Ebenfalls GVU Trojaner - OTL und Malwarebytes Log- wie geht`s weiter?

MDoubleu · 30.01.2013, 12:25

Hi Leute,

also habe mir gestern auch den GVU Trojaner eingefangen.
Habe dann wie hier vorgeschlagen von CD gebootet und OTL laufen lassen, hier der Log:

Code:

ATTFilter

OTL logfile created on: 1/29/2013 7:13:45 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 1 (Version = 6.0.6001) - Type = System
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 455.70 Gb Total Space | 72.92 Gb Free Space | 16.00% Space Free | Partition Type: NTFS
Drive H: | 10.00 Gb Total Space | 6.02 Gb Free Space | 60.21% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/01/09 07:12:15 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/12/14 10:29:18 | 001,522,912 | ---- | M] (pdfforge GbR) [Auto] -- C:\Program Files\PDF Architect\HelperService.exe -- (PDF Architect Helper Service)
SRV - [2012/12/14 10:28:58 | 000,906,464 | ---- | M] (pdfforge GbR) [Auto] -- C:\Program Files\PDF Architect\ConversionService.exe -- (PDF Architect Service)
SRV - [2012/07/13 06:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/07/02 10:25:14 | 002,232,504 | ---- | M] (Giraffic) [Auto] -- C:\Program Files\Giraffic\Veoh_GirafficWatchdog.exe -- (Giraffic)
SRV - [2011/07/01 10:23:37 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/25 09:54:58 | 001,617,296 | ---- | M] (Bandoo Media Inc.) [Auto] -- C:\Program Files\Bandoo\Bandoo.exe -- (Bandoo Coordinator)
SRV - [2011/04/21 00:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/11/04 09:41:46 | 000,009,728 | ---- | M] (Deutsche Telekom AG) [Auto] -- C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2010/03/18 04:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2008/08/12 08:49:57 | 000,016,680 | ---- | M] (Citrix Online, a division of Citrix Systems, Inc.) [On_Demand] -- C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe -- (GoToAssist)
SRV - [2008/04/28 10:56:28 | 000,161,048 | ---- | M] (Stardock Corporation) [Auto] -- C:\Program Files\Dell\DellDock\DockLogin.exe -- (DockLoginService)
SRV - [2008/01/20 21:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2006/11/02 14:40:12 | 000,174,656 | ---- | M] () [Auto] -- C:\Windows\System32\PSIService.exe -- (ProtexisLicensing)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2012/02/24 04:14:42 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssudmdm.sys -- (ssudmdm) SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.)
DRV - [2012/02/24 04:14:42 | 000,080,824 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssudbus.sys -- (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.)
DRV - [2011/07/01 10:23:42 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/01 10:23:42 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/09/16 10:02:33 | 000,035,040 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Program Files\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2010/07/04 14:51:26 | 000,004,096 | ---- | M] () [Kernel | Unavailable] -- C:\Program Files\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2009/10/08 10:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/05/18 13:54:34 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2008/01/20 21:23:25 | 000,251,904 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\VSTBS23.SYS -- (VSTHWBS2)
DRV - [2007/08/20 00:29:44 | 002,930,176 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (R300)
DRV - [2007/08/20 00:29:44 | 002,930,176 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2007/04/29 03:42:24 | 000,228,224 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express) Intel(R)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Jan_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080812
IE - HKU\Jan_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKU\Jan_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Jan_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Jan_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Key error. File not found
IE - HKU\Jan_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Jan_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4080812
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Mel_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Mel_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Mel_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\Mel_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Key error. File not found
IE - HKU\Mel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Mel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.selectedEngine: "Web Search..."
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.bild.de/"
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.2.126
FF - prefs.js..extensions.enabledItems: {dd05fd3d-18df-4ce4-ae53-e795339c5f01}:1.21
FF - prefs.js..keyword.URL: "hxxp://startsear.ch/?q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Musicnotes.com/Musicnotes Viewer,version=1.17.4: C:\Program Files\Musicnotes\npmusicn.dll (Musicnotes, Inc.)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@Sibelius.com/Scorch Plugin,version=5.2.5.48: C:\Program Files\Musicnotes\NPSibelius.dll ()
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011/07/16 15:31:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Program Files\Common Files\DVDVideoSoft\plugins\ff\ [2012/12/10 08:07:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Program Files\PDF Architect\FFPDFArchitectExt [2013/01/10 10:59:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Users\Mel\AppData\Local\Mozilla Firefox\components [2012/12/10 09:07:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Users\Mel\AppData\Local\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/07/23 13:01:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012/07/23 13:01:35 | 000,000,000 | ---D | M]
 
[2011/06/25 08:00:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mel\AppData\Roaming\Mozilla\Extensions
[2013/01/29 05:37:15 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mel\AppData\Roaming\Mozilla\Firefox\Profiles\1o9lrfld.default\extensions
[2012/12/10 09:05:02 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Mel\AppData\Roaming\Mozilla\Firefox\Profiles\1o9lrfld.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/07/02 06:15:16 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\Mel\AppData\Roaming\Mozilla\Firefox\Profiles\1o9lrfld.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2011/09/13 14:29:15 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Users\Mel\AppData\Roaming\Mozilla\Firefox\Profiles\1o9lrfld.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
[2011/09/13 14:29:42 | 000,001,574 | ---- | M] () -- C:\Users\Mel\AppData\Roaming\Mozilla\Firefox\Profiles\1o9lrfld.default\searchplugins\web-search.xml
[2011/12/28 16:31:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2009/05/11 14:52:37 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Program Files\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2009/01/25 15:39:54 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\google-cjk@partners.mozilla.com
[2011/07/16 15:31:55 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 &lt;video&gt;) -- C:\PROGRAM FILES\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5
[2011/01/26 13:15:42 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/01/26 13:15:42 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/01/26 13:15:42 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/01/26 13:15:42 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/01/26 13:15:42 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 16:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (ICQ Inc.)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll (Google Inc.)
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll (Dell Inc.)
O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll (Bandoo Media Inc.)
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files\PDF Architect\PDFIEPlugin.dll (pdfforge GbR)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\Jan_ON_C\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKU\Jan_ON_C\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\Mel_ON_C\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKU\Mel_ON_C\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [Corel Photo Downloader] C:\Program Files\Corel\Corel Snapfire\Corel Photo Downloader.exe (Corel, Inc.)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [dscactivate] C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe ( )
O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKLM..\Run: [Nikon Message Center 2] C:\Program Files\Nikon\Nikon Message Center 2\NkMC2.exe (Nikon Corporation)
O4 - HKLM..\Run: [PDVD9LanguageShortcut] C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl9] C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKLM..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\Jan_ON_C..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKU\Jan_ON_C..\Run: [EA Core]  File not found
O4 - HKU\Jan_ON_C..\Run: [EADM] C:\Program Files\Origin\Origin.exe (Electronic Arts)
O4 - HKU\Jan_ON_C..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKU\Jan_ON_C..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKU\Jan_ON_C..\Run: [VeohPlugin] C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe (Veoh Networks)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Mel_ON_C..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKU\Mel_ON_C..\Run: [EA Core]  File not found
O4 - HKU\Mel_ON_C..\Run: [EADM] C:\Program Files\Origin\Origin.exe (Electronic Arts)
O4 - HKU\Mel_ON_C..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKU\Mel_ON_C..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKU\Mel_ON_C..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - HKU\Mel_ON_C..\Run: [VeohPlugin] C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe (Veoh Networks)
O4 - HKU\Mel_ON_C..\Run: [Yqqyneog]  File not found
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
O4 - Startup: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
O4 - Startup: C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Netzmanager.lnk = C:\Program Files\Netzmanager\netzmanager.exe (Deutsche Telekom AG)
O4 - Startup: C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (Stardock Corporation)
O4 - Startup: C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk =  File not found
O4 - Startup: C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\vsharechrome - No CLSID value found
O20 - AppInit_DLLs: (c:\progra~1\google\google~2\goec62~1.dll) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - AppInit_DLLs: (c:\progra~1\bandoo\bndhook.dll) - C:\Program Files\Bandoo\BndHook.dll (Discordia Limited)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\GoToAssist: DllName - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll - C:\Program Files\Citrix\GoToAssist\514\g2awinlogon.dll (Citrix Online, a division of Citrix Systems, Inc.)
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 16:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{3f2bf232-b0f4-11dd-ac3d-00219b03aed9}\Shell - "" = AutoRun
O33 - MountPoints2\{3f2bf232-b0f4-11dd-ac3d-00219b03aed9}\Shell\AutoRun\command - "" = M:\LaunchU3.exe -a
O33 - MountPoints2\{adb9314e-687a-11dd-b10b-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{adb9314e-687a-11dd-b10b-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe
O33 - MountPoints2\{adb9314f-687a-11dd-b10b-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{adb9314f-687a-11dd-b10b-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "C:\Program Files\Google\Chrome\Application\24.0.1312.56\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {98595F74-7670-4CC6-810F-57AFA47222B0} - msiexec /fus {98595F74-7670-4CC6-810F-57AFA47222B0} /quiet
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/01/29 11:16:13 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\Avira
[2013/01/29 10:08:55 | 000,000,000 | R--D | C] -- C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 9
[2013/01/21 06:26:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Biet-O-Matic
[2013/01/21 06:26:12 | 000,209,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Tabctl32.ocx
[2013/01/21 06:26:12 | 000,115,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msinet.ocx
[2013/01/21 06:26:12 | 000,109,248 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Mswinsck.ocx
[2013/01/21 06:26:12 | 000,022,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Tabctde.dll
[2013/01/21 06:26:12 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winskde.dll
[2013/01/21 06:26:12 | 000,006,656 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\stdftde.dll
[2013/01/21 06:26:10 | 000,000,000 | ---D | C] -- C:\Program Files\Biet-O-Matic
[2013/01/11 20:09:47 | 000,000,000 | R--D | C] -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 9
[2013/01/10 11:35:41 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\PDF Architect
[2013/01/10 10:59:35 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\APP_NAME_NON_STRING
[2013/01/10 10:59:18 | 000,000,000 | ---D | C] -- C:\Users\Jan\Documents\PDF Architect Files
[2013/01/10 10:59:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Architect
[2013/01/10 10:58:50 | 000,000,000 | ---D | C] -- C:\Program Files\PDF Architect
[2013/01/10 10:58:18 | 000,000,000 | ---D | C] -- C:\Users\Jan\AppData\Roaming\pdfforge
[2013/01/10 10:58:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[2013/01/10 10:58:14 | 000,662,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCT2.OCX
[2013/01/10 10:58:14 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMAPI32.OCX
[2013/01/10 10:58:13 | 000,088,576 | ---- | C] (pdfforge GbR) -- C:\Windows\System32\pdfcmon.dll
[2013/01/10 10:58:12 | 000,158,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCMCDE.DLL
[2013/01/10 10:58:12 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\VB6DE.DLL
[2013/01/10 10:58:12 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCC2DE.DLL
[2013/01/10 10:58:11 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMPIDE.DLL
[2013/01/10 10:58:11 | 000,000,000 | ---D | C] -- C:\Program Files\PDFCreator
[2013/01/09 18:24:05 | 000,000,000 | ---D | C] -- C:\c5e31067c4440bb397a09cc96f3f
[2013/01/05 15:58:32 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\Zubi
[2013/01/05 15:58:32 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\Piiti
[2013/01/05 15:58:32 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\Muyxed
 
========== Files - Modified Within 30 Days ==========
 
[2013/01/29 11:51:18 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013/01/29 10:12:12 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013/01/29 10:12:04 | 000,000,680 | ---- | M] () -- C:\Users\Mel\AppData\Local\d3d9caps.dat
[2013/01/29 10:12:01 | 095,023,320 | ---- | M] () -- C:\ProgramData\4468537.pad
[2013/01/29 10:08:47 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/01/29 10:07:58 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013/01/29 10:07:57 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013/01/29 10:03:54 | 000,002,683 | ---- | M] () -- C:\ProgramData\4468537.js
[2013/01/29 10:03:54 | 000,000,870 | ---- | M] () -- C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/29 09:45:00 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013/01/29 07:38:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2013/01/26 09:02:12 | 000,000,951 | ---- | M] () -- C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2013/01/26 09:01:35 | 000,000,915 | ---- | M] () -- C:\Users\Mel\Desktop\Dropbox.lnk
[2013/01/21 06:26:28 | 000,000,814 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Biet-O-Matic.lnk
[2013/01/21 06:26:28 | 000,000,796 | ---- | M] () -- C:\Users\Public\Desktop\Biet-O-Matic.lnk
[2013/01/21 06:26:28 | 000,000,000 | R--D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
[2013/01/21 06:26:13 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Biet-O-Matic
[2013/01/17 15:32:47 | 000,618,192 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013/01/17 15:32:47 | 000,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013/01/17 15:32:47 | 000,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013/01/17 15:32:47 | 000,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013/01/17 15:31:28 | 000,000,000 | ---- | M] () -- C:\Users\Mel\Documents\Nuance Image Printer Writer Port
[2013/01/11 20:09:01 | 000,001,957 | ---- | M] () -- C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2013/01/11 20:09:01 | 000,001,933 | ---- | M] () -- C:\Users\Jan\Desktop\Google Chrome.lnk
[2013/01/11 04:25:37 | 000,001,957 | ---- | M] () -- C:\Users\Mel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2013/01/10 15:48:59 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
[2013/01/10 10:59:46 | 000,000,764 | ---- | M] () -- C:\Users\Jan\Desktop\PDF Architect.lnk
[2013/01/10 10:59:11 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Architect
[2013/01/10 10:58:19 | 000,000,790 | ---- | M] () -- C:\Users\Public\Desktop\PDFCreator.lnk
[2013/01/10 10:58:19 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[2013/01/09 07:12:14 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2013/01/09 07:12:14 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2013/01/04 11:19:36 | 000,002,724 | -HS- | M] () -- C:\Windows\System32\KGyGaAvL.sys
[2013/01/02 13:52:27 | 000,004,096 | -H-- | M] () -- C:\Users\Mel\AppData\Local\keyfile3.drm
 
========== Files Created - No Company Name ==========
 
[2013/01/29 10:12:04 | 000,000,680 | ---- | C] () -- C:\Users\Mel\AppData\Local\d3d9caps.dat
[2013/01/29 10:03:54 | 000,002,683 | ---- | C] () -- C:\ProgramData\4468537.js
[2013/01/29 10:03:54 | 000,000,870 | ---- | C] () -- C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/29 10:03:50 | 095,023,320 | ---- | C] () -- C:\ProgramData\4468537.pad
[2013/01/25 08:37:54 | 000,000,236 | ---- | C] () -- C:\Users\Mel\Desktop\Resource.cfg
[2013/01/21 06:26:28 | 000,000,814 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Biet-O-Matic.lnk
[2013/01/21 06:26:28 | 000,000,796 | ---- | C] () -- C:\Users\Public\Desktop\Biet-O-Matic.lnk
[2013/01/21 06:26:13 | 000,015,873 | ---- | C] () -- C:\Windows\System32\Inetde.dll
[2013/01/11 20:09:00 | 000,001,933 | ---- | C] () -- C:\Users\Jan\Desktop\Google Chrome.lnk
[2013/01/10 10:59:46 | 000,000,764 | ---- | C] () -- C:\Users\Jan\Desktop\PDF Architect.lnk
[2013/01/10 10:58:19 | 000,000,790 | ---- | C] () -- C:\Users\Public\Desktop\PDFCreator.lnk
[2013/01/02 13:52:27 | 000,004,096 | -H-- | C] () -- C:\Users\Mel\AppData\Local\keyfile3.drm
[2012/10/26 11:53:46 | 000,000,273 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
[2012/03/28 15:11:08 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2012/03/28 15:11:06 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll
[2012/03/28 15:11:06 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll
[2012/03/28 15:11:06 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll
[2012/03/28 15:11:06 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll
[2011/10/31 11:03:04 | 001,136,208 | ---- | C] () -- C:\ProgramData\pswi_preloaded.exe
[2011/10/31 10:51:10 | 000,000,088 | RHS- | C] () -- C:\Windows\System32\189DE81691.sys
[2011/10/31 10:51:09 | 000,002,724 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys
[2011/07/06 14:31:35 | 000,000,416 | ---- | C] () -- C:\Users\Mel\AppData\Roaming\wklnhst.dat
[2011/06/25 08:46:04 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Services
[2011/06/25 08:46:04 | 000,000,268 | RH-- | C] () -- C:\Users\Jan\AppData\Roaming\Sci-Fi
[2011/06/25 08:46:04 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLev.DAT
[2011/06/25 08:46:03 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Scripts Menu
[2011/06/25 08:46:03 | 000,000,268 | RH-- | C] () -- C:\ProgramData\Screen Savers
[2011/06/25 08:46:03 | 000,000,268 | RH-- | C] () -- C:\Users\Jan\AppData\Roaming\Sampler Instruments
[2011/06/25 08:46:03 | 000,000,268 | RH-- | C] () -- C:\Users\Jan\AppData\Roaming\Sampler Files
[2011/06/25 08:46:03 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLet.DAT
[2011/06/25 08:46:03 | 000,000,020 | -H-- | C] () -- C:\ProgramData\PKP_DLes.DAT
[2011/06/25 07:46:46 | 000,070,656 | ---- | C] () -- C:\Users\Mel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/06/24 11:10:55 | 001,524,112 | ---- | C] () -- C:\Windows\System32\bandoolmx.dll
[2011/05/31 08:53:09 | 000,004,096 | -H-- | C] () -- C:\Users\Jan\AppData\Local\keyfile3.drm
[2010/01/15 17:22:34 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2010/01/15 17:21:29 | 000,000,065 | ---- | C] () -- C:\Windows\System32\bd7030.dat
[2010/01/15 17:18:02 | 000,000,114 | ---- | C] () -- C:\Windows\System32\BRLMW03A.INI
[2009/07/31 08:36:16 | 000,000,552 | ---- | C] () -- C:\Users\Jan\AppData\Local\d3d8caps.dat
[2009/04/21 10:36:02 | 000,000,680 | ---- | C] () -- C:\Users\Jan\AppData\Local\d3d9caps.dat
[2009/01/29 12:16:36 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2008/12/15 05:56:51 | 000,815,104 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008/12/15 05:56:51 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008/11/21 16:47:52 | 003,596,288 | ---- | C] () -- C:\Windows\System32\qt-dx331.dll
[2008/11/21 16:44:16 | 000,012,288 | ---- | C] () -- C:\Windows\System32\DivXWMPExtType.dll
[2008/11/05 15:27:49 | 000,000,370 | ---- | C] () -- C:\Users\Jan\AppData\Roaming\wklnhst.dat
[2008/09/08 11:55:24 | 000,000,554 | ---- | C] () -- C:\Windows\eReg.dat
[2008/08/20 15:51:57 | 000,139,776 | ---- | C] () -- C:\Users\Jan\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/08/12 17:24:12 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2008/08/12 17:24:12 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2008/08/12 17:24:12 | 000,144,773 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2008/08/12 17:24:12 | 000,081,920 | ---- | C] () -- C:\Windows\System32\ATIODE.exe
[2008/08/12 17:24:12 | 000,040,960 | ---- | C] () -- C:\Windows\System32\ATIODCLI.exe
[2008/08/12 17:24:11 | 000,876,544 | ---- | C] () -- C:\Windows\System32\TEACico2.dll
[2008/01/21 02:15:58 | 000,618,192 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/01/21 02:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/01/21 02:15:58 | 000,122,636 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/01/21 02:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2008/01/20 21:24:14 | 000,100,043 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2007/07/23 02:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2007/07/23 02:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2007/07/23 02:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2007/07/23 02:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2006/11/02 14:40:12 | 000,174,656 | ---- | C] () -- C:\Windows\System32\PSIService.exe
[2006/11/02 07:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 07:47:37 | 000,367,832 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 07:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 05:33:01 | 000,586,980 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 05:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 05:33:01 | 000,101,052 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 05:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 05:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 03:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 03:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 02:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/11/02 02:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\Windows\System32\OUTLPERF.INI
[1997/06/14 03:56:08 | 000,056,832 | ---- | C] () -- C:\Windows\System32\iyvu9_32.dll
 
========== LOP Check ==========
 
[2011/06/24 11:54:52 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Bandoo
[2009/05/18 13:59:19 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\DAEMON Tools
[2011/07/25 05:34:04 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\DAEMON Tools Lite
[2009/05/18 13:59:19 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\DAEMON Tools Pro
[2012/12/10 08:08:01 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\DVDVideoSoft
[2011/07/02 08:07:09 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\DVDVideoSoftIEHelpers
[2012/04/25 13:43:02 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\elsterformular
[2011/09/16 08:51:03 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Haufe
[2011/11/30 13:38:30 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\ICQ
[2009/02/11 16:00:49 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\ICQ Toolbar
[2008/12/21 17:13:42 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Leadertech
[2010/04/19 13:44:20 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Lexware
[2009/07/09 17:59:49 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\LimeWire
[2012/12/16 08:46:12 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien
[2011/11/05 12:04:41 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Origin
[2013/01/10 10:58:18 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\pdfforge
[2012/05/29 13:20:05 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Samsung
[2008/11/05 15:27:54 | 000,000,000 | ---D | M] -- C:\Users\Jan\AppData\Roaming\Template
[2013/01/10 10:59:35 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\APP_NAME_NON_STRING
[2011/09/30 05:39:44 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Bandoo
[2011/09/24 18:40:09 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\DAEMON Tools
[2011/09/24 18:40:09 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\DAEMON Tools Lite
[2011/09/24 18:40:09 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\DAEMON Tools Pro
[2013/01/29 10:11:17 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Dropbox
[2012/12/10 08:12:11 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\DVDVideoSoft
[2012/05/04 06:36:03 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\ICQ
[2011/06/25 07:10:17 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Lexware
[2011/12/21 10:30:01 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien
[2013/01/23 05:31:11 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Muyxed
[2012/05/17 06:29:11 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Opera
[2012/08/24 05:52:50 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Origin
[2013/01/10 11:35:44 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\PDF Architect
[2013/01/23 15:08:37 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Piiti
[2012/05/16 08:07:59 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Samsung
[2012/05/17 08:52:00 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\TeamViewer
[2011/07/06 14:31:42 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Template
[2012/12/11 17:10:26 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\TS3Client
[2011/09/21 06:27:22 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Ulead Systems
[2012/05/17 06:38:05 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Windows Desktop Search
[2012/11/07 08:41:20 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Ybeqc
[2013/01/05 15:58:32 | 000,000,000 | ---D | M] -- C:\Users\Mel\AppData\Roaming\Zubi
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2012/04/23 03:34:35 | 000,000,000 | ---D | M] -- C:\ProgramData\Application Data
[2011/08/14 12:37:35 | 000,000,000 | ---D | M] -- C:\ProgramData\Bandoo
[2012/10/03 16:05:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Battle.net
[2010/04/19 13:03:26 | 000,000,000 | ---D | M] -- C:\ProgramData\BTrieve
[2009/05/18 13:58:01 | 000,000,000 | ---D | M] -- C:\ProgramData\DAEMON Tools Lite
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2012/10/24 08:52:12 | 000,000,000 | ---D | M] -- C:\ProgramData\Deutsche Post AG
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2011/12/15 08:28:51 | 000,000,000 | ---D | M] -- C:\ProgramData\EA Core
[2011/11/05 12:00:32 | 000,000,000 | ---D | M] -- C:\ProgramData\Electronic Arts
[2012/04/25 13:42:47 | 000,000,000 | ---D | M] -- C:\ProgramData\elsterformular
[2011/06/25 08:46:04 | 000,000,000 | ---D | M] -- C:\ProgramData\EnterNHelp
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2012/04/23 03:35:33 | 000,000,000 | ---D | M] -- C:\ProgramData\Giraffic
[2010/04/19 12:57:28 | 000,000,000 | ---D | M] -- C:\ProgramData\Haufe
[2011/07/02 07:41:35 | 000,000,000 | ---D | M] -- C:\ProgramData\ICQ
[2010/04/19 13:49:25 | 000,000,000 | ---D | M] -- C:\ProgramData\Lexware
[2011/05/31 15:34:49 | 000,000,000 | ---D | M] -- C:\ProgramData\Netzmanager
[2011/06/26 09:21:57 | 000,000,000 | ---D | M] -- C:\ProgramData\Nikon
[2011/11/05 12:04:40 | 000,000,000 | ---D | M] -- C:\ProgramData\Origin
[2012/05/16 08:04:04 | 000,000,000 | ---D | M] -- C:\ProgramData\Samsung
[2011/06/25 08:46:03 | 000,000,000 | ---D | M] -- C:\ProgramData\Sci-Fi
[2011/06/25 08:46:03 | 000,000,000 | ---D | M] -- C:\ProgramData\Solid Colors
[2011/06/25 08:46:04 | 000,000,000 | ---D | M] -- C:\ProgramData\Specifications
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2008/08/12 08:46:57 | 000,000,000 | ---D | M] -- C:\ProgramData\SupportSoft
[2009/05/26 15:28:20 | 000,000,000 | ---D | M] -- C:\ProgramData\Temp
[2011/10/21 08:21:28 | 000,000,000 | ---D | M] -- C:\ProgramData\tmp
[2011/06/25 08:46:04 | 000,000,000 | ---D | M] -- C:\ProgramData\Ultima_T15
[2008/08/19 10:59:22 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011/11/14 06:42:14 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2012/01/12 16:28:31 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011/06/24 11:10:45 | 000,000,000 | -H-D | M] -- C:\ProgramData\{4EF77D37-415C-4195-AE30-904ED23A3940}
[2011/05/31 11:41:51 | 000,000,000 | -H-D | M] -- C:\ProgramData\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
[2013/01/28 16:49:47 | 000,032,538 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2012/01/22 06:50:09 | 000,000,000 | ---D | M] -- C:\!KillBox
[2011/06/25 07:10:01 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2008/08/12 17:24:20 | 000,000,000 | ---D | M] -- C:\backup
[2008/08/19 13:10:13 | 000,000,000 | ---D | M] -- C:\BlueByte
[2008/02/06 01:46:24 | 000,000,000 | -HSD | M] -- C:\Boot
[2013/01/09 18:24:08 | 000,000,000 | ---D | M] -- C:\c5e31067c4440bb397a09cc96f3f
[2011/06/26 08:49:34 | 000,000,000 | ---D | M] -- C:\DELL
[2008/08/12 17:20:22 | 000,000,000 | ---D | M] -- C:\doctemp
[2008/08/19 10:59:21 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2008/08/12 17:20:26 | 000,000,000 | ---D | M] -- C:\Drivers
[2009/01/29 12:10:22 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2008/01/20 21:32:31 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2013/01/21 06:26:10 | 000,000,000 | ---D | M] -- C:\Program Files
[2013/01/29 10:03:54 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2008/08/19 10:59:22 | 000,000,000 | -HSD | M] -- C:\Programme
[2013/01/29 05:19:19 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012/05/16 08:25:52 | 000,000,000 | ---D | M] -- C:\Temp
[2011/06/25 07:09:27 | 000,000,000 | R--D | M] -- C:\Users
[2013/01/29 11:14:51 | 000,000,000 | ---D | M] -- C:\Windows
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2008/01/20 21:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\drivers\AGP440.sys
[2008/01/20 21:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008/01/20 21:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008/01/20 21:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2006/11/02 04:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009/04/11 01:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008/01/20 21:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\drivers\atapi.sys
[2008/01/20 21:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008/01/20 21:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006/11/02 04:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006/11/02 04:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006/11/02 04:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: EXPLORER.EXE  >
[2008/10/29 01:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2008/10/29 01:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\explorer.exe
[2008/10/29 01:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2008/10/29 22:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2009/04/11 01:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) MD5=D07D4C3038F3578FFCE1C0237F2A1253 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[2008/10/27 21:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2008/01/20 21:24:24 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
 
< MD5 for: IASTOR.SYS  >
[2007/04/26 05:41:38 | 000,304,920 | ---- | M] (Intel Corporation) MD5=997E8F5939F2D12CD9F2E6B395724C16 -- C:\Drivers\storage\R154092\iastor.sys
[2007/04/26 05:41:38 | 000,304,920 | ---- | M] (Intel Corporation) MD5=997E8F5939F2D12CD9F2E6B395724C16 -- C:\Windows\System32\drivers\iaStor.sys
[2007/04/26 05:41:38 | 000,304,920 | ---- | M] (Intel Corporation) MD5=997E8F5939F2D12CD9F2E6B395724C16 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_3a63e5a6\iaStor.sys
[2007/04/26 05:41:38 | 000,304,920 | ---- | M] (Intel Corporation) MD5=997E8F5939F2D12CD9F2E6B395724C16 -- C:\Windows\System32\DriverStore\FileRepository\iastor.inf_5f6e7be5\iaStor.sys
 
< MD5 for: IASTORV.SYS  >
[2008/01/20 21:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\drivers\iaStorV.sys
[2008/01/20 21:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008/01/20 21:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006/11/02 04:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2009/04/11 01:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008/01/20 21:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\System32\netlogon.dll
[2008/01/20 21:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2006/11/02 04:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008/01/20 21:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\drivers\nvstor.sys
[2008/01/20 21:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008/01/20 21:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008/01/20 21:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\System32\scecli.dll
[2008/01/20 21:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2009/04/11 01:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
< MD5 for: USER32.DLL  >
[2009/04/11 01:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
[2008/01/20 21:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\System32\user32.dll
[2008/01/20 21:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/01/20 21:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008/01/20 21:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009/04/11 01:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008/01/20 21:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\System32\winlogon.exe
[2008/01/20 21:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008/01/20 21:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008/01/20 21:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008/01/20 22:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008/01/20 22:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008/01/20 22:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006/11/02 05:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006/11/02 05:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\system32\*.dll /lockedfiles >
[2008/01/20 21:24:58 | 000,142,336 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\system32\fontext.dll
[2011/01/21 10:46:32 | 011,582,464 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\system32\shell32.dll
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
< End of report >

Des Weiteren hier das Ergebnis von meinem Malware Durchlauf:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.29.09

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Jan :: JAN-PC [Administrator]

Schutz: Aktiviert

29.01.2013 20:59:59
MBAM-log-2013-01-29 (22-56-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 456447
Laufzeit: 1 Stunde(n), 44 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\ToolBand.XTTBPos00 (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Jan\Downloads\installer_powerdvd_9_0_1501_0_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Keine Aktion durchgeführt.
C:\Users\Mel\7358644.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
C:\Users\Mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> Keine Aktion durchgeführt.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Keine Aktion durchgeführt.

(Ende)

So... Ich habe allerdings keine Ahnung, was diese Ergebnisse zu bedeuten haben, wie geht es jetzt weiter?
Danke schonmal für eure Hilfe

LG,
Mel

cosinus · 30.01.2013, 12:40

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

MDoubleu · 30.01.2013, 13:06

Hab doch das Log von Malwarebytes gepostet

Waren "nur" 10 Funde insgesamt

s.o.

cosinus · 30.01.2013, 14:08

Ja das hab ich gesehen
Die Frage war aber ob du noch weitere Logs hast, also zB weitere Logs von Malwarebytes oder aber zB noch Logs von anderen Virenscannern

MDoubleu · 30.01.2013, 14:46

Ich könnte noch einen Scan mit Avira machen... Würde das helfen?

Hatte gestern auch vorher schon den CCleaner laufen lassen, kA ob es was gebracht hat ^^

cosinus · 30.01.2013, 15:18

Zitat:

Ich könnte noch einen Scan mit Avira machen... Würde das helfen?

Wie ich schrieb, solltest du erstmal ohne Absprache/Aufforderungen keine neuen Scans machen

Startet Windows inzwischen wieder normal oder wird es noch gesperrt?

MDoubleu · 31.01.2013, 13:45

Hallo cosinus,

Also Windows startet zwar inzwischen wieder normal, aber ich habe jetzt auch noch avira durchlaufen lassen und da gab es ebenfalls 8 Funde...
Hier der Report:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 31. Januar 2013  11:18

Es wird nach 4892705 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 1)  [6.0.6001]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : JAN-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.719     36070 Bytes  25.10.2012 10:38:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  01.07.2011 15:23:38
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  01.07.2011 15:23:38
LUKE.DLL       : 10.3.0.5       45416 Bytes  01.07.2011 15:23:41
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  01.07.2011 15:23:43
AVREG.DLL      : 10.3.0.9       88833 Bytes  15.07.2011 13:23:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 21:27:51
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:48:04
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:23:19
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 10:22:44
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 14:44:42
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 15:35:37
VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 11:22:46
VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 11:22:46
VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 11:22:46
VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 11:22:46
VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 11:22:46
VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 11:22:46
VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 11:45:39
VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 11:40:47
VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 11:40:47
VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 11:40:47
VBASE018.VDF   : 7.11.57.11    153088 Bytes  13.01.2013 11:39:17
VBASE019.VDF   : 7.11.57.75    165888 Bytes  15.01.2013 11:39:17
VBASE020.VDF   : 7.11.57.163   190976 Bytes  17.01.2013 13:15:40
VBASE021.VDF   : 7.11.57.219   119808 Bytes  18.01.2013 13:15:40
VBASE022.VDF   : 7.11.58.7     167936 Bytes  21.01.2013 10:02:04
VBASE023.VDF   : 7.11.58.49    140288 Bytes  22.01.2013 10:02:04
VBASE024.VDF   : 7.11.58.119   137728 Bytes  24.01.2013 13:54:15
VBASE025.VDF   : 7.11.58.175   132608 Bytes  25.01.2013 13:54:15
VBASE026.VDF   : 7.11.58.213   116736 Bytes  27.01.2013 09:33:28
VBASE027.VDF   : 7.11.58.236  1738752 Bytes  28.01.2013 10:15:56
VBASE028.VDF   : 7.11.58.237     2048 Bytes  28.01.2013 10:15:56
VBASE029.VDF   : 7.11.58.238     2048 Bytes  28.01.2013 10:15:56
VBASE030.VDF   : 7.11.58.239     2048 Bytes  28.01.2013 10:15:56
VBASE031.VDF   : 7.11.59.56    155648 Bytes  31.01.2013 10:11:11
Engineversion  : 8.2.10.238
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 11:28:17
AESCRIPT.DLL   : 8.1.4.84      467322 Bytes  26.01.2013 13:54:18
AESCN.DLL      : 8.1.10.0      131445 Bytes  15.12.2012 12:07:18
AESBX.DLL      : 8.2.5.12      606578 Bytes  27.06.2012 17:42:37
AERDL.DLL      : 8.2.0.88      643444 Bytes  13.01.2013 11:40:50
AEPACK.DLL     : 8.3.1.2       819574 Bytes  20.12.2012 14:21:45
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  07.11.2012 10:06:05
AEHEUR.DLL     : 8.1.4.182    5706104 Bytes  26.01.2013 13:54:18
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 14:57:10
AEGEN.DLL      : 8.1.6.16      434549 Bytes  26.01.2013 13:54:16
AEEXP.DLL      : 8.3.0.14      188788 Bytes  26.01.2013 13:54:18
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 11:28:17
AECORE.DLL     : 8.1.30.0      201079 Bytes  15.12.2012 12:07:17
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.11.2012 10:06:02
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  01.07.2011 15:23:38
AVREP.DLL      : 10.0.0.10     174120 Bytes  25.06.2011 13:11:43
AVARKT.DLL     : 10.0.26.1     255336 Bytes  01.07.2011 15:23:36
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  01.07.2011 15:23:37
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:59:50
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  01.07.2011 15:23:33
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  01.07.2011 15:23:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 31. Januar 2013  11:18

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\Mel\Pictures\Fotos\HerbstWinter09
C:\Users\Mel\Pictures\Fotos\HerbstWinter09
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'BandooUI.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandoo.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'veohwebplayer.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'ConversionService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'UnlockerAssistant.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'Corel Photo Downloader.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'HelperService.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'DellDock.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Netzmanager_Service.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Veoh_Giraffic.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Veoh_GirafficWatchdog.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2077' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\Mel\AppData\Local\Temp\jar_cache63921.tmp
  [0] Archivtyp: ZIP
  --> a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.569
  --> Indigo.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.824
  --> SunJCE.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.587
C:\Users\Mel\AppData\Local\Temp\tmp0b3a3430\gd.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.57344
C:\Users\Mel\AppData\Local\Temp\tmp25ea90de\ewo.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6830
C:\Users\Mel\AppData\Local\Temp\tmp662437e7\ewo.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6830
C:\Users\Mel\AppData\Local\Temp\tmpaeffea85\jh.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.57344
C:\Users\Mel\AppData\Local\Temp\tmpd656b62d\gf.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
Beginne mit der Suche in 'D:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Mel\AppData\Local\Temp\tmpd656b62d\gf.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '542bc97c.qua' verschoben!
C:\Users\Mel\AppData\Local\Temp\tmpaeffea85\jh.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.57344
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbce6dd.qua' verschoben!
C:\Users\Mel\AppData\Local\Temp\tmp662437e7\ewo.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6830
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ea2bc04.qua' verschoben!
C:\Users\Mel\AppData\Local\Temp\tmp25ea90de\ewo.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.6830
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7895f3c6.qua' verschoben!
C:\Users\Mel\AppData\Local\Temp\tmp0b3a3430\gd.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.57344
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d50decd.qua' verschoben!
C:\Users\Mel\AppData\Local\Temp\jar_cache63921.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.587
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '420feca3.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 31. Januar 2013  13:40
Benötigte Zeit:  1:47:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  33479 Verzeichnisse wurden überprüft
 695615 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 695607 Dateien ohne Befall
   3852 Archive wurden durchsucht
      0 Warnungen
      7 Hinweise
 604468 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

Was bedeutet das denn jetzt? Wie bekomme ich die Viren endgültig weg? Oder hilft nur PC komplett formatieren und neu aufziehen? :/

cosinus · 31.01.2013, 13:52

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

MDoubleu · 31.01.2013, 15:35

So... Ich hoffe, ich habe jetzt alles richtig gemacht. Die Scans der beiden Programme gingen problemlos.
Ich habe beide logs auch auf dem Desktop abgespeichert, die sind aber nirgends auffindbar. Wenn ich danach suche, finde ich nur das gmerLog, dieses lässt sich aber widerum nicht öffnen. -_-

Edit: Habe auch das aswBR Log gefunden, lässt sich aber auch nicht öffnen. Ich mach die Scans dann halt nochmal und poste sie direkt hier rein...

So, einmal von aswMBR:

Code:

ATTFilter

 aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-31 15:38:05
-----------------------------
15:38:05.957    OS Version: Windows 6.0.6001 Service Pack 1
15:38:05.957    Number of processors: 4 586 0xF0B
15:38:05.960    ComputerName: JAN-PC  UserName: Jan
15:38:07.186    Initialize success
15:38:15.110    AVAST engine defs: 13013003
15:39:17.608    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
15:39:17.611    Disk 0 Vendor: SAMSUNG_HD502IJ 1AA01113 Size: 476940MB BusType: 3
15:39:17.692    Disk 0 MBR read successfully
15:39:17.694    Disk 0 MBR scan
15:39:17.771    Disk 0 Windows VISTA default MBR code
15:39:17.786    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       62 MB offset 63
15:39:17.842    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        10240 MB offset 129024
15:39:17.868    Disk 0 Partition 3 80 (A) 07    HPFS/NTFS NTFS       466636 MB offset 21100544
15:39:17.931    Disk 0 scanning sectors +976771072
15:39:18.098    Disk 0 scanning C:\Windows\system32\drivers
15:39:45.218    Service scanning
15:40:02.520    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
15:40:09.069    Modules scanning
15:40:28.272    Disk 0 trace - called modules:
15:40:28.298    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x850fa1f8]<<
15:40:28.302    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8535d780]
15:40:28.307    3 CLASSPNP.SYS[883a3745] -> nt!IofCallDriver -> [0x85136da8]
15:40:28.311    5 acpi.sys[805b86a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85174ba0]
15:40:28.315    \Driver\atapi[0x85142030] -> IRP_MJ_CREATE -> 0x850fa1f8
15:40:29.402    AVAST engine scan C:\Windows
15:41:02.997    AVAST engine scan C:\Windows\system32
15:47:20.914    AVAST engine scan C:\Windows\system32\drivers
15:48:14.297    AVAST engine scan C:\Users\Jan
16:16:00.101    AVAST engine scan C:\ProgramData
16:20:51.905    Scan finished successfully
16:28:42.957    Disk 0 MBR has been saved successfully to "C:\Users\Public\MBR.dat"
16:28:42.963    The log file has been saved successfully to "C:\Users\Public\aswMBR.txt"

Und dann hier noch von GMER:

Code:

ATTFilter

GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-01-31 16:39:18
Windows 6.0.6001 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HD502IJ rev.1AA01113 465,76GB
Running: gmer_2.0.18454.exe; Driver: C:\Users\Jan\AppData\Local\Temp\pwldypow.sys


---- System - GMER 2.0 ----

SSDT      89510616                                                                                                                                  ZwCreateSection
SSDT      8951061B                                                                                                                                  ZwSetContextThread
SSDT      895105B7                                                                                                                                  ZwTerminateProcess

INT 0x51  ?                                                                                                                                         850F6BF8
INT 0x51  ?                                                                                                                                         850F6BF8
INT 0x51  ?                                                                                                                                         850F6BF8
INT 0x51  ?                                                                                                                                         850F6BF8
INT 0x51  ?                                                                                                                                         864E7F00
INT 0x51  ?                                                                                                                                         864E7F00
INT 0x51  ?                                                                                                                                         850F6BF8
INT 0x61  ?                                                                                                                                         864E7F00
INT 0x72  ?                                                                                                                                         864E7F00
INT 0xA2  ?                                                                                                                                         864E7F00
INT 0xB2  ?                                                                                                                                         864E7F00

---- Kernel code sections - GMER 2.0 ----

.text     ntkrnlpa.exe!KeSetTimerEx + 448                                                                                                           820F6A6C 4 Bytes  [16, 06, 51, 89]
.text     ntkrnlpa.exe!KeSetTimerEx + 7A0                                                                                                           820F6DC4 4 Bytes  [1B, 06, 51, 89]
.text     ntkrnlpa.exe!KeSetTimerEx + 854                                                                                                           820F6E78 4 Bytes  [B7, 05, 51, 89]
?         System32\drivers\ykqdeic.sys                                                                                                              Das System kann den angegebenen Pfad nicht finden. !
?         System32\Drivers\spor.sys                                                                                                                 Das System kann den angegebenen Pfad nicht finden. !
PAGE      ataport.SYS!DllUnload                                                                                                                     826BAB2E 5 Bytes  JMP 850F61D8 
.text     USBPORT.SYS!DllUnload                                                                                                                     881ED46F 5 Bytes  JMP 864E74E0 
.text     assffhor.SYS                                                                                                                              827A2000 22 Bytes  [26, 22, 01, 82, 10, 21, 01, ...]
.text     assffhor.SYS                                                                                                                              827A2017 78 Bytes  [00, 32, 27, 7A, 80, 3D, 25, ...]
.text     assffhor.SYS                                                                                                                              827A2066 66 Bytes  [04, 82, E4, 4B, 09, 82, 50, ...]
.text     assffhor.SYS                                                                                                                              827A20A9 35 Bytes  [10, 09, 82, 60, 07, 09, 82, ...]
.text     assffhor.SYS                                                                                                                              827A20CE 10 Bytes  [00, 00, 00, 00, 00, 00, 6A, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; PUSH -0x33; DEC ECX}
.text     ...                                                                                                                                       
?         C:\Users\Jan\AppData\Local\Temp\aswMBR.sys                                                                                                Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 2.0 ----

.text     C:\Windows\Explorer.EXE[2092] SHELL32.dll!SHFileOperationW                                                                                7671CD3E 5 Bytes  JMP 03DF1102 C:\Program Files\Unlocker\UnlockerHook.dll
.text     C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3276] ntdll.dll!DbgUiRemoteBreakin                                     77D5D50C 1 Byte  [C3]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateFile + 6                                    77D27C7E 4 Bytes  [28, 00, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateFile + B                                    77D27C83 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateKey + 6                                     77D27CBE 4 Bytes  [68, 01, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateKey + B                                     77D27CC3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateMutant + 6                                  77D27CEE 4 Bytes  [28, 02, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateMutant + B                                  77D27CF3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateSection + 6                                 77D27D6E 4 Bytes  [68, 02, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtCreateSection + B                                 77D27D73 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtMapViewOfSection + 6                              77D283CE 4 Bytes  [A8, 04, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtMapViewOfSection + B                              77D283D3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenFile + 6                                      77D2845E 4 Bytes  [68, 00, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenFile + B                                      77D28463 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenKey + 6                                       77D2848E 4 Bytes  [A8, 01, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenKey + B                                       77D28493 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenMutant + 6                                    77D284AE 4 Bytes  CALL 76D28AB4 C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenMutant + B                                    77D284B3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcess + 6                                   77D284DE 1 Byte  [28]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcess + 6                                   77D284DE 4 Bytes  [28, 03, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcess + B                                   77D284E3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcessToken + 6                              77D284EE 1 Byte  [68]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcessToken + 6                              77D284EE 4 Bytes  [68, 03, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcessToken + B                              77D284F3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcessTokenEx + 6                            77D284FE 4 Bytes  [28, 04, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenProcessTokenEx + B                            77D28503 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenSection + 6                                   77D2850E 4 Bytes  [A8, 02, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenSection + B                                   77D28513 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThread + 6                                    77D2854E 4 Bytes  CALL 76D28B55 C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThread + B                                    77D28553 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThreadToken + 6                               77D2855E 1 Byte  [E8]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThreadToken + 6                               77D2855E 4 Bytes  CALL 76D28B66 C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThreadToken + B                               77D28563 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThreadTokenEx + 6                             77D2856E 4 Bytes  [68, 04, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtOpenThreadTokenEx + B                             77D28573 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtQueryAttributesFile + 6                           77D285FE 4 Bytes  [A8, 00, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtQueryAttributesFile + B                           77D28603 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtQueryFullAttributesFile + 6                       77D286AE 4 Bytes  CALL 76D28CB3 C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtQueryFullAttributesFile + B                       77D286B3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtSetInformationFile + 6                            77D28B8E 4 Bytes  [28, 01, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtSetInformationFile + B                            77D28B93 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtSetInformationThread + 6                          77D28BDE 1 Byte  [A8]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtSetInformationThread + 6                          77D28BDE 4 Bytes  [A8, 03, 06, 00]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtSetInformationThread + B                          77D28BE3 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtUnmapViewOfSection + 6                            77D28E7E 4 Bytes  CALL 76D29487 C:\Windows\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ntdll.dll!NtUnmapViewOfSection + B                            77D28E83 1 Byte  [E2]
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] kernel32.dll!CreateProcessW                                   773C1C01 5 Bytes  JMP 000100B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] kernel32.dll!CreateProcessA                                   773C1C36 5 Bytes  JMP 000100F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] kernel32.dll!OpenEventW                                       773DC815 5 Bytes  JMP 00010070 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] kernel32.dll!CreateEventW                                     77404262 5 Bytes  JMP 00010030 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetDeviceCaps                                       77795AF0 5 Bytes  JMP 001803B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!DeleteObject                                        77795BED 5 Bytes  JMP 001801B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SelectObject                                        77796100 5 Bytes  JMP 001805F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetTextColor                                        77796549 5 Bytes  JMP 00180A30 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetBkMode                                           777965F4 5 Bytes  JMP 001808F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!DeleteDC                                            77796A44 5 Bytes  JMP 00180170 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetStretchBltMode                                   77796D78 5 Bytes  JMP 001806B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetCurrentObject                                    77796F4B 5 Bytes  JMP 00180370 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!StretchDIBits                                       77797442 5 Bytes  JMP 00180770 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SaveDC                                              7779772D 5 Bytes  JMP 00180570 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!RestoreDC                                           777977C6 5 Bytes  JMP 00180530 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!ExtSelectClipRgn                                    777979DA 5 Bytes  JMP 001802F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SelectClipRgn                                       77797AE5 5 Bytes  JMP 001805B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!Rectangle                                           77797D49 5 Bytes  JMP 001809B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextAlign                                        77798178 5 Bytes  JMP 00180D70 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!ExtTextOutW                                         777982B1 5 Bytes  JMP 00180970 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetClipBox                                          77798629 5 Bytes  JMP 00180330 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetTextAlign                                        777986EA 5 Bytes  JMP 001809F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!MoveToEx                                            7779878E 5 Bytes  JMP 00180470 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextMetricsW                                     77799434 5 Bytes  JMP 00180E30 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!IntersectClipRect                                   77799698 5 Bytes  JMP 001803F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetICMMode                                          77799DAB 5 Bytes  JMP 00180DB0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextExtentPoint32W                               7779A926 5 Bytes  JMP 00180670 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!CreateDCA                                           7779AC01 5 Bytes  JMP 001800B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!CreateDCW                                           7779ADA5 5 Bytes  JMP 001800F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!CreateICW                                           7779ADFD 5 Bytes  JMP 00180130 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextFaceW                                        7779C1CF 5 Bytes  JMP 00180D30 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetFontData                                         7779C835 5 Bytes  JMP 00180C70 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetWorldTransform                                   7779CAB8 5 Bytes  JMP 001806F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextMetricsA                                     7779D65F 5 Bytes  JMP 00180DF0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!LineTo                                              7779EF82 5 Bytes  JMP 00180430 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!ExtTextOutA                                         7779FE29 5 Bytes  JMP 00180930 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextExtentPoint32A                               777A0B59 5 Bytes  JMP 00180630 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!ExtEscape                                           777A208D 5 Bytes  JMP 001802B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!Escape                                              777A2A7B 5 Bytes  JMP 00180270 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!ResetDCW                                            777A321A 5 Bytes  JMP 00180AB0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetPolyFillMode                                     777A49EE 5 Bytes  JMP 00180B30 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SetMiterLimit                                       777A6298 5 Bytes  JMP 00180B70 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!EndPage                                             777AF173 5 Bytes  JMP 00180230 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetTextFaceA                                        777AF321 5 Bytes  JMP 00180CF0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!GetGlyphOutlineW                                    777BA04F 5 Bytes  JMP 00180CB0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!CreateScalableFontResourceW                         777BC4BB 5 Bytes  JMP 00180BB0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!AddFontResourceW                                    777BC8C3 5 Bytes  JMP 00180BF0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!RemoveFontResourceW                                 777BCD59 5 Bytes  JMP 00180C30 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!AbortDoc                                            777C2A4E 5 Bytes  JMP 00180030 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!EndDoc                                              777C2E62 5 Bytes  JMP 001801F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!StartPage                                           777C2F4D 5 Bytes  JMP 00180730 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!StartDocW                                           777C3A31 5 Bytes  JMP 001807F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!BeginPath                                           777C41ED 5 Bytes  JMP 00180830 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!SelectClipPath                                      777C4244 5 Bytes  JMP 00180AF0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!CloseFigure                                         777C429F 5 Bytes  JMP 00180070 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!EndPath                                             777C42F6 5 Bytes  JMP 00180A70 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!StrokePath                                          777C4528 5 Bytes  JMP 001807B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!FillPath                                            777C45B4 5 Bytes  JMP 00180870 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!PolylineTo                                          777C4A1D 5 Bytes  JMP 001804F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!PolyBezierTo                                        777C4AAD 5 Bytes  JMP 001804B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] GDI32.dll!PolyDraw                                            777C4B5E 5 Bytes  JMP 001808B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!SetCursor                                          7762E563 5 Bytes  JMP 00190530 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!RegisterClipboardFormatW                           7762E869 5 Bytes  JMP 001902B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!MonitorFromWindow                                  776313F6 7 Bytes  JMP 00190630 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!ActivateKeyboardLayout                             77635A50 5 Bytes  JMP 001904F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClientRect                                      776389F9 7 Bytes  JMP 001905B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetParent                                          7763918E 7 Bytes  JMP 001906F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!RegisterClipboardFormatA                           7763974D 5 Bytes  JMP 001902F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardFormatNameA                            77639AB5 5 Bytes  JMP 00190270 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!PostMessageW                                       7763A064 5 Bytes  JMP 001905F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!MapWindowPoints                                    7763A14F 5 Bytes  JMP 00190570 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!ScreenToClient                                     77640C02 7 Bytes  JMP 00190670 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!IsWindowVisible                                    77640CDC 7 Bytes  JMP 001906B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetOpenClipboardWindow                             776426DC 5 Bytes  JMP 001903F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!SetClipboardViewer                                 7764BE37 5 Bytes  JMP 001904B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!IsClipboardFormatAvailable                         7764C8D4 5 Bytes  JMP 001900F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!CloseClipboard                                     7764C8E8 5 Bytes  JMP 001900B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!OpenClipboard                                      7764C90E 5 Bytes  JMP 00190070 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetTopWindow                                       7764D329 7 Bytes  JMP 00190730 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardSequenceNumber                         7764E355 5 Bytes  JMP 00190330 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!ChangeClipboardChain                               7764E52F 5 Bytes  JMP 00190430 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardOwner                                  77650A5E 5 Bytes  JMP 00190370 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!CountClipboardFormats                              77650E19 5 Bytes  JMP 001901F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!SetClipboardData                                   776662F8 5 Bytes  JMP 00190170 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!EnumClipboardFormats                               77666C7E 5 Bytes  JMP 001901B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!SetCursorPos                                       77666F1A 5 Bytes  JMP 00190770 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardData                                   776670B2 5 Bytes  JMP 00190030 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardFormatNameW                            7766A93C 5 Bytes  JMP 00190230 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!EmptyClipboard                                     7768390B 5 Bytes  JMP 00190130 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetClipboardViewer                                 7768396D 5 Bytes  JMP 00190470 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] USER32.dll!GetPriorityClipboardFormat                         77683A6F 5 Bytes  JMP 001903B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!FreeContextBuffer                                 763D2825 5 Bytes  JMP 001B00F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!DeleteSecurityContext                             763D2ABF 5 Bytes  JMP 001B0270 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!FreeCredentialsHandle                             763D31F5 5 Bytes  JMP 001B0130 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!EncryptMessage                                    763D4BDE 5 Bytes  JMP 001B01F0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!DecryptMessage                                    763D4CAB 5 Bytes  JMP 001B0230 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!InitializeSecurityContextA                        763D8233 5 Bytes  JMP 001B0170 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!AcquireCredentialsHandleA                         763D833B 5 Bytes  JMP 001B0030 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!QueryContextAttributesA                           763D8747 5 Bytes  JMP 001B0070 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!ApplyControlToken                                 763DDDB2 5 Bytes  JMP 001B01B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] Secur32.dll!QueryCredentialsAttributesA                       763DDFB5 5 Bytes  JMP 001B00B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ole32.dll!OleGetClipboard                                     77252AC1 5 Bytes  JMP 001C00B0 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ole32.dll!OleSetClipboard                                     7727EC7D 5 Bytes  JMP 001C0030 
.text     C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] ole32.dll!OleIsCurrentClipboard                               77288B31 5 Bytes  JMP 001C0070 

---- Kernel IAT/EAT - GMER 2.0 ----

IAT       \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                                                 [806996D2] \SystemRoot\System32\Drivers\spor.sys
IAT       \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                                                  [80699040] \SystemRoot\System32\Drivers\spor.sys
IAT       \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                                          [806997FC] \SystemRoot\System32\Drivers\spor.sys
IAT       \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort]                                                                 [806990BE] \SystemRoot\System32\Drivers\spor.sys
IAT       \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                                           [8069913C] \SystemRoot\System32\Drivers\spor.sys
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortNotification]                                                                CC000CC2
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortWritePortUchar]                                                              83EC8B55
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortWritePortUlong]                                                              575320EC
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortGetPhysicalAddress]                                                          458DFF33
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong]                                               [8D5750FC] \SystemRoot\system32\DRIVERS\kbdhid.sys (HID-Tastaturfiltertreiber/Microsoft Corporation)
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortGetScatterGatherList]                                                        5750F845
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortReadPortUchar]                                                               8957046A
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortStallExecution]                                                              75E8FC7D
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortGetParentBusType]                                                            BB0001E8
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortRequestCallback]                                                             000000EA
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortWritePortBufferUshort]                                                       850FC33B
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortGetUnCachedExtension]                                                        0000012B
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortCompleteRequest]                                                             0FFC7D39
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortMoveMemory]                                                                  00012284
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]                                                   458D5600
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]                                                      106A50F4
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]                                                        38335668
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortReadPortUshort]                                                              FC75FF36
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortReadPortBufferUshort]                                                        D1E85757
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortInitialize]                                                                  8B0001E7
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortGetDeviceBase]                                                               1BDEF7F0
IAT       \SystemRoot\System32\Drivers\assffhor.SYS[ataport.SYS!AtaPortDeviceStateChange]                                                           23D6F7F6

---- User IAT/EAT - GMER 2.0 ----

IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!GetKeyState]    001907D0
IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\USERENV.dll [KERNEL32.dll!MoveFileExW]  00010110
IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\ole32.dll [USER32.dll!GetKeyState]      001907D0
IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!MoveFileExW]  00010110
IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\SHELL32.dll [USER32.dll!GetFocus]       00190790
IAT       C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe[5832] @ C:\Windows\system32\SHELL32.dll [USER32.dll!GetKeyState]    001907D0

---- Registry - GMER 2.0 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                        771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                        285507792
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                        1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                          
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                       C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                       0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0x0C 0x9C 0xAF 0xE3 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                 
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                           0xE9 0x6E 0x70 0x15 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                     0xDB 0xEC 0xDC 0x8F ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                      
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                           C:\Program Files\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                           0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                        0x0C 0x9C 0xAF 0xE3 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                             
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                  0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                               0xE9 0x6E 0x70 0x15 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                       
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                         0xDB 0xEC 0xDC 0x8F ...

---- EOF - GMER 2.0 ----

Ich hoffe, das reicht jetzt zur Identifikation des Problems... :/

30.01.2013, 14:08	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Ebenfalls GVU Trojaner - OTL und Malwarebytes Log- wie geht`s weiter? Ja das hab ich gesehen Die Frage war aber ob du noch weitere Logs hast, also zB weitere Logs von Malwarebytes oder aber zB noch Logs von anderen Virenscannern __________________ Logfiles bitte immer in CODE-Tags posten

Ebenfalls GVU Trojaner - OTL und Malwarebytes Log- wie geht`s weiter?

Plagegeister aller Art und deren Bekämpfung: Ebenfalls GVU Trojaner - OTL und Malwarebytes Log- wie geht`s weiter?