework Feature Pack 1.9
"XMPEG" = XMPEG 5.0
"XPSP3UPPACK" = Sereby's XP SP3 Updatepack Version 3.11.11
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"LogView V2 2" = LogView V2 2
"WinSetupFromUSB" = WinSetupFromUSB
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 17.01.2013 11:39:38 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 03.01.2013 10:57:49 | Computer Name = K9-5050E | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.
 
Error - 03.01.2013 11:58:28 | Computer Name = K9-5050E | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.
 
 
< End of report >

--- --- ---
Freue mich auf Antwort, falls noch Fragen offen sind, immer her damit :-)
Gruß
Freddie

M-K-D-B · 18.01.2013, 17:34

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Schritt 1
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste mit deiner nächsten Antwort

die Logdatei von DeFogger,
die Logdatei von GMER.

freddie234 · 18.01.2013, 23:08

Hallo M-K-D-B,
vielen herzlichen Dank für Deine prompte Hilfe. Habe alle Schritte wie befohlen ausgeführt. Hier die Log-Dateien

Defogger:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:28 on 18/01/2013 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
d347prt -> Disabled (Service running -> reboot required)
d347bus -> Disabled (Service running -> reboot required)

-=E.O.F=-

und hier GMER:

Zitat:

GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-18 22:36:02
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3500320NS rev.SN06 465,76GB
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fflcqpod.sys

---- System - GMER 2.0 ----

SSDT B87D52E4 ZwClose
SSDT B87D529E ZwCreateKey
SSDT B87D52EE ZwCreateSection
SSDT B87D5294 ZwCreateThread
SSDT B87D52A3 ZwDeleteKey
SSDT B87D52AD ZwDeleteValueKey
SSDT B87D52DF ZwDuplicateObject
SSDT B87D52B2 ZwLoadKey
SSDT B87D5280 ZwOpenProcess
SSDT B87D5285 ZwOpenThread
SSDT B87D5307 ZwQueryValueKey
SSDT B87D52BC ZwReplaceKey
SSDT B87D52F8 ZwRequestWaitReplyPort
SSDT B87D52B7 ZwRestoreKey
SSDT B87D52F3 ZwSetContextThread
SSDT B87D52FD ZwSetSecurityObject
SSDT B87D52A8 ZwSetValueKey
SSDT B87D5302 ZwSystemDebugControl
SSDT B87D528F ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB7F66000, 0xC5E, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB3151000, 0x223937, 0xE8000020]

---- User code sections - GMER 2.0 ----

.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, 94] {LOOPZ 0x3b; XCHG ESP, EAX}
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00943C4A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00943C09; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0094FA02; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0094A41D; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0094002E; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0094007E; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0093FF8F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00946C08; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00946CA2; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00946990; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00940056; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00946CF4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00946904; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 413824FA
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0093FE61; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0093FE2F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00946B3A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 009400A9; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0094FA42; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00946B83; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0094694A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, 93]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0093FF3F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00946C55; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0094FAD5; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00946A1C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00946AAE; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0094A5CC; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 009469D6; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00946A65; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00946AF4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0093FEA8; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00943CC7; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00943CB0; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0093F18C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0093F57B; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0093F5B3; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0093F11C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0093F5D4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00951D51; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00951AD6; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00951678; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 009519A3; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 009516BC; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00951634; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00951AAA; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00951936; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00951711; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 009519D1; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00951A50; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00951803; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00951766; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 009518A0; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 009518EB; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, AD] {LOOPZ 0x3b; LODSD }
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00AD3C4A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00AD3C09; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00AD3CC7; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00AD3CB0; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 00ADFA02; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 00ADA41D; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 00AD002E; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 00AD007E; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 00ACFF8F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00AD6C08; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00AD6CA2; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00AD6990; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00AD0056; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00AD6CF4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00AD6904; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 41383DFA
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 00ACFE61; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 00ACFE2F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00AD6B3A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 00AD00A9; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 00ADFA42; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00AD6B83; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 00AD694A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, AC]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 00ACFF3F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00AD6C55; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 00ADFAD5; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00AD6A1C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00AD6AAE; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 00ADA5CC; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 00AD69D6; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00AD6A65; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00AD6AF4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 00ACFEA8; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 00ACF18C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 00ACF57B; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!send 71A14C27 6 Bytes PUSH 00ACF5B3; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 00ACF11C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 00ACF5D4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00AE1D51; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00AE1AD6; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00AE1678; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 00AE19A3; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 00AE16BC; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00AE1634; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00AE1AAA; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00AE1936; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00AE1711; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 00AE19D1; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00AE1A50; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00AE1803; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00AE1766; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 00AE18A0; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 00AE18EB; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 01013806; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 01, 01, C3] {LOOPZ 0x3b; ADD [ECX], EAX; RET }
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 01013C4A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 01013C09; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 01013CC7; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 01013CB0; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0101FA02; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 0101F984; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0101A41D; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 0101F9C3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0101002E; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0101007E; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0100FF8F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 01016C08; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 01016CA2; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 01016896; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 010168E6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 01016990; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 01010056; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 01016CF4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 01016904; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 0101F879; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 413891FA
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0100FE61; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0100FE2F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 01016B3A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 010100A9; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0101FA42; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 01016B83; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0101694A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCapture 7E37C35E 3 Bytes [68, E5, FE]
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCapture + 4 7E37C362 2 Bytes [01, C3] {ADD EBX, EAX}
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0100FF3F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 0101F929; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 01016C55; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0101FAD5; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 01016A1C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 01016AAE; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0101A5CC; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 010169D6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 01016A65; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 01016AF4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0100FEA8; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0100F18C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0100F57B; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0100F5B3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0100F11C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0100F5D4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 01021D51; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 01021AD6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 01021678; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 010219A3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 010216BC; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 01021634; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 01021AAA; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 01021936; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 01021711; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 010219D1; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 01021A50; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 01021803; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 01021766; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 010218A0; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 010218EB; RET
.text C:\WINDOWS\Explorer.EXE[1916] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 025C3806; RET
.text C:\WINDOWS\Explorer.EXE[1916] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 5C, 02, C3] {LOOPZ 0x3b; POP ESP; ADD AL, BL}
.text C:\WINDOWS\Explorer.EXE[1916] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 025C3C4A; RET
.text C:\WINDOWS\Explorer.EXE[1916] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 025C3C09; RET
.text C:\WINDOWS\Explorer.EXE[1916] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 025C3CC7; RET
.text C:\WINDOWS\Explorer.EXE[1916] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 025C3CB0; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 025CFA02; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 025CF984; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 025CA41D; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 025CF9C3; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 025C002E; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 025C007E; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 025BFF8F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 025C6C08; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 025C6CA2; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 025C6896; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 025C68E6; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 025C6990; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 025C0056; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 025C6CF4; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 025C6904; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 025CF879; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 4139ECFA
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 025BFE61; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 025BFE2F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 025C6B3A; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 025C00A9; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 025CFA42; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 025C6B83; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 025C694A; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SetCapture 7E37C35E 6 Bytes PUSH 025BFEE5; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 025BFF3F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 025CF929; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 025C6C55; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 025CFAD5; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 025C6A1C; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 025C6AAE; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 025CA5CC; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 025C69D6; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 025C6A65; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 025C6AF4; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 025BFEA8; RET
.text C:\WINDOWS\Explorer.EXE[1916] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 025D1D51; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 025D1AD6; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 025D1678; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 025D19A3; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 025D16BC; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 025D1634; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 025D1AAA; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 025D1936; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 025D1711; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 025D19D1; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 025D1A50; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 025D1803; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 025D1766; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 025D18A0; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 025D18EB; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 025BF18C; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 025BF57B; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!send 71A14C27 6 Bytes PUSH 025BF5B3; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 025BF11C; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 025BF5D4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 036E3806; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 6E, 03, C3] {LOOPZ 0x3b; OUTS DX, BYTE [ESI]; ADD EAX, EBX}
.text C:\WINDOWS\RTHDCPL.EXE[2000] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 036E3C4A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 036E3C09; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 036E3CC7; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 036E3CB0; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 036EFA02; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 036EF984; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 036EA41D; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 036EF9C3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 036E002E; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 036E007E; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 036DFF8F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 036E6C08; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 036E6CA2; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 036E6896; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 036E68E6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 036E6990; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 036E0056; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 036E6CF4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 036E6904; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 036EF879; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 413AFEFA
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 036DFE61; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 036DFE2F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 036E6B3A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 036E00A9; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 036EFA42; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 036E6B83; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 036E694A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SetCapture 7E37C35E 6 Bytes PUSH 036DFEE5; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 036DFF3F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 036EF929; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 036E6C55; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 036EFAD5; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 036E6A1C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 036E6AAE; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 036EA5CC; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 036E69D6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 036E6A65; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 036E6AF4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 036DFEA8; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 036F1D51; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 036DF18C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 036DF57B; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!send 71A14C27 6 Bytes PUSH 036DF5B3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 036DF11C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 036DF5D4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 036F1AD6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 036F1678; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 036F19A3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 036F16BC; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 036F1634; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 036F1AAA; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 036F1936; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 036F1711; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 036F19D1; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 036F1A50; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 036F1803; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 036F1766; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 036F18A0; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 036F18EB; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00B43C4A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00B43C09; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 00B4FA02; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 00B4A41D; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 00B4002E; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 00B4007E; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 00B3FF8F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00B46C08; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00B46CA2; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00B46990; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00B40056; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00B46CF4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00B46904; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 413844FA
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 00B3FE61; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 00B3FE2F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00B46B3A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 00B400A9; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 00B4FA42; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00B46B83; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 00B4694A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, B3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 00B3FF3F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00B46C55; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 00B4FAD5; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00B46A1C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00B46AAE; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 00B4A5CC; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 00B469D6; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00B46A65; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00B46AF4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 00B3FEA8; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00B43CC7; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00B43CB0; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00B51D51; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 00B3F18C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 00B3F57B; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!send 71A14C27 6 Bytes PUSH 00B3F5B3; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 00B3F11C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 00B3F5D4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00B51AD6; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00B51678; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 00B519A3; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 00B516BC; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00B51634; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00B51AAA; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00B51936; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00B51711; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 00B519D1; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00B51A50; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00B51803; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00B51766; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 00B518A0; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 00B518EB; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00143C4A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00143C09; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0014FA02; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0014A41D; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0014002E; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0014007E; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0013FF8F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00146C08; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00146CA2; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00146990; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00140056; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00146CF4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00146904; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 4137A4FA
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0013FE61; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0013FE2F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00146B3A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 001400A9; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0014FA42; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00146B83; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0014694A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, 13]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0013FF3F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00146C55; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0014FAD5; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00146A1C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00146AAE; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0014A5CC; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 001469D6; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00146A65; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00146AF4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0013FEA8; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00143CC7; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00143CB0; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0013F18C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0013F57B; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0013F5B3; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0013F11C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0013F5D4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00151D51; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00151AD6; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00151678; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 001519A3; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 001516BC; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00151634; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00151AAA; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00151936; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00151711; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 001519D1; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00151A50; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00151803; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00151766; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 001518A0; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 001518EB; RET

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472@001370d99ab2 0x69 0xF3 0x07 0xE3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472@5c57c8262596 0x49 0xCD 0x07 0xD9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472@001370d99ab2 0x69 0xF3 0x07 0xE3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472@5c57c8262596 0x49 0xCD 0x07 0xD9 ...

---- EOF - GMER 2.0 ----

Gruß
Freddie

M-K-D-B · 19.01.2013, 16:03

Servus,

du bist in der Tat mit Zbot infiziert.

Bitte kein Online-Banking und keine Online-Geschäfte durchführen, bis wir mit der Bereinigung fertig sind!

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

freddie234 · 20.01.2013, 17:58

Hallo Matthias,
vielen herzlichen Dank soweit!
War fleißig und habe anebi das Combofix-Log. Nebenher habe ich noch zwei weitere Rechner, ich habe die Schritte "MB Antimalware", "OTL scan", "defogger" und "gmer" jeweils scannen lassen und wollte fragen, ob und wie ich Dir diese Logs auch posten darf?

Hier erst mal die Combofix-Log meines (bisher gescannten und behandelten) Hauptrechners:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-17.04 - Administrator 20.01.2013  14:06:16.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD4.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD5.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\system\Color
c:\windows\system32\AF15BDAEX.dll
c:\windows\system32\SET1CA.tmp
c:\windows\system32\tmp9A.tmp
c:\windows\system32\tmp9B.tmp
c:\windows\system32\tmpF42.tmp
c:\windows\system32\tmpF43.tmp
c:\windows\unin0407.exe
c:\windows\wininit.ini
.
Infizierte Kopie von c:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-20 bis 2013-01-20  ))))))))))))))))))))))))))))))
.
.
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\xircom
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\srchasst
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\programme\microsoft frontpage
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2013-01-10 22:56 . 2013-01-18 19:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
2013-01-06 15:13 . 2013-01-06 15:13	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Brother
2013-01-03 13:42 . 1997-09-04 08:37	251664	----a-w-	c:\windows\system32\Msrd2x35.dll
2013-01-03 13:42 . 1999-03-24 01:06	1046288	------w-	c:\windows\system32\msjet35.dll
2013-01-03 13:42 . 1997-01-13 00:00	37136	----a-w-	c:\windows\system32\MSJINT35.DLL
2013-01-03 13:42 . 1996-12-02 18:44	24336	----a-w-	c:\windows\system32\MSJTER35.DLL
2012-12-23 00:57 . 2012-12-23 00:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 07:24 . 2012-12-01 17:28	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-15 07:24 . 2012-12-01 17:28	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-14 15:49 . 2010-09-21 21:34	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-12-02 17:48 . 2007-04-27 09:43	120200	----a-w-	c:\windows\system32\DLLDEV32i.dll
2012-12-02 13:49 . 2012-12-02 13:49	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-02 13:49 . 2012-12-02 13:49	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-28 10:22 . 2012-11-28 10:22	1409	----a-w-	c:\windows\QTFont.for
2012-11-16 19:17 . 2012-12-01 17:28	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\anwendungen\Omnipage 15.0\Opware15.exe" [2005-09-26 69632]
"PDF3 Registry Controller"="c:\anwendungen\Omnipage 15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 106496]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2011-09-22 395344]
"TrueImageMonitor.exe"="c:\anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe" [2011-09-22 5587832]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-15 384800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico [2009-2-6 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Spiele\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Spiele\\COD4\\iw3mp.exe"=
"c:\\Anwendungen\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [20.11.2011 01:53 76768]
R0 psecbdr;psecbdr;c:\windows\system32\drivers\psecbdr.sys [31.01.2009 14:28 17024]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 13:46 63352]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [17.05.2011 01:34 752128]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [01.12.2012 18:28 36552]
R2 AAV UpdateService;AAV UpdateService;c:\anwendungen\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [20.11.2011 01:22 3246040]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.12.2012 18:28 85280]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [24.05.2011 10:33 1840128]
R2 OS Selector;Acronis OS Selector Activator;c:\anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe [15.11.2011 18:44 2155848]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [20.11.2011 01:22 167968]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [10.11.2011 17:19 100368]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [07.05.2007 02:00 53632]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [08.02.2009 20:06 537600]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [15.02.2009 00:02 47360]
S1 DumpDrv;Crash Dump Driver;c:\windows\system32\drivers\dumpdrv.sys [16.06.2011 21:25 9472]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [08.02.2009 20:06 37568]
S3 cpuz;cpuz;\??\e:\downloads\Optimierung & Benchmark\cpuz.sys --> e:\downloads\Optimierung & Benchmark\cpuz.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [26.04.2011 13:54 2702848]
S3 GigasetGenericUSB;GigasetGenericUSB;c:\windows\system32\drivers\GigasetGenericUSB.sys [04.04.2011 21:25 44032]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [06.06.2011 12:53 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [06.06.2011 12:53 8576]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [25.08.2009 19:00 41120]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [25.08.2009 19:00 74912]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [25.08.2009 19:00 32288]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [31.01.2009 13:13 11520]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01.02.2009 16:43 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01.02.2009 16:43 5248]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2013-01-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2011-09-22 c:\windows\Tasks\sd.job
- e:\admin\sd.bat [2009-03-04 22:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.ati.com/online/cccwelcome/deu/drivers.html
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: PDF in Word öffnen (PDF Converter 3.0) - c:\anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\
FF - prefs.js: browser.startup.homepage - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Ogylpaunli - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
HKLM-Run-OpScheduler - c:\anwendungen\Omnipage 15.0\OpScheduler.exe
HKU-Default-RunOnce-WUAppSetup - c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Arbeitszeit - c:\windows\Uninstall_tkexe -arbeitszeit
AddRemove-FotoLook3DeinstKey - c:\windows\unin0407.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-20 14:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Spiele\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fc,af,a3,53,51,6a,8a,9b,a0,a2,2a,95,7c,82,e1,2e,68,ce,a7,e4,ea,5d,71,
   02,49,0c,69,f8,74,f1,61,83,3b,75,d3,49,64,f8,62,74,a4,f2,14,19,53,08,73,7a,\
"??"=hex:8e,2d,86,cb,3c,9d,10,df,2a,93,2d,cc,dc,55,9c,a3
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:a2,fe,bf,55,09,90,40,e0,6e,b1,67,a0,ae,d0,68,3c,17,f1,e5,83,72,
   0a,2a,c8,20,08,d2,e2,92,71,cf,7c,39,76,2c,7e,3e,0c,c7,3c,80,7b,e7,e0,f8,bf,\
"rkeysecu"=hex:4b,19,d8,12,31,d9,86,83,ae,3f,05,33,56,5a,ba,43
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3900)
c:\anwendungen\Omnipage 15.0\OpHook15.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\anwendungen\VPN Client\cvpnd.exe
c:\windows\System32\DVDRAMSV.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-20  14:18:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-20 13:18
.
Vor Suchlauf: 6 Verzeichnis(se), 33.217.757.184 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 33.781.792.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 3B393AD6F51C09E03C8128581B3A9009

--- --- ---

Gruß Freddie

M-K-D-B · 20.01.2013, 19:35

Servus,

Zitat:

Zitat von freddie234

Nebenher habe ich noch zwei weitere Rechner, ich habe die Schritte "MB Antimalware", "OTL scan", "defogger" und "gmer" jeweils scannen lassen und wollte fragen, ob und wie ich Dir diese Logs auch posten darf?

Das kannst du machen, wenn wir diesen 1. Rechner komplett bereinigt haben, nicht vorher, da es sonst nur zu Verwirrungen kommt.

Wir können uns gerne einen Rechner nach dem anderen ansehen und ggf. bereinigen... eins nach dem anderen.

Wir bleiben bei dem Rechner, an dem du gerade ComboFix ausgeführt hast. Das machen wir jetzt gleich nochmal, nur mit folgendem Script:

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
Folder::
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
         
Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.
Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

wgsdgsdgdsgsd.exe und A0067266.exe

Plagegeister aller Art und deren Bekämpfung: wgsdgsdgdsgsd.exe und A0067266.exe