pum.userwload, trojan.agent und trojan.ransom gefunden

EvaT1978 · 14.02.2013, 22:07

Hallo,

da ich selber dem Problem nicht Herr werde, hoffe ich hier auf Hilfe.
Der PC meiner Eltern macht seit gestern Probleme.
Wahrscheinlich wurde die Email mit der angeblichen "Vodafone-MMS" geöffnet, die ja kursiert.

Jedenfalls ist der Rechner ( Windows 7 ) sehr langsam geworden, der IE öffnet nur noch sehr beschwerlich, meistens zeigt er irgendwann an, dass die Seite nicht reagiert.

Windows Update ist nicht mehr möglich und auch nicht das Update von Windows Security Essentials.

Outlook dagegen funktioniert einwandfrei.

Malwarebytes findet 3 Infizierungen, das Protokoll steht unten.

Vielen Dank schonmal für die Hilfe!
Gruß Eva

Malwarebytes Anti-Malware :

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.14.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tilch :: TILCH-PC [Administrator]

Schutz: Deaktiviert

14.02.2013 21:13:22
MBAM-log-2013-02-14 (21-16-39).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 231662
Laufzeit: 3 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Daten: C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|25754 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msaivmzku.pif -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

aharonov · 15.02.2013, 00:35

Hallo Eva und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Ok, schauen wir mal, was da los ist.

Schritt 1

Lass bitte Malwarebytes Anti-Malware nochmals genau so laufen, wie du es bereits getan hast, aber markiere dieses Mal zum Schluss die Funde und drücke auf Entferne Auswahl. Poste dann bitte das entsprechende Logfile.

Schritt 2

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 3

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von MBAM
Log von Gmer
Logs von OTL

EvaT1978 · 15.02.2013, 15:24

Hallo Leo, hier die Logs:

Malware

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.14.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tilch :: TILCH-PC [Administrator]

Schutz: Aktiviert

15.02.2013 14:10:28
mbam-log-2013-02-15 (14-10-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 231330
Laufzeit: 3 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Daten: C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com -> Löschen bei Neustart.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com -> Löschen bei Neustart.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|25754 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msaivmzku.pif -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Gmer

Code:

ATTFilter

GMER 2.1.18952 - hxxp://www.gmer.net
Rootkit scan 2013-02-15 14:52:41
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP7T0L0-9 TOSHIBA_MK2035GSS rev.DK022A 186,31GB
Running: 3ounz0gd.exe; Driver: C:\Users\Tilch\AppData\Local\Temp\fwtoipog.sys


---- User code sections - GMER 2.1 ----

.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleFileNameExW + 17         0000000075a01401 2 bytes JMP 75d9b223 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!EnumProcessModules + 17           0000000075a01419 2 bytes JMP 75d9b34e C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 17         0000000075a01431 2 bytes JMP 75e18979 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 42         0000000075a0144a 2 bytes CALL 75d748cd C:\Windows\syswow64\kernel32.dll
.text  ...                                                                                                                                         * 9
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!EnumDeviceDrivers + 17            0000000075a014dd 2 bytes JMP 75e18272 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetDeviceDriverBaseNameA + 17     0000000075a014f5 2 bytes JMP 75e18448 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!QueryWorkingSetEx + 17            0000000075a0150d 2 bytes JMP 75e18168 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetDeviceDriverBaseNameW + 17     0000000075a01525 2 bytes JMP 75e18532 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleBaseNameW + 17           0000000075a0153d 2 bytes JMP 75d8fcc0 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!EnumProcesses + 17                0000000075a01555 2 bytes JMP 75d96907 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetProcessMemoryInfo + 17         0000000075a0156d 2 bytes JMP 75e18a31 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetPerformanceInfo + 17           0000000075a01585 2 bytes JMP 75e18592 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!QueryWorkingSet + 17              0000000075a0159d 2 bytes JMP 75e1812c C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleBaseNameA + 17           0000000075a015b5 2 bytes JMP 75d8fd59 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetModuleFileNameExA + 17         0000000075a015cd 2 bytes JMP 75d9b2e4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetProcessImageFileNameW + 20     0000000075a016b2 2 bytes JMP 75e188f4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe[1428] C:\Windows\syswow64\psapi.dll!GetProcessImageFileNameW + 31     0000000075a016bd 2 bytes JMP 75e180c1 C:\Windows\syswow64\kernel32.dll
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                          00000000770c1570 6 bytes {JMP QWORD [RIP+0x907eac0]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                             00000000770c1640 6 bytes {JMP QWORD [RIP+0x90be9f0]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                           00000000770c1860 6 bytes {JMP QWORD [RIP+0x909e7d0]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtSetValueKey                                                          00000000770c1910 6 bytes {JMP QWORD [RIP+0x903e720]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteValueKey                                                       00000000770c1ea0 6 bytes {JMP QWORD [RIP+0x905e190]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                     00000000770c2840 6 bytes {JMP QWORD [RIP+0x90dd7f0]}
.text  C:\Windows\system32\taskhost.exe[1656] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                              000007fefd629aa5 3 bytes [65, 65, 06]
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                               00000000770c1570 6 bytes {JMP QWORD [RIP+0x907eac0]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                  00000000770c1640 6 bytes {JMP QWORD [RIP+0x90be9f0]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                00000000770c1860 6 bytes {JMP QWORD [RIP+0x909e7d0]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtSetValueKey                                                               00000000770c1910 6 bytes {JMP QWORD [RIP+0x903e720]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteValueKey                                                            00000000770c1ea0 6 bytes {JMP QWORD [RIP+0x905e190]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                          00000000770c2840 6 bytes {JMP QWORD [RIP+0x90dd7f0]}
.text  C:\Windows\system32\Dwm.exe[1776] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                   000007fefd629aa5 3 bytes [65, 65, 06]
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                   00000000770c1570 6 bytes JMP 690020
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                      00000000770c1640 6 bytes {JMP QWORD [RIP+0x90be9f0]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                                                    00000000770c1860 6 bytes {JMP QWORD [RIP+0x909e7d0]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetValueKey                                                                   00000000770c1910 6 bytes JMP 700053
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteValueKey                                                                00000000770c1ea0 6 bytes JMP d002e
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                              00000000770c2840 6 bytes {JMP QWORD [RIP+0x90dd7f0]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                                                       000007fefd629aa5 3 bytes [65, 65, 08]
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\msi.dll!MsiSetInternalUI                                                                  000007fef65c5cd0 6 bytes {JMP QWORD [RIP+0x3da360]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\msi.dll!MsiInstallProductA                                                                000007fef6640f20 6 bytes {JMP QWORD [RIP+0x31f110]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\msi.dll!MsiInstallProductW                                                                000007fef664faa8 6 bytes {JMP QWORD [RIP+0x330588]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\WINSPOOL.DRV!AddPrintProvidorA                                                            000007fef9477b34 6 bytes {JMP QWORD [RIP+0x3584fc]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\WINSPOOL.DRV!AddPrintProvidorW                                                            000007fef94803c0 6 bytes {JMP QWORD [RIP+0x32fc70]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\WS2_32.dll!WSALookupServiceBeginW                                                         000007fefe013030 6 bytes {JMP QWORD [RIP+0x13dd000]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\WS2_32.dll!connect + 1                                                                    000007fefe0145c1 5 bytes {JMP QWORD [RIP+0x139ba70]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\WS2_32.dll!listen                                                                         000007fefe018290 6 bytes {JMP QWORD [RIP+0x13b7da0]}
.text  C:\Windows\Explorer.EXE[1948] C:\Windows\system32\RASAPI32.dll!RasDialW + 1                                                                 000007fef30296f5 5 bytes {JMP QWORD [RIP+0xc693c]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                    00000000770c1570 6 bytes {JMP QWORD [RIP+0x907eac0]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                       00000000770c1640 6 bytes {JMP QWORD [RIP+0x90be9f0]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                                     00000000770c1860 6 bytes {JMP QWORD [RIP+0x909e7d0]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtSetValueKey                                    00000000770c1910 6 bytes {JMP QWORD [RIP+0x903e720]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteValueKey                                 00000000770c1ea0 6 bytes {JMP QWORD [RIP+0x905e190]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                               00000000770c2840 6 bytes {JMP QWORD [RIP+0x90dd7f0]}
.text  C:\Program Files\Microsoft Security Client\msseces.exe[2416] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357                        000007fefd629aa5 3 bytes [65, 65, 06]
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                 000000007726fc00 3 bytes JMP 718a000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                             000000007726fc04 2 bytes JMP 718a000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                    000000007726fd44 3 bytes JMP 7184000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                000000007726fd48 2 bytes JMP 7184000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                  0000000077270094 3 bytes JMP 7187000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                              0000000077270098 2 bytes JMP 7187000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                 00000000772701a4 3 bytes JMP 7190000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                             00000000772701a8 2 bytes JMP 7190000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                              0000000077270a24 3 bytes JMP 718d000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                          0000000077270a28 2 bytes JMP 718d000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                            0000000077271900 3 bytes JMP 7181000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                        0000000077271904 2 bytes JMP 7181000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                     0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496                     0000000075b02c94 1 byte [71]
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!SendMessageW                                 00000000763a9679 6 bytes JMP 719f000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!PostMessageW                                 00000000763b12a5 6 bytes JMP 7199000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!PostMessageA                                 00000000763b3baa 6 bytes JMP 719c000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!SendMessageA                                 00000000763b612e 6 bytes JMP 71a2000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!SendInput                                    00000000763cff4a 3 bytes JMP 71a5000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!SendInput + 4                                00000000763cff4e 2 bytes JMP 71a5000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!mouse_event                                  000000007640027b 6 bytes JMP 71ab000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\USER32.dll!keybd_event                                  00000000764002bf 6 bytes JMP 71a8000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                             000000007598712c 6 bytes JMP 7193000a
.text  C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe[2460] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                             00000000759a3158 6 bytes JMP 7196000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                000000007726fc00 3 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                            000000007726fc04 2 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                   000000007726fd44 3 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                               000000007726fd48 2 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                 0000000077270094 3 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                             0000000077270098 2 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                00000000772701a4 3 bytes JMP 7190000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                            00000000772701a8 2 bytes JMP 7190000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                             0000000077270a24 3 bytes JMP 718d000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                         0000000077270a28 2 bytes JMP 718d000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                           0000000077271900 3 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                       0000000077271904 2 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                    0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496                    0000000075b02c94 1 byte [71]
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                            000000007598712c 6 bytes JMP 7193000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                            00000000759a3158 6 bytes JMP 7196000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!SendMessageW                                00000000763a9679 6 bytes JMP 719f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!PostMessageW                                00000000763b12a5 6 bytes JMP 7199000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!PostMessageA                                00000000763b3baa 6 bytes JMP 719c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!SendMessageA                                00000000763b612e 6 bytes JMP 71a2000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!SendInput                                   00000000763cff4a 3 bytes JMP 71a5000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!SendInput + 4                               00000000763cff4e 2 bytes JMP 71a5000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!mouse_event                                 000000007640027b 6 bytes JMP 71ab000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\USER32.dll!keybd_event                                 00000000764002bf 6 bytes JMP 71a8000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\WS2_32.dll!WSALookupServiceBeginW                      000000007635575a 6 bytes JMP 7169000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\WS2_32.dll!connect                                     0000000076356bdd 6 bytes JMP 716f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe[2956] C:\Windows\syswow64\WS2_32.dll!listen                                      000000007635b001 6 bytes JMP 716c000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                             000000007726fc00 3 bytes JMP 716d000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                         000000007726fc04 2 bytes JMP 716d000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                000000007726fd44 3 bytes JMP 7167000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                            000000007726fd48 2 bytes JMP 7167000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                              0000000077270094 3 bytes JMP 716a000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                          0000000077270098 2 bytes JMP 716a000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                             00000000772701a4 3 bytes JMP 7173000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                         00000000772701a8 2 bytes JMP 7173000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                          0000000077270a24 3 bytes JMP 7170000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                      0000000077270a28 2 bytes JMP 7170000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                        0000000077271900 3 bytes JMP 7164000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                    0000000077271904 2 bytes JMP 7164000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                 0000000075b02c91 4 bytes CALL 71a10000
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!SendMessageW                             00000000763a9679 6 bytes JMP 7182000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!PostMessageW                             00000000763b12a5 6 bytes JMP 717c000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!PostMessageA                             00000000763b3baa 6 bytes JMP 717f000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!SendMessageA                             00000000763b612e 6 bytes JMP 7185000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!SendInput                                00000000763cff4a 3 bytes JMP 7188000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!SendInput + 4                            00000000763cff4e 2 bytes JMP 7188000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!mouse_event                              000000007640027b 6 bytes JMP 718e000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\USER32.dll!keybd_event                              00000000764002bf 6 bytes JMP 718b000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                         000000007598712c 6 bytes JMP 7176000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                         00000000759a3158 6 bytes JMP 7179000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\WS2_32.dll!WSALookupServiceBeginW                   000000007635575a 6 bytes JMP 7191000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\WS2_32.dll!connect                                  0000000076356bdd 6 bytes JMP 7197000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\WS2_32.dll!listen                                   000000007635b001 6 bytes JMP 7194000a
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleFileNameExW + 17                 0000000075a01401 2 bytes JMP 75d9b223 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!EnumProcessModules + 17                   0000000075a01419 2 bytes JMP 75d9b34e C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 17                 0000000075a01431 2 bytes JMP 75e18979 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 42                 0000000075a0144a 2 bytes CALL 75d748cd C:\Windows\syswow64\kernel32.dll
.text  ...                                                                                                                                         * 9
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!EnumDeviceDrivers + 17                    0000000075a014dd 2 bytes JMP 75e18272 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetDeviceDriverBaseNameA + 17             0000000075a014f5 2 bytes JMP 75e18448 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!QueryWorkingSetEx + 17                    0000000075a0150d 2 bytes JMP 75e18168 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetDeviceDriverBaseNameW + 17             0000000075a01525 2 bytes JMP 75e18532 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleBaseNameW + 17                   0000000075a0153d 2 bytes JMP 75d8fcc0 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!EnumProcesses + 17                        0000000075a01555 2 bytes JMP 75d96907 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetProcessMemoryInfo + 17                 0000000075a0156d 2 bytes JMP 75e18a31 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetPerformanceInfo + 17                   0000000075a01585 2 bytes JMP 75e18592 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!QueryWorkingSet + 17                      0000000075a0159d 2 bytes JMP 75e1812c C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleBaseNameA + 17                   0000000075a015b5 2 bytes JMP 75d8fd59 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetModuleFileNameExA + 17                 0000000075a015cd 2 bytes JMP 75d9b2e4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetProcessImageFileNameW + 20             0000000075a016b2 2 bytes JMP 75e188f4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[1056] C:\Windows\syswow64\psapi.dll!GetProcessImageFileNameW + 31             0000000075a016bd 2 bytes JMP 75e180c1 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                     00000000770c1570 6 bytes {JMP QWORD [RIP+0x907eac0]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                        00000000770c1640 6 bytes {JMP QWORD [RIP+0x90be9f0]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                      00000000770c1860 6 bytes {JMP QWORD [RIP+0x909e7d0]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtSetValueKey                     00000000770c1910 6 bytes {JMP QWORD [RIP+0x903e720]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteValueKey                  00000000770c1ea0 6 bytes {JMP QWORD [RIP+0x905e190]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                00000000770c2840 6 bytes {JMP QWORD [RIP+0x90dd7f0]}
.text  C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe[2532] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW + 357         000007fefd629aa5 3 bytes [65, 65, 06]
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                000000007726fc00 3 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                            000000007726fc04 2 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                   000000007726fd44 3 bytes JMP 717e000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                               000000007726fd48 2 bytes JMP 717e000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                 0000000077270094 3 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                             0000000077270098 2 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                00000000772701a4 3 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                            00000000772701a8 2 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                             0000000077270a24 3 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                         0000000077270a28 2 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                           0000000077271900 3 bytes JMP 717b000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                       0000000077271904 2 bytes JMP 717b000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                    0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496                    0000000075b02c94 1 byte [71]
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!SendMessageW                                00000000763a9679 6 bytes JMP 7199000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!PostMessageW                                00000000763b12a5 6 bytes JMP 7193000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!PostMessageA                                00000000763b3baa 6 bytes JMP 7196000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!SendMessageA                                00000000763b612e 6 bytes JMP 719c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!SendInput                                   00000000763cff4a 3 bytes JMP 719f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!SendInput + 4                               00000000763cff4e 2 bytes JMP 719f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!mouse_event                                 000000007640027b 6 bytes JMP 71a5000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\USER32.dll!keybd_event                                 00000000764002bf 6 bytes JMP 71a2000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                            000000007598712c 6 bytes JMP 718d000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                            00000000759a3158 6 bytes JMP 7190000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\WS2_32.dll!WSALookupServiceBeginW                      000000007635575a 6 bytes JMP 7169000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\WS2_32.dll!connect                                     0000000076356bdd 6 bytes JMP 716f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe[3472] C:\Windows\syswow64\WS2_32.dll!listen                                      000000007635b001 6 bytes JMP 716c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                000000007726fc00 3 bytes JMP 717c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                            000000007726fc04 2 bytes JMP 717c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                   000000007726fd44 3 bytes JMP 7176000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                               000000007726fd48 2 bytes JMP 7176000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                 0000000077270094 3 bytes JMP 7179000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                             0000000077270098 2 bytes JMP 7179000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                00000000772701a4 3 bytes JMP 7182000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                            00000000772701a8 2 bytes JMP 7182000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                             0000000077270a24 3 bytes JMP 717f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                         0000000077270a28 2 bytes JMP 717f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                           0000000077271900 3 bytes JMP 7173000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                       0000000077271904 2 bytes JMP 7173000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                    0000000075b02c91 4 bytes CALL 71a10000
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!SendMessageW                                00000000763a9679 6 bytes JMP 7191000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!PostMessageW                                00000000763b12a5 6 bytes JMP 718b000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!PostMessageA                                00000000763b3baa 6 bytes JMP 718e000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!SendMessageA                                00000000763b612e 6 bytes JMP 7194000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!SendInput                                   00000000763cff4a 3 bytes JMP 7197000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!SendInput + 4                               00000000763cff4e 2 bytes JMP 7197000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!mouse_event                                 000000007640027b 6 bytes JMP 719d000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\USER32.dll!keybd_event                                 00000000764002bf 6 bytes JMP 719a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                            000000007598712c 6 bytes JMP 7185000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe[3596] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                            00000000759a3158 6 bytes JMP 7188000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                000000007726fc00 3 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                            000000007726fc04 2 bytes JMP 7184000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                   000000007726fd44 3 bytes JMP 717e000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                               000000007726fd48 2 bytes JMP 717e000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                 0000000077270094 3 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                             0000000077270098 2 bytes JMP 7181000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                00000000772701a4 3 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                            00000000772701a8 2 bytes JMP 718a000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                             0000000077270a24 3 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                         0000000077270a28 2 bytes JMP 7187000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                           0000000077271900 3 bytes JMP 717b000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                       0000000077271904 2 bytes JMP 717b000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                    0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496                    0000000075b02c94 1 byte [71]
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!SendMessageW                                00000000763a9679 6 bytes JMP 7199000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!PostMessageW                                00000000763b12a5 6 bytes JMP 7193000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!PostMessageA                                00000000763b3baa 6 bytes JMP 7196000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!SendMessageA                                00000000763b612e 6 bytes JMP 719c000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!SendInput                                   00000000763cff4a 3 bytes JMP 719f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!SendInput + 4                               00000000763cff4e 2 bytes JMP 719f000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!mouse_event                                 000000007640027b 6 bytes JMP 71a5000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\USER32.dll!keybd_event                                 00000000764002bf 6 bytes JMP 71a2000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                            000000007598712c 6 bytes JMP 718d000a
.text  C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe[3308] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                            00000000759a3158 6 bytes JMP 7190000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                  000000007726fc00 3 bytes JMP 718a000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4              000000007726fc04 2 bytes JMP 718a000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                     000000007726fd44 3 bytes JMP 7184000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                 000000007726fd48 2 bytes JMP 7184000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                   0000000077270094 3 bytes JMP 7187000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4               0000000077270098 2 bytes JMP 7187000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                  00000000772701a4 3 bytes JMP 7190000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4              00000000772701a8 2 bytes JMP 7190000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey               0000000077270a24 3 bytes JMP 718d000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4           0000000077270a28 2 bytes JMP 718d000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread             0000000077271900 3 bytes JMP 7181000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4         0000000077271904 2 bytes JMP 7181000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493      0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496      0000000075b02c94 1 byte [71]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17      0000000075a01401 2 bytes JMP 75d9b223 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17        0000000075a01419 2 bytes JMP 75d9b34e C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17      0000000075a01431 2 bytes JMP 75e18979 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42      0000000075a0144a 2 bytes CALL 75d748cd C:\Windows\syswow64\kernel32.dll
.text  ...                                                                                                                                         * 9
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17         0000000075a014dd 2 bytes JMP 75e18272 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17  0000000075a014f5 2 bytes JMP 75e18448 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17         0000000075a0150d 2 bytes JMP 75e18168 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17  0000000075a01525 2 bytes JMP 75e18532 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17        0000000075a0153d 2 bytes JMP 75d8fcc0 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17             0000000075a01555 2 bytes JMP 75d96907 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17      0000000075a0156d 2 bytes JMP 75e18a31 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17        0000000075a01585 2 bytes JMP 75e18592 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17           0000000075a0159d 2 bytes JMP 75e1812c C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17        0000000075a015b5 2 bytes JMP 75d8fd59 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17      0000000075a015cd 2 bytes JMP 75d9b2e4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20  0000000075a016b2 2 bytes JMP 75e188f4 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31  0000000075a016bd 2 bytes JMP 75e180c1 C:\Windows\syswow64\kernel32.dll
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!SendMessageW                  00000000763a9679 6 bytes JMP 719f000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!PostMessageW                  00000000763b12a5 6 bytes JMP 7199000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!PostMessageA                  00000000763b3baa 6 bytes JMP 719c000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!SendMessageA                  00000000763b612e 6 bytes JMP 71a2000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!SendInput                     00000000763cff4a 3 bytes JMP 71a5000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!SendInput + 4                 00000000763cff4e 2 bytes JMP 71a5000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!mouse_event                   000000007640027b 6 bytes JMP 71ab000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\USER32.dll!keybd_event                   00000000764002bf 6 bytes JMP 71a8000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW              000000007598712c 6 bytes JMP 7193000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA              00000000759a3158 6 bytes JMP 7196000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\WS2_32.dll!WSALookupServiceBeginW        000000007635575a 6 bytes JMP 7178000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\WS2_32.dll!connect                       0000000076356bdd 6 bytes JMP 717e000a
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4916] C:\Windows\syswow64\WS2_32.dll!listen                        000000007635b001 6 bytes JMP 717b000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess                                                       000000007726fc00 3 bytes JMP 718a000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 4                                                   000000007726fc04 2 bytes JMP 718a000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile                                                          000000007726fd44 3 bytes JMP 7184000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 4                                                      000000007726fd48 2 bytes JMP 7184000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile                                                        0000000077270094 3 bytes JMP 7187000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 4                                                    0000000077270098 2 bytes JMP 7187000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey                                                       00000000772701a4 3 bytes JMP 7190000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtSetValueKey + 4                                                   00000000772701a8 2 bytes JMP 7190000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey                                                    0000000077270a24 3 bytes JMP 718d000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtDeleteValueKey + 4                                                0000000077270a28 2 bytes JMP 718d000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread                                                  0000000077271900 3 bytes JMP 7181000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\SysWOW64\ntdll.dll!NtSetContextThread + 4                                              0000000077271904 2 bytes JMP 7181000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 493                                           0000000075b02c91 2 bytes CALL 71af0000
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\KERNELBASE.dll!LoadLibraryExW + 496                                           0000000075b02c94 1 byte [71]
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!SendMessageW                                                       00000000763a9679 6 bytes JMP 719f000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!PostMessageW                                                       00000000763b12a5 6 bytes JMP 7199000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!PostMessageA                                                       00000000763b3baa 6 bytes JMP 719c000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!SendMessageA                                                       00000000763b612e 6 bytes JMP 71a2000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!SendInput                                                          00000000763cff4a 3 bytes JMP 71a5000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!SendInput + 4                                                      00000000763cff4e 2 bytes JMP 71a5000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!mouse_event                                                        000000007640027b 6 bytes JMP 71ab000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\USER32.dll!keybd_event                                                        00000000764002bf 6 bytes JMP 71a8000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceW                                                   000000007598712c 6 bytes JMP 7193000a
.text  C:\Users\Tilch\Desktop\3ounz0gd.exe[1276] C:\Windows\syswow64\ADVAPI32.dll!CreateServiceA                                                   00000000759a3158 6 bytes JMP 7196000a

---- EOF - GMER 2.1 ----

OTL

Code:

ATTFilter

OTL logfile created on: 15.02.2013 15:03:39 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Tilch\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,94 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 62,45% Memory free
7,87 Gb Paging File | 6,20 Gb Available in Paging File | 78,74% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 102,72 Gb Total Space | 59,16 Gb Free Space | 57,60% Space Free | Partition Type: NTFS
Drive E: | 590,78 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 83,49 Gb Total Space | 63,76 Gb Free Space | 76,37% Space Free | Partition Type: NTFS
Drive G: | 983,70 Mb Total Space | 699,59 Mb Free Space | 71,12% Space Free | Partition Type: FAT
 
Computer Name: TILCH-PC | User Name: Tilch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Tilch\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Program Files (x86)\Spybot - Search & Destroy 2\snlFileFormats150.bpl ()
MOD - C:\Program Files (x86)\Spybot - Search & Destroy 2\snlThirdParty150.bpl ()
MOD - C:\Program Files (x86)\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl ()
MOD - C:\Program Files (x86)\Spybot - Search & Destroy 2\JSDialogPack150.bpl ()
MOD - C:\Program Files (x86)\Spybot - Search & Destroy 2\DEC150.bpl ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (UxTuneUp) -- C:\Windows\SysNative\uxtuneup.dll (TuneUp Software)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (a2AntiMalware) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (NisSrv) -- C:\Programme\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (TomTomHOMEService) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (TuneUp.UtilitiesSvc) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\Windows\SysWOW64\uxtuneup.dll (TuneUp Software)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (TPM) -- C:\Windows\SysNative\drivers\tpm.sys (Microsoft Corporation)
DRV:64bit: - (e1kexpress) -- C:\Windows\SysNative\drivers\e1k60x64.sys (Intel Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (OV550I) -- C:\Windows\SysNative\drivers\ov550ivx.sys (Omnivision Technologies, Inc.)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys ()
DRV - (a2acc) -- C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys (Emsisoft GmbH)
DRV - (a2injectiondriver) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys (Emsisoft GmbH)
DRV - (TuneUpUtilitiesDrv) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys (TuneUp Software)
DRV - (A2DDA) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys (Emsi Software GmbH)
DRV - (a2util) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys (Emsi Software GmbH)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/br/ie9_startpage
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7F 77 27 15 89 F9 CC 01  [binary data]
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{09038620-190C-402B-A92F-18864E6AB22F}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{5A817CF6-92D5-4DE5-AC38-82DF8A73EF28}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{6B1D1FB7-7233-4F7C-802C-21A1DDB12754}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{95AB0FF6-FF4F-43DE-B6E5-B41E71791A94}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1004\..\SearchScopes,DefaultScope = 
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
 
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions\home2@tomtom.com
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2 - BHO: (WEB.DE Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\ProgramData\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3:64bit: - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001..\Run: [Spybot-S&D Cleaning] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001..\Run: [TomTomHOME.exe] C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Tilch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Herrnhuter  Losungen.LNK = C:\Program Files (x86)\ComBib\Herrnhuter Losungen\Herrnhuter Losungen.exe (combib)
F3:64bit: - HKU\S-1-5-21-2048535000-2158683885-946955579-1001 WinNT: Load - (C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com) -  File not found
F3 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001 WinNT: Load - (C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25754 = C:\PROGRA~3\LOCALS~1\Temp\msaivmzku.pif
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004\Software\Policies\Microsoft\Internet Explorer\Recovery present
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4B1BC7DD-2053-4B2F-B56F-D18A4E83CDD0}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.22 15:14:09 | 000,000,201 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{6e46a8b3-7904-11e1-9db3-806e6f6e6963}\Shell\AutoRun\command - "" = E:\BoschMUM5DVD.exe -- [2010.07.23 09:20:00 | 005,205,434 | R--- | M] (Adobe Systems, Inc.)
O33 - MountPoints2\{6e46a8b3-7904-11e1-9db3-806e6f6e6963}\Shell\BoschMUM5DVD\command - "" = E:\BoschMUM5DVD.exe -- [2010.07.23 09:20:00 | 005,205,434 | R--- | M] (Adobe Systems, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.14 20:48:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.14 20:48:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
[2013.02.14 20:48:27 | 000,017,272 | ---- | C] (Safer Networking Limited) -- C:\Windows\SysNative\sdnclean64.exe
[2013.02.14 20:48:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013.02.14 13:26:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2013.02.14 13:24:13 | 000,253,256 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2013.02.14 13:24:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2013.02.14 13:22:55 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2013.02.14 13:22:44 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2013.02.14 13:22:30 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\TestApp
[2013.02.13 21:26:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Emsisoft Anti-Malware
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Documents\Anti-Malware
[2013.02.13 20:29:12 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:50:00 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Malwarebytes
[2013.02.13 15:49:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.13 15:49:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.02.13 15:49:50 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.02.13 15:49:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.02.13 15:49:39 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Programs
[2013.02.13 15:24:17 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Diagnostics
[2013.02.13 14:53:55 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Eqcini
[2013.02.13 00:13:25 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Local Settings
[2013.02.12 18:01:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.15 15:03:53 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.15 15:03:53 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.15 15:01:21 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.15 15:00:28 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.15 15:00:22 | 3169,341,440 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.15 14:39:10 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.15 14:37:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.02.15 14:14:31 | 000,000,000 | ---- | M] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:13:33 | 001,507,342 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.02.15 14:13:33 | 000,657,660 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.02.15 14:13:33 | 000,618,936 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.02.15 14:13:33 | 000,131,032 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.02.15 14:13:33 | 000,107,256 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.02.15 14:06:48 | 000,374,784 | ---- | M] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.15 14:05:02 | 000,050,477 | ---- | M] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.14 20:48:34 | 000,002,179 | ---- | M] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
[2013.02.14 13:25:45 | 002,071,329 | ---- | M] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 21:26:10 | 000,001,097 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.13 20:12:22 | 000,587,671 | ---- | M] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 19:54:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.12 21:12:42 | 000,002,033 | ---- | M] () -- C:\Users\Tilch\Desktop\Amazon.lnk
[2013.02.09 20:37:27 | 000,697,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2013.02.09 20:37:27 | 000,074,096 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2013.02.06 10:38:52 | 000,072,019 | ---- | M] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | M] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.15 14:14:31 | 000,000,000 | ---- | C] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:11:28 | 000,050,477 | ---- | C] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.15 14:11:26 | 000,374,784 | ---- | C] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.14 20:48:34 | 000,002,191 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
[2013.02.14 20:48:34 | 000,002,179 | ---- | C] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
[2013.02.14 13:24:21 | 002,071,329 | ---- | C] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 21:26:10 | 000,001,097 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.13 20:25:17 | 000,587,671 | ---- | C] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.05 10:46:36 | 000,072,019 | ---- | C] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | C] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
[2012.04.08 17:24:26 | 000,000,209 | ---- | C] () -- C:\Windows\ODBCINST.INI
[2012.03.28 23:42:53 | 000,239,333 | ---- | C] () -- C:\Windows\hpwins26.dat
[2012.03.28 23:28:28 | 000,011,776 | ---- | C] () -- C:\Users\Tilch\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.04 11:00:58 | 001,534,660 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 04:19:04 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2

< End of report >

Rest folgt, da sonst zu groß!

Gruß Eva

EvaT1978 · 15.02.2013, 15:29

So und hier

OTL Extra

Code:

ATTFilter

OTL Extras logfile created on: 15.02.2013 15:03:39 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Tilch\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,94 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 62,45% Memory free
7,87 Gb Paging File | 6,20 Gb Available in Paging File | 78,74% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 102,72 Gb Total Space | 59,16 Gb Free Space | 57,60% Space Free | Partition Type: NTFS
Drive E: | 590,78 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 83,49 Gb Total Space | 63,76 Gb Free Space | 76,37% Space Free | Partition Type: NTFS
Drive G: | 983,70 Mb Total Space | 699,59 Mb Free Space | 71,12% Space Free | Partition Type: FAT
 
Computer Name: TILCH-PC | User Name: Tilch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "C:\Program Files (x86)\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "C:\Program Files (x86)\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" = C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0E491278-94D2-46EE-B2AC-EBA35C9EBF5A}" = lport=445 | protocol=6 | dir=in | app=system | 
"{0FADD3F4-C410-4B7F-8423-2451094F757D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{0FEB297F-CFCD-491F-9C83-0DB6DF847706}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{1BDC6C73-C240-4E9A-BFC5-0DB9B80BB0CD}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{26AD5273-3B90-46B1-A822-57FB0A760C45}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{4CCB689E-3860-433D-967F-5F94E917E3BC}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\outlook.exe | 
"{54075E0E-FA32-4F46-9D1B-4F8E82B8B719}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{7402B8A2-92B1-407E-B179-346C64BA7B41}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{76DA31A5-2BEA-41D8-9CE2-8DFD8E16F442}" = lport=137 | protocol=17 | dir=in | app=system | 
"{7C9AB11E-A5E9-44F6-96AF-E13068860CE0}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{83F29C67-936F-43F5-A2B8-88CFB44B8D6A}" = lport=138 | protocol=17 | dir=in | app=system | 
"{8A0A899C-D9B7-467C-AEA4-AD6032ED695C}" = lport=139 | protocol=6 | dir=in | app=system | 
"{8AAB9F78-C5C7-43C4-8CF7-3A8740ED9E99}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{8BACB46F-7C46-41BE-9666-524F160430BE}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{9C9C611E-9926-49CF-A5AF-AE75B2AE41DC}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{A57D9A7A-A773-431E-9063-11235BB216A3}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{B1E366AD-29A9-4CE7-84BD-E2572E43499C}" = rport=445 | protocol=6 | dir=out | app=system | 
"{B8C4B9A7-6A7F-4600-A037-6607BA3D146F}" = rport=139 | protocol=6 | dir=out | app=system | 
"{BE73F181-C25A-4924-98EF-BD64B5CC54F1}" = rport=138 | protocol=17 | dir=out | app=system | 
"{BFABE16E-FC52-43F0-A869-6A163DD524F5}" = rport=137 | protocol=17 | dir=out | app=system | 
"{CBA6E9C5-6FB7-4936-82F6-04C64AD14F8E}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{CBF7D5B8-EFAC-4E26-AB52-71B53A06BE81}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{D04E823A-36E9-42E5-AC12-0A11CCF3BA2E}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{E92E5354-DA52-4B2F-B060-6AE390FCA675}" = lport=2869 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{05C8E022-19F9-488A-95D7-AC56D0000025}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpofxm08.exe | 
"{07C2953C-C64E-4B85-BCB8-B4FF9C36463C}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{10053381-E229-4BD8-B0D7-4EBFBFADF240}" = dir=in | app=c:\program files (x86)\hp\hp software update\hpwucli.exe | 
"{1E467C3F-CA8A-479E-BC6D-CBA69116091B}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqgpc01.exe | 
"{23B547A6-6001-4B5D-A25E-92B05E2D47C2}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{2C6E6BD1-876E-4225-AB2C-FC732A618FC6}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqusgh.exe | 
"{30CB7EED-C303-4333-89E0-0BE34A2BD6BA}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqgplgtupl.exe | 
"{38E34F25-0AD4-453C-8E1A-50DC88468CA4}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpiscnapp.exe | 
"{38EC9758-FD90-4E4E-B467-71A0DB5262FF}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{3BBCF4E1-B1D3-459C-A285-1278D42060A6}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{3BF469F7-463F-49A1-93DD-42247776CAA9}" = dir=in | app=c:\users\tilch\appdata\roaming\fydez\uxibge.exe | 
"{3D9B2708-480A-4D9F-AC18-8D07F128EEDD}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{42280D84-09F6-4A4F-9334-E813D1C801EE}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqste08.exe | 
"{4372AF6E-CC4D-428B-B7DE-19F56F2EA883}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{4493D440-1A33-40B3-A898-54A259B54510}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{44E1B674-5372-417E-97B6-4B389526AEB0}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{488A8873-515B-41C8-8CF7-F9DDC07D4EE2}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{4D6DBB1E-B564-4435-BF24-462AF58864B5}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpfccopy.exe | 
"{4F524C90-0AC2-4EB9-9D7D-53BF6D3BFCBA}" = protocol=6 | dir=out | app=system | 
"{54168CC3-2BDA-4AB7-BC5F-2DA3F809FBCD}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqtra08.exe | 
"{562A692B-EE4B-464D-A543-D3C119F9ABF3}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{59067F6B-1974-46E2-AD22-D4A2FDB548E5}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{6E01995A-E288-4D09-AF95-5B8FAB0F7CF2}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqkygrp.exe | 
"{6E320A54-2469-4DA8-BA59-09C32247BC24}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpoews01.exe | 
"{857C3019-70A3-4112-A76C-FDD50241E6EE}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{9650E7A9-E913-457D-85CE-8C15B9C5AAF4}" = dir=in | app=c:\users\tilch\appdata\roaming\geah\xoesefu.exe | 
"{96917778-D66C-482E-9E04-A09B5FD23913}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{9CC97144-825A-4B01-9EB3-0EA5A41571C7}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpofxs08.exe | 
"{9E9858A6-306D-43A1-A2E2-F8F30C2CF2E8}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hposid01.exe | 
"{B2278DC1-4DFE-439B-BAB5-C3DBB1514D95}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{C3D25290-26D4-4AC9-9CE5-1A79D2BD3EB3}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hposfx08.exe | 
"{C452E821-B91D-4337-9809-2921E313ECF8}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{D27C45B6-5B49-43EF-8AB3-3CC88BE5EB9C}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{D7FD9D8D-1F4E-4BAE-B4E2-E241746BD4EC}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpzwiz01.exe | 
"{D92BC88A-3B4C-4815-92CE-8E9DCC676D25}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqfxt08.exe | 
"{E0DD78FD-B9E7-4563-8415-B99EC07A9AC3}" = dir=in | app=c:\program files (x86)\hp\digital imaging\bin\hpqusgm.exe | 
"{EF14D091-367C-40C7-ADB3-7EEC3E9CC600}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{F61E70A6-CE91-4712-92B3-3D7F6C5EEABD}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{FDF39C1E-2A2F-4984-9F9B-5399EEA2A752}" = dir=in | app=c:\program files (x86)\hp\digital imaging\smart web printing\smartwebprintexe.exe | 
"TCP Query User{F208674F-CA6D-4E5D-80F7-78FA93E17306}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
"UDP Query User{972032C1-D10E-4C03-BF98-1E0717DC7380}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{55D55008-E5F6-47D6-B16F-B2A40D4D145F}" = 64 Bit HP CIO Components Installer
"{777afb2a-98e5-4f14-b455-378a925cae15}.sdb" = CVE-2012-4969
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{A4DDB2AB-ECCD-4C3A-8633-77D5A1A0E542}" = Network64
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.10.8
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{C78D3032-9DFD-41D0-9DE9-58EAE750CBA4}" = Microsoft Security Client
"{DC911ADF-7B60-40F2-A112-FB1EB6402D07}" = Microsoft Security Client DE-DE Language Pack
"{E5083D57-D93F-404C-A91F-1C50D67C2BEB}" = HP Officejet 4500 G510g-m
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"HP Document Manager" = HP Document Manager 2.0
"HP Imaging Device Functions" = HP Imaging Device Functions 13.0
"HP Smart Web Printing" = HP Smart Web Printing 4.5
"HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0
"HPExtendedCapabilities" = HP Customer Participation Program 13.0
"HPOCR" = OCR Software by I.R.I.S. 13.0
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"Shop for HP Supplies" = Shop for HP Supplies
"WinRAR archiver" = WinRAR 4.00 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0F367CA3-3B2F-43F9-A44A-25A8EE69E45D}" = Scan
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{21A2F5EE-1DC5-488A-BE7E-E526F8C61488}" = DeviceDiscovery
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{25569723-DC5A-4467-A639-79535BF01B71}" = Adobe Help Center 2.1
"{28379381-B56A-43e1-B505-3098D82B1C30}" = 4500G510gm_Software_Min
"{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{3892619F-4A89-4424-8E46-281C9D765951}" = Herrnhuter Losungen
"{43CDF946-F5D9-4292-B006-BA0D92013021}" = WebReg
"{440B915A-0C85-45DB-92AE-75AE14704A64}" = Fax
"{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter
"{4EF053C6-B60B-4EEF-8794-71516FA9B441}" = CyberView CS - Combo IR 1.2c (Build 20091203)
"{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2
"{68A10D12-0D0F-4212-BDE6-D87FAD32A8FA}" = SmartWebPrinting
"{6B2FFB21-AC88-45C3-9A7D-4BB3E744EC91}" = HPSSupply
"{6BBA26E9-AB03-4FE7-831A-3535584CA002}" = Toolbox
"{7059BDA7-E1DB-442C-B7A1-6144596720A4}" = HP Update
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002A-0000-1000-0000000FF1CE}_ENTERPRISE_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9017CEAF-BE5A-4F73-8A0E-C87E26971E55}" = TomTom HOME
"{92A51949-EE4C-466D-AAF0-99E74A49A63F}" = DocMgr
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}" = Adobe Photoshop Elements 5.0
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Deutsch
"{AE09704D-9051-4C25-B940-77F889F0C93F}" = OVTScanner_X64
"{AE8705FB-E13C-40A9-8A2D-68D6733FBFC2}" = Status
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{BC30E5E7-047D-4232-A7E8-F2CB7CC7B2E0}_is1" = Emsisoft Anti-Malware
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{BE0D4271-69C9-4f28-AD9B-BB33D126A30E}" = 4500G510gm
"{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{DC0A5F99-FD66-433F-9D3A-05DCBA64BE42}" = TrayApp
"{DF0B357C-5874-47D0-81E7-79AA890B0CE0}" = 4500_G510gm_Help
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"1&1 Mail & Media GmbH 1und1InternetExplorerAddon" = WEB.DE Internet Explorer Addon
"1&1 Mail & Media GmbH 1und1Softwareaktualisierung" = WEB.DE Softwareaktualisierung
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Photoshop Elements 5" = Adobe Photoshop Elements 5.0
"ENTERPRISE" = Microsoft Office Enterprise 2007
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"VLC media player" = VLC media player 2.0.0
"Yahoo! Companion" = Yahoo! Toolbar
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 24.01.2013 17:36:35 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 7a8    Startzeit: 01cdfa574aa17afc    Endzeit: 10    Anwendungspfad: 
C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID: 1e0dc865-666e-11e2-b8da-0026180a754c

 
Error - 05.02.2013 12:18:42 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: f2c    Startzeit: 01ce03905b5c8ec2    Endzeit: 31    Anwendungspfad: 
C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID: a29f25b2-6faf-11e2-b8e2-0026180a754c

 
Error - 09.02.2013 17:34:43 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 408    Startzeit: 01ce06bf1ac7d26b    Endzeit: 20    Anwendungspfad: 
C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID: 8264263f-7300-11e2-9f58-0026180a754c

 
Error - 13.02.2013 10:11:51 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 1224    Startzeit: 01ce09efeb9ab221    Endzeit: 13    Anwendungspfad:
 C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 13.02.2013 10:14:04 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 204    Startzeit: 01ce09f43f963dca    Endzeit: 13    Anwendungspfad: 
C:\Program Files\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 13.02.2013 10:15:24 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 848    Startzeit: 01ce09f4138dca49    Endzeit: 377    Anwendungspfad:
 C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 13.02.2013 10:34:21 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: cf0    Startzeit: 01ce09f70bcde69a    Endzeit: 20    Anwendungspfad: 
C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 13.02.2013 13:50:06 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: b98    Startzeit: 01ce0a1277b36b95    Endzeit: 12    Anwendungspfad: 
C:\Program Files\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 14.02.2013 15:47:04 | Computer Name = Tilch-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: pctsSvc.exe, Version: 9.1.0.2894,
 Zeitstempel: 0x509054e5  Name des fehlerhaften Moduls: rtl100.bpl, Version: 11.0.2902.10471,
 Zeitstempel: 0x475fc385  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0000a264  ID des fehlerhaften
 Prozesses: 0x8a4  Startzeit der fehlerhaften Anwendung: 0x01ce0aeb7d86dbed  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\PC Tools\PC Tools Security\pctsSvc.exe
Pfad
 des fehlerhaften Moduls: C:\Program Files (x86)\PC Tools\PC Tools Security\rtl100.bpl
Berichtskennung:
 4dd9f5af-76df-11e2-8f77-0026180a754c
 
Error - 14.02.2013 17:21:12 | Computer Name = Tilch-PC | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 9.0.8112.16457 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 5dc    Startzeit: 01ce0af8dd1098ba    Endzeit: 58    Anwendungspfad: 
C:\Program Files (x86)\Internet Explorer\iexplore.exe    Berichts-ID:   
 
[ Spybot - Search and Destroy Events ]
Error - 14.02.2013 16:13:00 | Computer Name = Tilch-PC | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
 
[ System Events ]
Error - 05.09.2012 02:14:48 | Computer Name = Tilch-PC | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

	Neue
 Signaturversion:      Vorherige Signaturversion: 1.135.345.0     Aktualisierungsquelle: %%859

	Aktualisierungsphase:
 %%852     Quellpfad: hxxp://www.microsoft.com     Signaturtyp: %%800     Aktualisierungstyp: %%803

	Benutzer:
 NT-AUTORITÄT\SYSTEM     Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8704.0     Fehlercode:
 0x8024402c     Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support". 
 
Error - 05.09.2012 05:36:55 | Computer Name = Tilch-PC | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

	Neue
 Signaturversion:      Vorherige Signaturversion: 1.135.345.0     Aktualisierungsquelle: %%859

	Aktualisierungsphase:
 %%852     Quellpfad: hxxp://www.microsoft.com     Signaturtyp: %%800     Aktualisierungstyp: %%803

	Benutzer:
 NT-AUTORITÄT\SYSTEM     Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8704.0     Fehlercode:
 0x8024402c     Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support". 
 
Error - 05.09.2012 15:25:25 | Computer Name = Tilch-PC | Source = Microsoft Antimalware | ID = 2001
Description = Beim Aktualisieren der Signaturen wurde von %%860 ein Fehler festgestellt.

	Neue
 Signaturversion:      Vorherige Signaturversion: 1.135.345.0     Aktualisierungsquelle: %%859

	Aktualisierungsphase:
 %%852     Quellpfad: hxxp://www.microsoft.com     Signaturtyp: %%800     Aktualisierungstyp: %%803

	Benutzer:
 NT-AUTORITÄT\SYSTEM     Aktuelle Modulversion:      Vorherige Modulversion: 1.1.8704.0     Fehlercode:
 0x8024402c     Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates.
 Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie
 unter "Hilfe und Support". 
 
Error - 13.09.2012 04:32:04 | Computer Name = Tilch-PC | Source = Service Control Manager | ID = 7043
Description = Der Dienst Gruppenrichtlinienclient konnte nach dem Empfang eines 
Preshutdown-Steuerelements nicht richtig heruntergefahren werden.
 
Error - 17.09.2012 20:00:25 | Computer Name = Tilch-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 17.09.2012 20:01:29 | Computer Name = Tilch-PC | Source = Service Control Manager | ID = 7038
Description = Der Dienst "WerSvc" konnte sich nicht als "NT AUTHORITY\SYSTEM" mit
 dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:   %%1722    Vergewissern
 Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
 Management Console (MMC).
 
Error - 18.09.2012 02:23:57 | Computer Name = Tilch-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?18.?09.?2012 um 02:01:49 unerwartet heruntergefahren.
 
 
< End of report >

Nach Scannen durch GMER liess der Rechner sich nicht herunterfahren, hat sich im "Herunterfahren"-Bildschirm weggehängt, musste den Rechner dann stromlos machen und neu starten.

So, jetzt hoffe ich, dass Du mir helfen kannst?!

Danke, Eva

aharonov · 15.02.2013, 15:38

Hallo Eva,

ok, dann machen wir so weiter:

Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

Schliesse alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte bitte die OTL.exe.

Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von AdwCleaner
Log von Combofix
Log von OTL

EvaT1978 · 15.02.2013, 21:02

Hallo Leo,
hier die logs.

ADWCleaner

Code:

ATTFilter

# AdwCleaner v2.112 - Datei am 15/02/2013 um 20:16:02 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : Tilch - TILCH-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Tilch\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [1358 octets] - [13/02/2013 20:25:31]
AdwCleaner[S2].txt - [750 octets] - [14/02/2013 21:24:22]
AdwCleaner[S3].txt - [682 octets] - [15/02/2013 20:16:02]

########## EOF - C:\AdwCleaner[S3].txt - [741 octets] ##########

Combofix

Code:

ATTFilter

ComboFix 13-02-15.01 - Tilch 15.02.2013  20:29:26.1.2 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.4030.2554 [GMT 1:00]
ausgeführt von:: c:\users\Tilch\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Yahoo!\Companion\Installs\cpn\YTABbar.dll
c:\program files (x86)\Yahoo!\Companion\Installs\cpn\YTBM.dll
c:\program files (x86)\Yahoo!\Companion\Installs\cpn\YTMSgr.dll
c:\windows\security\Database\tmp.edb
F:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-15 bis 2013-02-15  ))))))))))))))))))))))))))))))
.
.
2013-02-15 19:37 . 2013-02-15 19:37	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2013-02-15 19:37 . 2013-02-15 19:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-02-14 20:10 . 2013-01-08 05:32	9161176	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{C5044170-6969-4C02-8E92-72AB416FF246}\mpengine.dll
2013-02-14 19:48 . 2013-02-14 20:11	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2013-02-14 19:48 . 2009-01-25 11:14	17272	----a-w-	c:\windows\system32\sdnclean64.exe
2013-02-14 19:48 . 2013-02-14 19:48	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy 2
2013-02-14 12:26 . 2013-02-14 12:26	--------	d-----w-	c:\program files (x86)\PC Tools
2013-02-14 12:24 . 2012-11-01 14:35	253256	----a-w-	c:\windows\system32\drivers\PCTSD64.sys
2013-02-14 12:24 . 2013-02-14 20:25	--------	d-----w-	c:\program files (x86)\Common Files\PC Tools
2013-02-14 12:22 . 2013-02-14 19:47	--------	d-----w-	c:\programdata\PC Tools
2013-02-14 12:22 . 2013-02-14 12:22	--------	d-----w-	c:\users\Tilch\AppData\Roaming\TestApp
2013-02-13 20:25 . 2013-02-15 19:02	--------	d-----w-	c:\program files (x86)\Emsisoft Anti-Malware
2013-02-13 14:50 . 2013-02-13 14:50	--------	d-----w-	c:\users\Tilch\AppData\Roaming\Malwarebytes
2013-02-13 14:49 . 2013-02-13 14:49	--------	d-----w-	c:\programdata\Malwarebytes
2013-02-13 14:49 . 2013-02-13 14:49	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2013-02-13 14:49 . 2012-12-14 15:49	24176	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-02-13 14:49 . 2013-02-13 14:49	--------	d-----w-	c:\users\Tilch\AppData\Local\Programs
2013-02-13 14:24 . 2013-02-13 14:24	--------	d-----w-	c:\users\Tilch\AppData\Local\Diagnostics
2013-02-13 13:53 . 2013-02-13 13:53	--------	d-----w-	c:\users\Tilch\AppData\Roaming\Eqcini
2013-02-12 17:01 . 2013-02-12 17:01	--------	d-----w-	c:\programdata\Local Settings
2013-02-11 06:20 . 2013-01-08 05:32	9161176	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-09 19:37 . 2012-03-28 19:53	697712	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-02-09 19:37 . 2012-03-03 22:03	74096	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-01-30 10:53 . 2012-03-03 22:15	273840	------w-	c:\windows\system32\MpSigStub.exe
2013-01-10 00:14 . 2012-03-04 13:43	67599240	----a-w-	c:\windows\system32\MRT.exe
2012-12-16 17:11 . 2012-12-22 01:29	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-22 01:29	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-22 01:29	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-22 01:29	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2012-12-11 16:03 . 2012-12-11 16:03	98304	----a-w-	c:\windows\SysWow64\Herrnhuter Losung.scr
2012-12-07 13:20 . 2013-01-09 23:24	441856	----a-w-	c:\windows\system32\Wpc.dll
2012-12-07 13:15 . 2013-01-09 23:24	2746368	----a-w-	c:\windows\system32\gameux.dll
2012-12-07 12:26 . 2013-01-09 23:24	308736	----a-w-	c:\windows\SysWow64\Wpc.dll
2012-12-07 12:20 . 2013-01-09 23:24	2576384	----a-w-	c:\windows\SysWow64\gameux.dll
2012-12-07 11:20 . 2013-01-09 23:24	30720	----a-w-	c:\windows\system32\usk.rs
2012-12-07 11:20 . 2013-01-09 23:24	43520	----a-w-	c:\windows\system32\csrr.rs
2012-12-07 11:20 . 2013-01-09 23:24	23552	----a-w-	c:\windows\system32\oflc.rs
2012-12-07 11:20 . 2013-01-09 23:24	45568	----a-w-	c:\windows\system32\oflc-nz.rs
2012-12-07 11:20 . 2013-01-09 23:24	44544	----a-w-	c:\windows\system32\pegibbfc.rs
2012-12-07 11:20 . 2013-01-09 23:24	20480	----a-w-	c:\windows\system32\pegi-fi.rs
2012-12-07 11:20 . 2013-01-09 23:24	20480	----a-w-	c:\windows\system32\pegi-pt.rs
2012-12-07 11:19 . 2013-01-09 23:24	20480	----a-w-	c:\windows\system32\pegi.rs
2012-12-07 11:19 . 2013-01-09 23:24	46592	----a-w-	c:\windows\system32\fpb.rs
2012-12-07 11:19 . 2013-01-09 23:24	40960	----a-w-	c:\windows\system32\cob-au.rs
2012-12-07 11:19 . 2013-01-09 23:24	21504	----a-w-	c:\windows\system32\grb.rs
2012-12-07 11:19 . 2013-01-09 23:24	15360	----a-w-	c:\windows\system32\djctq.rs
2012-12-07 11:19 . 2013-01-09 23:24	55296	----a-w-	c:\windows\system32\cero.rs
2012-12-07 11:19 . 2013-01-09 23:24	51712	----a-w-	c:\windows\system32\esrb.rs
2012-12-07 10:46 . 2013-01-09 23:24	43520	----a-w-	c:\windows\SysWow64\csrr.rs
2012-12-07 10:46 . 2013-01-09 23:24	30720	----a-w-	c:\windows\SysWow64\usk.rs
2012-12-07 10:46 . 2013-01-09 23:24	45568	----a-w-	c:\windows\SysWow64\oflc-nz.rs
2012-12-07 10:46 . 2013-01-09 23:24	44544	----a-w-	c:\windows\SysWow64\pegibbfc.rs
2012-12-07 10:46 . 2013-01-09 23:24	20480	----a-w-	c:\windows\SysWow64\pegi-pt.rs
2012-12-07 10:46 . 2013-01-09 23:24	23552	----a-w-	c:\windows\SysWow64\oflc.rs
2012-12-07 10:46 . 2013-01-09 23:24	20480	----a-w-	c:\windows\SysWow64\pegi-fi.rs
2012-12-07 10:46 . 2013-01-09 23:24	46592	----a-w-	c:\windows\SysWow64\fpb.rs
2012-12-07 10:46 . 2013-01-09 23:24	20480	----a-w-	c:\windows\SysWow64\pegi.rs
2012-12-07 10:46 . 2013-01-09 23:24	21504	----a-w-	c:\windows\SysWow64\grb.rs
2012-12-07 10:46 . 2013-01-09 23:24	40960	----a-w-	c:\windows\SysWow64\cob-au.rs
2012-12-07 10:46 . 2013-01-09 23:24	15360	----a-w-	c:\windows\SysWow64\djctq.rs
2012-12-07 10:46 . 2013-01-09 23:24	55296	----a-w-	c:\windows\SysWow64\cero.rs
2012-12-07 10:46 . 2013-01-09 23:24	51712	----a-w-	c:\windows\SysWow64\esrb.rs
2012-11-30 05:45 . 2013-01-09 23:24	362496	----a-w-	c:\windows\system32\wow64win.dll
2012-11-30 05:45 . 2013-01-09 23:24	243200	----a-w-	c:\windows\system32\wow64.dll
2012-11-30 05:45 . 2013-01-09 23:24	13312	----a-w-	c:\windows\system32\wow64cpu.dll
2012-11-30 05:45 . 2013-01-09 23:24	215040	----a-w-	c:\windows\system32\winsrv.dll
2012-11-30 05:43 . 2013-01-09 23:24	16384	----a-w-	c:\windows\system32\ntvdm64.dll
2012-11-30 05:41 . 2013-01-09 23:24	424448	----a-w-	c:\windows\system32\KernelBase.dll
2012-11-30 05:41 . 2013-01-09 23:24	1161216	----a-w-	c:\windows\system32\kernel32.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4608	---ha-w-	c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2012-11-30 05:38 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2012-11-30 04:54 . 2013-01-09 23:24	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2012-11-30 04:53 . 2013-01-09 23:24	274944	----a-w-	c:\windows\SysWow64\KernelBase.dll
2012-11-30 04:45 . 2013-01-09 23:24	4608	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	5120	---ha-w-	c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2012-11-30 04:45 . 2013-01-09 23:24	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{17166733-40EA-4432-A85C-AE672FF0E236}]
2011-05-11 15:38	154216	----a-w-	c:\programdata\1und1InternetExplorerAddon\BHOXML.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2012-08-28 247768]
"Spybot-S&D Cleaning"="c:\program files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" [2012-11-13 3713032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="c:\program files (x86)\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
.
c:\users\Tilch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Herrnhuter  Losungen.LNK - c:\program files (x86)\ComBib\Herrnhuter Losungen\Herrnhuter Losungen.exe [2012-12-11 1220608]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean64.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"HP Software Update"=c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe
"Adobe Photo Downloader"="c:\program files (x86)\Adobe\Photoshop Elements 5.0\apdproxy.exe"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344]
R2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [2012-11-13 168384]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-08-30 128456]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
R3 OV550I;OVT Scanner;c:\windows\system32\Drivers\ov550ivx.sys [2008-02-21 196992]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 20992]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 A2DDA;A2 Direct Disk Access Support Driver;c:\program files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [2011-05-19 23208]
S1 a2injectiondriver;a2injectiondriver;c:\program files (x86)\Emsisoft Anti-Malware\a2dix64.sys [2012-04-30 44688]
S1 a2util;a-squared Malware-IDS utility driver;c:\program files (x86)\Emsisoft Anti-Malware\a2util64.sys [2010-05-05 14720]
S2 a2AntiMalware;Emsisoft Anti-Malware 7.0 - Service;c:\program files (x86)\Emsisoft Anti-Malware\a2service.exe [2013-01-30 3089320]
S2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [2012-11-13 1103392]
S2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2012-11-13 1369624]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2012-08-28 92632]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2012-05-29 2143072]
S3 a2acc;a2acc;c:\program files (x86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [2012-04-30 66320]
S3 e1kexpress;Intel(R) PRO/1000 PCI-Express-Netzwerkverbindungstreiber K;c:\windows\system32\DRIVERS\e1k60x64.sys [2009-06-10 220672]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [2012-02-09 11856]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-28 19:37]
.
2013-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-09-02 07:17]
.
2013-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-09-02 07:17]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 1289704]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://web.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Explorer_Run-25754 - c:\progra~3\LOCALS~1\Temp\msaivmzku.pif
Notify-SDWinLogon - SDWinLogon.dll
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-02-15  20:48:35
ComboFix-quarantined-files.txt  2013-02-15 19:48
.
Vor Suchlauf: 10 Verzeichnis(se), 63.350.640.640 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 63.262.023.680 Bytes frei
.
- - End Of File - - 292927DDBB39F644C604922753DDADE1

OTL

Code:

ATTFilter

OTL logfile created on: 15.02.2013 20:50:11 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Tilch\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,94 Gb Total Physical Memory | 2,53 Gb Available Physical Memory | 64,23% Memory free
7,87 Gb Paging File | 6,14 Gb Available in Paging File | 78,05% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 102,72 Gb Total Space | 59,00 Gb Free Space | 57,44% Space Free | Partition Type: NTFS
Drive E: | 590,78 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 83,49 Gb Total Space | 63,76 Gb Free Space | 76,37% Space Free | Partition Type: NTFS
Drive G: | 983,70 Mb Total Space | 978,88 Mb Free Space | 99,51% Space Free | Partition Type: FAT
 
Computer Name: TILCH-PC | User Name: Tilch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Tilch\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.)
PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (UxTuneUp) -- C:\Windows\SysNative\uxtuneup.dll (TuneUp Software)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (a2AntiMalware) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe (Emsisoft GmbH)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (NisSrv) -- C:\Programme\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (TomTomHOMEService) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (TuneUp.UtilitiesSvc) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\Windows\SysWOW64\uxtuneup.dll (TuneUp Software)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (TPM) -- C:\Windows\SysNative\drivers\tpm.sys (Microsoft Corporation)
DRV:64bit: - (e1kexpress) -- C:\Windows\SysNative\drivers\e1k60x64.sys (Intel Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (OV550I) -- C:\Windows\SysNative\drivers\ov550ivx.sys (Omnivision Technologies, Inc.)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys ()
DRV - (a2acc) -- C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys (Emsisoft GmbH)
DRV - (a2injectiondriver) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys (Emsisoft GmbH)
DRV - (TuneUpUtilitiesDrv) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys (TuneUp Software)
DRV - (A2DDA) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys (Emsi Software GmbH)
DRV - (a2util) -- C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys (Emsi Software GmbH)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7F 77 27 15 89 F9 CC 01  [binary data]
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{09038620-190C-402B-A92F-18864E6AB22F}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{5A817CF6-92D5-4DE5-AC38-82DF8A73EF28}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{6B1D1FB7-7233-4F7C-802C-21A1DDB12754}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{95AB0FF6-FF4F-43DE-B6E5-B41E71791A94}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
 
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions\home2@tomtom.com
 
O1 HOSTS File: ([2013.02.15 20:38:05 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2 - BHO: (WEB.DE Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\ProgramData\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SDTray] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [Spybot-S&D Cleaning] C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [TomTomHOME.exe] C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - Startup: C:\Users\Tilch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Herrnhuter  Losungen.LNK = C:\Program Files (x86)\ComBib\Herrnhuter Losungen\Herrnhuter Losungen.exe (combib)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25754 = C:\PROGRA~3\LOCALS~1\Temp\msaivmzku.pif
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4B1BC7DD-2053-4B2F-B56F-D18A4E83CDD0}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.22 15:14:09 | 000,000,201 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.15 20:27:36 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.02.15 20:27:36 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.02.15 20:27:36 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.02.15 20:21:02 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.15 20:20:41 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.02.15 20:19:50 | 005,033,715 | R--- | C] (Swearware) -- C:\Users\Tilch\Desktop\ComboFix.exe
[2013.02.14 20:48:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.14 20:48:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
[2013.02.14 20:48:27 | 000,017,272 | ---- | C] (Safer Networking Limited) -- C:\Windows\SysNative\sdnclean64.exe
[2013.02.14 20:48:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013.02.14 13:26:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2013.02.14 13:24:13 | 000,253,256 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2013.02.14 13:24:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2013.02.14 13:22:55 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2013.02.14 13:22:44 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2013.02.14 13:22:30 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\TestApp
[2013.02.13 21:26:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Emsisoft Anti-Malware
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Documents\Anti-Malware
[2013.02.13 20:29:12 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:50:00 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Malwarebytes
[2013.02.13 15:49:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.13 15:49:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.02.13 15:49:50 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.02.13 15:49:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.02.13 15:49:39 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Programs
[2013.02.13 15:24:17 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Diagnostics
[2013.02.13 14:53:55 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Eqcini
[2013.02.13 00:13:25 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Local Settings
[2013.02.12 18:01:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.15 20:39:31 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.15 20:38:05 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2013.02.15 20:37:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.02.15 20:26:22 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.15 20:26:22 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.15 20:18:54 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.15 20:17:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.15 20:17:39 | 3169,341,440 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.15 20:12:02 | 005,033,715 | R--- | M] (Swearware) -- C:\Users\Tilch\Desktop\ComboFix.exe
[2013.02.15 14:14:31 | 000,000,000 | ---- | M] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:13:33 | 001,507,342 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.02.15 14:13:33 | 000,657,660 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.02.15 14:13:33 | 000,618,936 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.02.15 14:13:33 | 000,131,032 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.02.15 14:13:33 | 000,107,256 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.02.15 14:06:48 | 000,374,784 | ---- | M] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.15 14:05:02 | 000,050,477 | ---- | M] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.14 20:48:34 | 000,002,179 | ---- | M] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
[2013.02.14 13:25:45 | 002,071,329 | ---- | M] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 21:26:10 | 000,001,097 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.13 20:12:22 | 000,587,671 | ---- | M] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 19:54:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.12 21:12:42 | 000,002,033 | ---- | M] () -- C:\Users\Tilch\Desktop\Amazon.lnk
[2013.02.06 10:38:52 | 000,072,019 | ---- | M] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | M] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.15 20:27:36 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.15 20:27:36 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.15 20:27:36 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.02.15 20:27:36 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.02.15 20:27:36 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.15 14:14:31 | 000,000,000 | ---- | C] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:11:28 | 000,050,477 | ---- | C] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.15 14:11:26 | 000,374,784 | ---- | C] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.14 20:48:34 | 000,002,191 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
[2013.02.14 20:48:34 | 000,002,179 | ---- | C] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
[2013.02.14 13:24:21 | 002,071,329 | ---- | C] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 21:26:10 | 000,001,097 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.13 20:25:17 | 000,587,671 | ---- | C] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.05 10:46:36 | 000,072,019 | ---- | C] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | C] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
[2012.04.08 17:24:26 | 000,000,209 | ---- | C] () -- C:\Windows\ODBCINST.INI
[2012.03.28 23:42:53 | 000,239,333 | ---- | C] () -- C:\Windows\hpwins26.dat
[2012.03.28 23:28:28 | 000,011,776 | ---- | C] () -- C:\Users\Tilch\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.04 11:00:58 | 001,534,660 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 04:19:04 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.10.06 12:51:48 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\1&1 Mail & Media GmbH
[2012.03.28 20:14:53 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\Canneverbe Limited
[2013.01.01 11:21:32 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\ComBib
[2013.02.13 14:53:55 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\Eqcini
[2012.04.09 13:28:19 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\IrfanView
[2012.04.08 16:21:10 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\PIE
[2012.03.03 22:59:04 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TeamViewer
[2013.02.14 13:22:30 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TestApp
[2012.06.02 21:04:21 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TomTom
[2012.03.28 23:19:03 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TuneUp Software
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2

< End of report >

Gruß Eva

aharonov · 15.02.2013, 21:17

Hallo Eva,

wie läuft der Rechner jetzt? Sind die Probleme, die du zu Beginn beschrieben hast, immer noch vorhanden oder ist es besser geworden?

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25754 = C:\PROGRA~3\LOCALS~1\Temp\msaivmzku.pif
[2013.02.13 14:53:55 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Eqcini
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2
F3:64bit: - HKU\S-1-5-21-2048535000-2158683885-946955579-1001 WinNT: Load - (C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com) -  File not found
F3 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001 WinNT: Load - (C:\Users\Tilch\LOCALS~1\Temp\mscotayd.com) -  File not found

:commands
[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Öffne das Programm Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Starte bitte die OTL.exe.

Setze den Haken bei Scan all users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Schritt 5

Downloade dir bitte SecurityCheck (Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von OTL
Log von SecurityCheck

EvaT1978 · 16.02.2013, 13:27

Hallo Leo,

der Rechner läuft mittlerweile wieder ohne Probleme, Windows und Antivirenprogramm haben sich upgedatet, IE läuft auch wieder.
ESET hat keine Bedrohungen gefunden, von daher hab ich das Protokoll nicht angehängt. Der Rest :

Malware

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.15.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tilch :: TILCH-PC [Administrator]

Schutz: Aktiviert

15.02.2013 22:08:54
mbam-log-2013-02-15 (22-08-54).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234772
Laufzeit: 4 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

OTL

Code:

ATTFilter

OTL logfile created on: 16.02.2013 13:03:41 - Run 5
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Tilch\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,94 Gb Total Physical Memory | 2,67 Gb Available Physical Memory | 67,97% Memory free
7,87 Gb Paging File | 6,48 Gb Available in Paging File | 82,28% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 102,72 Gb Total Space | 59,25 Gb Free Space | 57,68% Space Free | Partition Type: NTFS
Drive E: | 590,78 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 83,49 Gb Total Space | 63,76 Gb Free Space | 76,37% Space Free | Partition Type: NTFS
Drive G: | 983,70 Mb Total Space | 983,67 Mb Free Space | 100,00% Space Free | Partition Type: FAT
 
Computer Name: TILCH-PC | User Name: Tilch | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Tilch\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe (Google Inc.)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
PRC - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (UxTuneUp) -- C:\Windows\SysNative\uxtuneup.dll (TuneUp Software)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (NisSrv) -- C:\Programme\Microsoft Security Client\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (TomTomHOMEService) -- C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (TomTom)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (TuneUp.UtilitiesSvc) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\Windows\SysWOW64\uxtuneup.dll (TuneUp Software)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (TPM) -- C:\Windows\SysNative\drivers\tpm.sys (Microsoft Corporation)
DRV:64bit: - (e1kexpress) -- C:\Windows\SysNative\drivers\e1k60x64.sys (Intel Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (OV550I) -- C:\Windows\SysNative\drivers\ov550ivx.sys (Omnivision Technologies, Inc.)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys ()
DRV - (TuneUpUtilitiesDrv) -- C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys (TuneUp Software)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7F 77 27 15 89 F9 CC 01  [binary data]
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{09038620-190C-402B-A92F-18864E6AB22F}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{5A817CF6-92D5-4DE5-AC38-82DF8A73EF28}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{6B1D1FB7-7233-4F7C-802C-21A1DDB12754}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\SearchScopes\{95AB0FF6-FF4F-43DE-B6E5-B41E71791A94}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\S-1-5-21-2048535000-2158683885-946955579-1004\..\SearchScopes,DefaultScope = 
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2012.03.28 23:52:18 | 000,000,000 | ---D | M]
 
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions
[2012.06.02 21:04:22 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tilch\AppData\Roaming\mozilla\Extensions\home2@tomtom.com
 
O1 HOSTS File: ([2013.02.15 20:38:05 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2 - BHO: (WEB.DE Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\ProgramData\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3:64bit: - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001..\Run: [TomTomHOME.exe] C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Tilch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Herrnhuter  Losungen.LNK = C:\Program Files (x86)\ComBib\Herrnhuter Losungen\Herrnhuter Losungen.exe (combib)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2048535000-2158683885-946955579-1004\Software\Policies\Microsoft\Internet Explorer\Recovery present
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4B1BC7DD-2053-4B2F-B56F-D18A4E83CDD0}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.22 15:14:09 | 000,000,201 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.15 22:14:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2013.02.15 22:09:48 | 002,347,384 | ---- | C] (ESET) -- C:\Users\Tilch\Desktop\esetsmartinstaller_enu.exe
[2013.02.15 22:04:26 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.02.15 20:54:36 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.02.15 20:27:36 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.02.15 20:27:36 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.02.15 20:27:36 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.02.15 20:21:02 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.15 20:20:41 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.02.15 20:19:50 | 005,033,715 | R--- | C] (Swearware) -- C:\Users\Tilch\Desktop\ComboFix.exe
[2013.02.14 20:48:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.14 20:48:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2013.02.14 13:26:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2013.02.14 13:24:13 | 000,253,256 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2013.02.14 13:24:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2013.02.14 13:22:55 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP
[2013.02.14 13:22:44 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2013.02.14 13:22:30 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\TestApp
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Emsisoft Anti-Malware
[2013.02.13 21:25:10 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Documents\Anti-Malware
[2013.02.13 20:29:12 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:50:00 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Roaming\Malwarebytes
[2013.02.13 15:49:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.13 15:49:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.02.13 15:49:50 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.02.13 15:49:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.02.13 15:49:39 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Programs
[2013.02.13 15:24:17 | 000,000,000 | ---D | C] -- C:\Users\Tilch\AppData\Local\Diagnostics
[2013.02.13 00:13:25 | 000,000,000 | ---D | C] -- C:\Users\Tilch\Local Settings
[2013.02.12 18:01:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.16 12:39:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.16 12:37:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.02.16 08:39:00 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.16 03:26:19 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.16 03:26:19 | 000,015,104 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.16 03:18:30 | 000,413,680 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.02.16 03:18:22 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.16 03:17:30 | 3169,341,440 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.15 21:29:30 | 000,881,914 | ---- | M] () -- C:\Users\Tilch\Desktop\SecurityCheck.exe
[2013.02.15 21:29:24 | 002,347,384 | ---- | M] (ESET) -- C:\Users\Tilch\Desktop\esetsmartinstaller_enu.exe
[2013.02.15 20:38:05 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2013.02.15 20:12:02 | 005,033,715 | R--- | M] (Swearware) -- C:\Users\Tilch\Desktop\ComboFix.exe
[2013.02.15 14:14:31 | 000,000,000 | ---- | M] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:13:33 | 001,507,342 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.02.15 14:13:33 | 000,657,660 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.02.15 14:13:33 | 000,618,936 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.02.15 14:13:33 | 000,131,032 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.02.15 14:13:33 | 000,107,256 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.02.15 14:06:48 | 000,374,784 | ---- | M] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.15 14:05:02 | 000,050,477 | ---- | M] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.14 13:25:45 | 002,071,329 | ---- | M] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 20:12:22 | 000,587,671 | ---- | M] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 19:54:16 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Tilch\Desktop\OTL.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.12 21:12:42 | 000,002,033 | ---- | M] () -- C:\Users\Tilch\Desktop\Amazon.lnk
[2013.02.06 10:38:52 | 000,072,019 | ---- | M] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | M] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
 
========== Files Created - No Company Name ==========
 
[2013.02.15 22:09:52 | 000,881,914 | ---- | C] () -- C:\Users\Tilch\Desktop\SecurityCheck.exe
[2013.02.15 20:27:36 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.15 20:27:36 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.15 20:27:36 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.02.15 20:27:36 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.02.15 20:27:36 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.15 14:14:31 | 000,000,000 | ---- | C] () -- C:\Users\Tilch\defogger_reenable
[2013.02.15 14:11:28 | 000,050,477 | ---- | C] () -- C:\Users\Tilch\Desktop\Defogger.exe
[2013.02.15 14:11:26 | 000,374,784 | ---- | C] () -- C:\Users\Tilch\Desktop\3ounz0gd.exe
[2013.02.14 13:24:21 | 002,071,329 | ---- | C] () -- C:\Windows\SysNative\drivers\Cat.DB
[2013.02.13 20:25:17 | 000,587,671 | ---- | C] () -- C:\Users\Tilch\Desktop\adwcleaner0.exe
[2013.02.13 15:49:57 | 000,001,115 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.05 10:46:36 | 000,072,019 | ---- | C] () -- C:\Users\Tilch\Documents\reminescere2013.rtf
[2013.02.01 17:18:27 | 000,075,781 | ---- | C] () -- C:\Users\Tilch\Documents\palmsonntag-03-04-04.pdf
[2012.04.08 17:24:26 | 000,000,209 | ---- | C] () -- C:\Windows\ODBCINST.INI
[2012.03.28 23:42:53 | 000,239,333 | ---- | C] () -- C:\Windows\hpwins26.dat
[2012.03.28 23:28:28 | 000,011,776 | ---- | C] () -- C:\Users\Tilch\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.04 11:00:58 | 001,534,660 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 04:19:04 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.10.06 12:51:48 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\1&1 Mail & Media GmbH
[2012.03.28 20:14:53 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\Canneverbe Limited
[2013.01.01 11:21:32 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\ComBib
[2012.04.09 13:28:19 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\IrfanView
[2012.04.08 16:21:10 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\PIE
[2012.03.03 22:59:04 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TeamViewer
[2013.02.14 13:22:30 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TestApp
[2012.06.02 21:04:21 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TomTom
[2012.03.28 23:19:03 | 000,000,000 | ---D | M] -- C:\Users\Tilch\AppData\Roaming\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >

und SecurityCheck

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.57  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Microsoft Security Essentials   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 TuneUp Utilities 2012   
 TuneUp Utilities Language Pack (de-DE) 
 Adobe Reader 10.1.4 Adobe Reader out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Microsoft Security Essentials MSMpEng.exe 
 Microsoft Security Essentials msseces.exe 
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Alles sauber?
Ich danke Dir jedenfalls schon mal sehr für Deine Hilfe!
Eva

Den Fixlog hatte ich vergessen:

OTL

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\25754 deleted successfully.
C:\Users\Tilch\AppData\Roaming\Eqcini folder moved successfully.
ADS C:\ProgramData\TEMP:430C6D84 deleted successfully.
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
64bit-Registry value HKEY_USERS\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found.
Registry value HKEY_USERS\S-1-5-21-2048535000-2158683885-946955579-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Tilch
->Temp folder emptied: 15940705 bytes
->Temporary Internet Files folder emptied: 112061451 bytes
->Flash cache emptied: 26807 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12134 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 84962 bytes
RecycleBin emptied: 265751 bytes
 
Total Files Cleaned = 122,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02152013_220426

Files\Folders moved on Reboot...
C:\Users\Tilch\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Tilch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JZHU12VR\web_de[10].htm moved successfully.
C:\Users\Tilch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JZHU12VR\web_de[11].htm moved successfully.
C:\Users\Tilch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Tilch\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

aharonov · 16.02.2013, 13:49

Hallo Eva,

Zitat:

der Rechner läuft mittlerweile wieder ohne Probleme

Sehr gut.

Ich seh auch nichts mehr in den Logs. Bring noch den Adobe PDF Reader auf den neusten Stand und dann räumen wir noch alles auf.

Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall TuneUp Utilities 2012.

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über

Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)

zu deinstallieren.

Schritt 1

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

Deinstalliere bitte deine aktuelle Version von Adobe Reader über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)
Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Schritt 2

Starte defogger und drücke den Button Re-enable.

Schritt 3

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die

+ R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

ATTFilter

Combofix /Uninstall

und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.

Schritt 4

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die

+ R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

ATTFilter

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

und drücke OK.

Schritt 5

Downloade dir bitte delfix auf deinen Desktop.

Schliesse alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Klicke auf Start.
DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

EvaT1978 · 16.02.2013, 17:40

Vielen, vielen Dank,Leo! Alles perfekt! Das Thema kann geschlossen werden.
Gruß Eva

aharonov · 16.02.2013, 17:53

Danke für die Rückmeldung.

Freut mich, dass wir helfen konnten.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

pum.userwload, trojan.agent und trojan.ransom gefunden

Plagegeister aller Art und deren Bekämpfung: pum.userwload, trojan.agent und trojan.ransom gefunden