Avira findet erst JS.Expack.EM und dann Spy.Zbot

numbi · 28.02.2013, 14:06

Hallo liebe Menschen,

folgendes ist mir widerfahren:
Als ich neulich ausnahmsweise mal mit dem Internet Explorer (statt FF) unterwegs war, meldete Avira einen JS.Expack.EM. Dieser wurde in Quarantäne verschoben oder gelöscht und dann war erst mal wieder alles OK. Die nächsten Tage war der Rechner dann sehr langsam. Heute dann der Fund von Spy.Zbot. Zunächst habe ich einen Avira-Suchlauf gemacht und danach einen Schnellsuchlauf mit Malwarebytes Anti-Malware. Danach bin ich der Anleitung hier im Forum gefolgt. Folgende Logs sind dabei herausgekommen:

Avira 1:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 25. Februar 2013  22:13

Es wird nach 5079638 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : USER-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 23:54:21
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  11.05.2012 18:38:32
LUKE.DLL       : 12.3.0.15      68304 Bytes  11.05.2012 18:38:32
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 18:38:33
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 18:38:33
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:37:29
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 19:37:32
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 09:23:44
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 06:51:07
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 21:21:03
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 21:51:57
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 21:51:57
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 21:51:57
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 21:51:57
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 21:51:57
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 15:57:25
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 15:57:25
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 10:34:08
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 11:13:29
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 11:13:30
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 20:21:34
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 20:21:35
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 20:21:35
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 16:21:37
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 16:21:37
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 16:21:22
VBASE024.VDF   : 7.11.62.158     2048 Bytes  25.02.2013 16:21:22
VBASE025.VDF   : 7.11.62.159     2048 Bytes  25.02.2013 16:21:23
VBASE026.VDF   : 7.11.62.160     2048 Bytes  25.02.2013 16:21:23
VBASE027.VDF   : 7.11.62.161     2048 Bytes  25.02.2013 16:21:23
VBASE028.VDF   : 7.11.62.162     2048 Bytes  25.02.2013 16:21:23
VBASE029.VDF   : 7.11.62.163     2048 Bytes  25.02.2013 16:21:23
VBASE030.VDF   : 7.11.62.164     2048 Bytes  25.02.2013 16:21:23
VBASE031.VDF   : 7.11.62.170    29184 Bytes  25.02.2013 16:21:23
Engineversion  : 8.2.12.8  
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 21:10:17
AESCRIPT.DLL   : 8.1.4.94      467324 Bytes  23.02.2013 16:21:41
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 21:45:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 09:44:10
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 20:45:16
AEPACK.DLL     : 8.3.1.10      815480 Bytes  19.02.2013 20:21:36
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 19:55:33
AEHEUR.DLL     : 8.1.4.218    5792121 Bytes  23.02.2013 16:21:41
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 14:10:44
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 19:05:29
AEEXP.DLL      : 8.4.0.4       188789 Bytes  23.02.2013 16:21:41
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 21:10:16
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 20:21:36
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 19:55:23
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 18:38:32
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 23:54:20
AVREP.DLL      : 12.3.0.15     179208 Bytes  11.05.2012 18:38:33
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 23:54:20
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  11.05.2012 18:38:32
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  11.05.2012 18:38:33
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 14:58:15
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 18:38:32
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 14:57:55
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 23:54:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_512b4eb4\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 25. Februar 2013  22:13

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'Detokiyova.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Detokiyova.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Detokiyova.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '35E3.tmp' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '420A.tmp' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qiesbyi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'simfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_168.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_168.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pidgin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueCrypt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeePassX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui-1.0.3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ovpntray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ANT Agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capiws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dirmngr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SyncService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UIWPZMMN\contract-western_joy_must[1].htm'
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UIWPZMMN\contract-western_joy_must[1].htm
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JS.Expack.EM
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55607cd1.qua' verschoben!


Ende des Suchlaufs: Montag, 25. Februar 2013  22:16
Benötigte Zeit: 02:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     77 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     76 Dateien ohne Befall
      2 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

Avira 2

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 28. Februar 2013  11:40

Es wird nach 5100054 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : USER-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 23:54:21
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  11.05.2012 18:38:32
LUKE.DLL       : 12.3.0.15      68304 Bytes  11.05.2012 18:38:32
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 18:38:33
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 18:38:33
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:37:29
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 19:37:32
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 09:23:44
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 06:51:07
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 21:21:03
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 21:51:57
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 21:51:57
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 21:51:57
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 21:51:57
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 21:51:57
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 15:57:25
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 15:57:25
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 10:34:08
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 11:13:29
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 11:13:30
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 20:21:34
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 20:21:35
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 20:21:35
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 16:21:37
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 16:21:37
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 16:21:22
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 10:31:11
VBASE025.VDF   : 7.11.62.238     2048 Bytes  27.02.2013 10:31:11
VBASE026.VDF   : 7.11.62.239     2048 Bytes  27.02.2013 10:31:11
VBASE027.VDF   : 7.11.62.240     2048 Bytes  27.02.2013 10:31:11
VBASE028.VDF   : 7.11.62.241     2048 Bytes  27.02.2013 10:31:11
VBASE029.VDF   : 7.11.62.242     2048 Bytes  27.02.2013 10:31:11
VBASE030.VDF   : 7.11.62.243     2048 Bytes  27.02.2013 10:31:11
VBASE031.VDF   : 7.11.63.26    109056 Bytes  28.02.2013 10:31:12
Engineversion  : 8.2.12.8  
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 21:10:17
AESCRIPT.DLL   : 8.1.4.94      467324 Bytes  23.02.2013 16:21:41
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 21:45:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 09:44:10
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 20:45:16
AEPACK.DLL     : 8.3.1.10      815480 Bytes  19.02.2013 20:21:36
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 19:55:33
AEHEUR.DLL     : 8.1.4.218    5792121 Bytes  23.02.2013 16:21:41
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 14:10:44
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 19:05:29
AEEXP.DLL      : 8.4.0.4       188789 Bytes  23.02.2013 16:21:41
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 21:10:16
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 20:21:36
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 19:55:23
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 18:38:32
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 23:54:20
AVREP.DLL      : 12.3.0.15     179208 Bytes  11.05.2012 18:38:33
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 23:54:20
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  11.05.2012 18:38:32
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  11.05.2012 18:38:33
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 14:58:15
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 18:38:32
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 14:57:55
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 23:54:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_512f30c0\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 28. Februar 2013  11:40
C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.jhue.1
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Der Systemwiederstellungspunkt wurde erfolgreich angelegt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3446655697-2731224057-2204278893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F947EC9E-6081-07E8-1D08-C75350881F7E}> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui-1.0.3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qiesbyi.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe>
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.jhue.1
  [HINWEIS]   Prozess 'qiesbyi.exe' wurde beendet
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57c1948a.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3446655697-2731224057-2204278893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F947EC9E-6081-07E8-1D08-C75350881F7E}> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3446655697-2731224057-2204278893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F947EC9E-6081-07E8-1D08-C75350881F7E}> wurde erfolgreich repariert.
Durchsuche Prozess 'ovpntray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capiws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ANT Agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dirmngr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SyncService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.jhue.1
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe'
Der zu durchsuchende Pfad C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.


Ende des Suchlaufs: Donnerstag, 28. Februar 2013  11:44
Benötigte Zeit: 03:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   4938 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
   4935 Dateien ohne Befall
     44 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise

Avira 3:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 28. Februar 2013  11:42

Es wird nach 5100054 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : USER-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 23:54:21
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  11.05.2012 18:38:32
LUKE.DLL       : 12.3.0.15      68304 Bytes  11.05.2012 18:38:32
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 18:38:33
AVREG.DLL      : 12.3.0.17     232200 Bytes  11.05.2012 18:38:33
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:37:29
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 19:37:32
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 09:23:44
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 06:51:07
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 21:21:03
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 21:51:57
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 21:51:57
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 21:51:57
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 21:51:57
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 21:51:57
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 15:57:25
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 15:57:25
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 10:34:08
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 11:13:29
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 11:13:30
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 20:21:34
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 20:21:35
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 20:21:35
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 16:21:37
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 16:21:37
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 16:21:22
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 10:31:11
VBASE025.VDF   : 7.11.62.238     2048 Bytes  27.02.2013 10:31:11
VBASE026.VDF   : 7.11.62.239     2048 Bytes  27.02.2013 10:31:11
VBASE027.VDF   : 7.11.62.240     2048 Bytes  27.02.2013 10:31:11
VBASE028.VDF   : 7.11.62.241     2048 Bytes  27.02.2013 10:31:11
VBASE029.VDF   : 7.11.62.242     2048 Bytes  27.02.2013 10:31:11
VBASE030.VDF   : 7.11.62.243     2048 Bytes  27.02.2013 10:31:11
VBASE031.VDF   : 7.11.63.26    109056 Bytes  28.02.2013 10:31:12
Engineversion  : 8.2.12.8  
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 21:10:17
AESCRIPT.DLL   : 8.1.4.94      467324 Bytes  23.02.2013 16:21:41
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 21:45:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 09:44:10
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 20:45:16
AEPACK.DLL     : 8.3.1.10      815480 Bytes  19.02.2013 20:21:36
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 19:55:33
AEHEUR.DLL     : 8.1.4.218    5792121 Bytes  23.02.2013 16:21:41
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 14:10:44
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 19:05:29
AEEXP.DLL      : 8.4.0.4       188789 Bytes  23.02.2013 16:21:41
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 21:10:16
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 20:21:36
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 19:55:23
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 18:38:32
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 23:54:20
AVREP.DLL      : 12.3.0.15     179208 Bytes  11.05.2012 18:38:33
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 23:54:20
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  11.05.2012 18:38:32
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  11.05.2012 18:38:33
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 14:58:15
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 18:38:32
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 14:57:55
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 23:54:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_512f30c0\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 28. Februar 2013  11:42
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Der Systemwiederstellungspunkt wurde erfolgreich angelegt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'polipo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'openvpn-gui-1.0.3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qiesbyi.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\user\AppData\Roaming\Orleniu\qiesbyi.exe>
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.jhue.1
  [WARNUNG]   Der Prozess <qiesbyi.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [5]: Zugriff verweigert
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3446655697-2731224057-2204278893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F947EC9E-6081-07E8-1D08-C75350881F7E}> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3446655697-2731224057-2204278893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F947EC9E-6081-07E8-1D08-C75350881F7E}> wurde erfolgreich repariert.
Durchsuche Prozess 'ovpntray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capiws.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ANT Agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netsession_win.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dirmngr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SyncService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht


Ende des Suchlaufs: Donnerstag, 28. Februar 2013  11:53
Benötigte Zeit: 02:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   4936 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
   4934 Dateien ohne Befall
     44 Archive wurden durchsucht
      2 Warnungen
      1 Hinweise

Anti-Malware:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
user :: USER-PC [Administrator]

28.02.2013 11:53:31
mbam-log-2013-02-28 (11-53-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 273358
Laufzeit: 6 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\user\Desktop\fvsetup_2_5.exe (PUP.SpyBoss) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

defogger:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:24 on 28/02/2013 (user)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

OTL.Txt (eine Extra.txt wurde nicht ausgegeben)

Code:

ATTFilter

OTL logfile created on: 28.02.2013 12:35:35 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\user\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,73 Gb Available Physical Memory | 68,19% Memory free
7,99 Gb Paging File | 6,59 Gb Available in Paging File | 82,50% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 38,96 Gb Total Space | 0,93 Gb Free Space | 2,37% Space Free | Partition Type: NTFS
Drive D: | 193,82 Gb Total Space | 12,28 Gb Free Space | 6,33% Space Free | Partition Type: NTFS
Drive K: | 931,51 Gb Total Space | 0,33 Gb Free Space | 0,04% Space Free | Partition Type: NTFS
 
Computer Name: USER-PC | User Name: user | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.28 12:32:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
PRC - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2012.10.09 09:53:36 | 004,441,920 | ---- | M] (Akamai Technologies, Inc.) -- C:\Users\user\AppData\Local\Akamai\netsession_win.exe
PRC - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.08.16 11:17:14 | 000,182,784 | ---- | M] () -- D:\Program Files\Allway Sync\Bin\SyncService.exe
PRC - [2012.08.08 15:58:09 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.11 19:38:32 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.11 19:38:32 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2011.09.29 15:19:26 | 000,020,880 | ---- | M] () -- D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe
PRC - [2011.08.25 19:35:02 | 000,024,064 | ---- | M] () -- C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\core\capiws.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
PRC - [2010.07.28 14:13:48 | 000,242,176 | ---- | M] () -- D:\Program Files\GNU\GnuPG\dirmngr.exe
PRC - [2010.06.17 20:56:44 | 000,370,176 | ---- | M] (shbox.de) -- C:\Program Files (x86)\FreePDF_XP\fpassist.exe
PRC - [2010.03.23 12:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Program Files (x86)\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- D:\Program Files\CDBurnerXP\NMSAccessU.exe
PRC - [2010.01.19 03:31:26 | 000,072,304 | R--- | M] () -- C:\Windows\SysWOW64\XSrvSetup.exe
PRC - [2009.11.20 12:17:54 | 000,106,496 | ---- | M] (NEC Electronics Corporation) -- C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2009.09.06 05:06:20 | 000,169,312 | ---- | M] (Adobe Systems Incorporated) -- D:\Program Files\Adobe Photoshop\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe
PRC - [2009.08.24 13:38:06 | 000,068,136 | ---- | M] () -- C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.02.15 03:09:04 | 013,199,360 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\39f4c7717661667c68f9af8c4f6402b9\System.Windows.Forms.ni.dll
MOD - [2013.01.10 20:44:01 | 001,218,560 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\ac9e3eca6c148504588e7c6d09fe83e3\System.Management.ni.dll
MOD - [2013.01.10 20:42:52 | 000,762,880 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runtime.Remo#\ba58d64562391191a22ad0133512ed6f\System.Runtime.Remoting.ni.dll
MOD - [2013.01.10 20:42:45 | 001,801,728 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xaml\866894ebe5258bf9f45d6b063229e990\System.Xaml.ni.dll
MOD - [2013.01.10 02:18:14 | 018,002,944 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\14f511c47523f19ca591eb207e9e2084\PresentationFramework.ni.dll
MOD - [2013.01.10 02:18:03 | 011,451,904 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationCore\e10fd15441d278c04a03302880a3e231\PresentationCore.ni.dll
MOD - [2013.01.10 02:17:57 | 007,069,696 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\27dcf04ed7a3506045597c02a5a1fc31\System.Core.ni.dll
MOD - [2013.01.10 02:17:55 | 003,858,944 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\WindowsBase\7a9ff5ce3a909d075179a2ac70d8f388\WindowsBase.ni.dll
MOD - [2013.01.10 02:17:54 | 005,617,664 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\43cd41484df96d15df949eb17dd88152\System.Xml.ni.dll
MOD - [2013.01.10 02:17:53 | 000,595,968 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\dfeff31ab1e7cd3480c8942290c92f5d\PresentationFramework.Aero.ni.dll
MOD - [2013.01.10 02:17:52 | 001,667,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\b573c6a62bb88df0ee2af59b6a8ca910\System.Drawing.ni.dll
MOD - [2013.01.10 02:17:51 | 009,094,656 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System\15872842e3e63ddf0f720f406706198e\System.ni.dll
MOD - [2013.01.10 02:17:46 | 014,412,800 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\3f95a6d480ed1ebe45cf27b770ba94ed\mscorlib.ni.dll
MOD - [2011.10.08 14:29:34 | 000,115,137 | ---- | M] () -- C:\Users\user\AppData\Local\Temp\ae201572-4813-4010-9ed2-ee29ddec066a\CliSecureRT.dll
MOD - [2011.09.29 15:19:26 | 000,020,880 | ---- | M] () -- D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe
MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2010.04.06 15:30:38 | 000,031,272 | ---- | M] () [On_Demand | Stopped] -- C:\Windows\SysNative\AppleChargerSrv.exe -- (AppleChargerSrv)
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2013.02.19 17:48:55 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.11.13 00:49:35 | 004,539,712 | ---- | M] () [Auto | Running] -- c:\program files (x86)\common files\akamai/netsession_win_ce5ba24.dll -- (Akamai)
SRV - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2012.08.16 11:17:14 | 000,182,784 | ---- | M] () [Auto | Running] -- D:\Program Files\Allway Sync\Bin\SyncService.exe -- (BotkindSyncService)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.11 19:38:32 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.11 19:38:32 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.08.25 19:35:02 | 000,024,064 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\core\capiws.exe -- (OpenVPNAccessClient)
SRV - [2011.07.01 10:46:40 | 000,014,848 | ---- | M] () [On_Demand | Stopped] -- D:\Program Files\OpenVPN\bin\openvpnserv.exe -- (OpenVPNService)
SRV - [2011.06.08 12:02:00 | 000,633,856 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2010.08.18 22:10:48 | 000,867,080 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.07.28 14:13:48 | 000,242,176 | ---- | M] () [Auto | Running] -- D:\Program Files\GNU\GnuPG\dirmngr.exe -- (DirMngr)
SRV - [2010.07.26 15:01:58 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper)
SRV - [2010.06.25 18:07:20 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\WinPcap\rpcapd.exe -- (rpcapd)
SRV - [2010.03.23 12:19:32 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Program Files (x86)\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- D:\Program Files\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2010.01.29 23:40:16 | 001,043,584 | ---- | M] (Hewlett-Packard Co.) [Auto | Running] -- D:\Program Files\Treiber\HP\Digital Imaging\bin\HPSLPSVC64.DLL -- (HPSLPSVC)
SRV - [2010.01.19 03:31:26 | 000,072,304 | R--- | M] () [Auto | Running] -- C:\Windows\SysWOW64\XSrvSetup.exe -- (JMB36X)
SRV - [2009.09.06 05:06:20 | 000,169,312 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- D:\Program Files\Adobe Photoshop\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor8.0)
SRV - [2009.08.24 13:38:06 | 000,068,136 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE -- (ES lite Service)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009.02.26 18:36:22 | 000,064,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- D:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe -- (Microsoft Office Groove Audit Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.08.20 15:48:50 | 000,019,032 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\pwdrvio.sys -- (pwdrvio)
DRV:64bit: - [2012.08.20 15:48:48 | 000,012,384 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\pwdspio.sys -- (pwdspio)
DRV:64bit: - [2012.08.20 11:48:46 | 000,047,208 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\tbhsd.sys -- (tbhsd)
DRV:64bit: - [2012.05.11 19:38:33 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.05.11 19:38:33 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.09.16 15:08:07 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2011.08.19 01:46:06 | 000,030,720 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\tapoas.sys -- (tapoas)
DRV:64bit: - [2011.07.01 10:46:40 | 000,031,232 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\tap0901.sys -- (tap0901)
DRV:64bit: - [2011.06.02 06:47:22 | 000,177,640 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ssadmdm.sys -- (ssadmdm)
DRV:64bit: - [2011.06.02 06:47:22 | 000,157,672 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ssadbus.sys -- (ssadbus)
DRV:64bit: - [2011.06.02 06:47:22 | 000,146,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ssadserd.sys -- (ssadserd)
DRV:64bit: - [2011.06.02 06:47:22 | 000,016,872 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ssadmdfl.sys -- (ssadmdfl)
DRV:64bit: - [2011.05.18 09:14:22 | 000,009,216 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbser_lowerfltjx64.sys -- (UsbserFilt)
DRV:64bit: - [2011.05.18 09:14:20 | 000,009,216 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbser_lowerfltx64.sys -- (upperdev)
DRV:64bit: - [2011.05.18 09:14:16 | 000,027,136 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbox64.sys -- (nmwcdc)
DRV:64bit: - [2011.05.18 09:14:12 | 000,019,968 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ccdcmbx64.sys -- (nmwcd)
DRV:64bit: - [2011.05.18 09:09:48 | 000,171,008 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdnsux64.sys -- (nmwcdnsux64)
DRV:64bit: - [2011.05.18 09:09:48 | 000,012,800 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nmwcdnsucx64.sys -- (nmwcdnsucx64)
DRV:64bit: - [2011.05.13 19:35:22 | 000,044,480 | ---- | M] (hxxp://libusb-win32.sourceforge.net) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\libusb0.sys -- (libusb0)
DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.12.21 06:55:02 | 000,036,328 | ---- | M] (Google Inc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ssadadb.sys -- (androidusb)
DRV:64bit: - [2010.11.20 14:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.20 12:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010.11.20 11:43:57 | 000,032,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbser.sys -- (usbser)
DRV:64bit: - [2010.08.12 05:07:46 | 000,055,856 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\PxHlpa64.sys -- (PxHlpa64)
DRV:64bit: - [2010.08.06 00:39:02 | 000,834,544 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)
DRV:64bit: - [2010.08.02 15:01:41 | 000,037,480 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV:64bit: - [2010.08.02 15:01:41 | 000,037,480 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rrnetcap.sys -- (RRNetCap)
DRV:64bit: - [2010.07.29 13:22:50 | 000,230,352 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\truecrypt.sys -- (truecrypt)
DRV:64bit: - [2010.06.25 18:07:26 | 000,035,344 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\npf.sys -- (NPF)
DRV:64bit: - [2010.04.06 15:30:20 | 000,021,544 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\drivers\AppleCharger.sys -- (AppleCharger)
DRV:64bit: - [2010.03.23 12:29:46 | 000,304,784 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV:64bit: - [2010.03.04 14:43:00 | 000,346,144 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2010.02.08 07:32:00 | 000,014,992 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\CVirtA64.sys -- (CVirtA)
DRV:64bit: - [2010.01.27 09:58:38 | 000,115,312 | ---- | M] (JMicron Technology Corp.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\jraid.sys -- (JRAID)
DRV:64bit: - [2009.12.23 10:36:04 | 000,105,592 | ---- | M] (PACE Anti-Piracy, Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\Tpkd.sys -- (Tpkd)
DRV:64bit: - [2009.11.20 12:16:02 | 000,177,152 | ---- | M] (NEC Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2009.11.20 12:15:58 | 000,075,776 | ---- | M] (NEC Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2009.11.18 16:47:46 | 000,446,976 | ---- | M] (NETGEAR Inc.                           ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\wg111v3.sys -- (RTL8187B)
DRV:64bit: - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\StarOpen.sys -- (StarOpen)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.07.14 01:39:20 | 000,023,040 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WSDPrint.sys -- (WSDPrintDevice)
DRV:64bit: - [2009.07.14 01:35:32 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\serscan.sys -- (StillCam)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2008.11.16 17:39:44 | 000,157,968 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\dne64x.sys -- (DNE)
DRV:64bit: - [2008.08.28 11:44:42 | 000,025,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\pccsmcfdx64.sys -- (pccsmcfd)
DRV:64bit: - [2007.05.14 15:06:18 | 000,027,520 | ---- | M] (Research In Motion Limited) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\RimUsb_AMD64.sys -- (RimUsb)
DRV:64bit: - [2007.04.27 06:40:00 | 000,142,120 | ---- | M] (SafeNet, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\sentinel64.sys -- (Sentinel64)
DRV:64bit: - [2006.11.30 11:15:16 | 000,556,544 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\athrxusb.sys -- (athrusb)
DRV - [2013.02.28 12:25:57 | 000,025,640 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - [2010.07.04 20:51:26 | 000,004,096 | ---- | M] () [Kernel | Unavailable | Unknown] -- D:\Program Files\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2009.11.12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
DRV - [2005.08.02 14:10:14 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\npf.sys -- (NPF)
DRV - [2003.07.29 09:00:00 | 000,007,140 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysWow64\drivers\cvintdrv.sys -- (cvintdrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2801948
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB DA 64 3B 80 60 CD 01  [binary data]
IE - HKCU\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files (x86)\BrotherSoft_Extreme\prxtbBro0.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{5EBA3B38-9834-4418-BC1C-C0BE03A47579}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
 
========== FireFox ==========
 
FF - prefs.js..CT2801948.browser.search.defaultthis.engineName: true
FF - prefs.js..browser.search.defaultenginename: "hxxp://www.google.de"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.bing.com/search?FORM=IEFM1&q="
FF - prefs.js..browser.search.selectedEngine: "NCH EN Customized Web Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: exif_viewer%40mozilla.doslash.org:2.00
FF - prefs.js..extensions.enabledAddons: googlesharing%40extension.thoughtcrime.org:0.22
FF - prefs.js..extensions.enabledAddons: nitishthelegendkiller%40yahoo.co.in:1.0
FF - prefs.js..extensions.enabledAddons: rotateimage%40minisystems.de:0.1.3.2
FF - prefs.js..extensions.enabledAddons: %7B455D905A-D37C-4643-A9E2-F6FEFAA0424A%7D:0.8.16
FF - prefs.js..extensions.enabledAddons: %7B4c7097f7-08f2-4ef2-9b9f-f95fa4cbb064%7D:1.2
FF - prefs.js..extensions.enabledAddons: %7B9D23D0AA-D8F5-11DA-B3FC-0928ABF316DE%7D:3.1a6
FF - prefs.js..extensions.enabledAddons: autofillForms%40blueimp.net:0.9.9.0
FF - prefs.js..extensions.enabledAddons: %7B195A3098-0BD5-4e90-AE22-BA1C540AFD1E%7D:4.0.4
FF - prefs.js..extensions.enabledAddons: https-everywhere%40eff.org:3.1.3
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.14
FF - prefs.js..extensions.enabledAddons: %7B0b457cAA-602d-484a-8fe7-c1d894a011ba%7D:0.98.32
FF - prefs.js..extensions.enabledAddons: firefox%40ghostery.com:2.9.0
FF - prefs.js..extensions.enabledAddons: %7Be4a8a97b-f2ed-450b-b12d-ee082ba24781%7D:1.8
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.9.2
FF - prefs.js..extensions.enabledItems: {e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.5
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.87
FF - prefs.js..extensions.enabledItems: {9D23D0AA-D8F5-11DA-B3FC-0928ABF316DD}:3.0.5
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.1.0.3
FF - prefs.js..extensions.enabledItems: {340c2bbc-ce74-4362-90b5-7c26312808ef}:1.7
FF - prefs.js..extensions.enabledItems: rotateimage@minisystems.de:0.1.3.2
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
FF - prefs.js..extensions.enabledItems: {FBF6D7FB-F305-4445-BB3D-FEF66579A033}:5.0.1
FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.732
FF - prefs.js..extensions.enabledItems: exif_viewer@mozilla.doslash.org:1.60
FF - prefs.js..extensions.enabledItems: googlesharing@extension.thoughtcrime.org:0.21
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: {51a86bb3-6602-4c85-92a5-130ee4864f13}:3.3.3.2
FF - prefs.js..extensions.enabledItems: nitishthelegendkiller@yahoo.co.in:1.0
FF - prefs.js..extensions.enabledItems: {524B8EF8-C312-11DB-8039-536F56D89593}:3.7.0.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=. "
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_version: 4
FF - prefs.js..network.proxy.type: 0
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_168.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_168.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Program Files\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: D:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync\ [2010.08.07 15:45:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Components: D:\Program Files\Mozilla Firefox\components [2013.02.19 17:48:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Plugins: D:\Program Files\Mozilla Firefox\plugins [2013.02.19 17:48:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.3\extensions\\Components: D:\Program Files\Mozilla Thunderbird\components [2013.02.20 02:08:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.3\extensions\\Plugins: D:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Program Files (x86)\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2011.10.13 12:40:36 | 000,000,000 | ---D | M]
 
[2010.08.01 18:46:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Extensions
[2010.08.01 18:46:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013.02.28 12:07:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions
[2011.02.12 23:18:02 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2013.02.19 17:08:29 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
[2012.12.02 13:58:49 | 000,000,000 | ---D | M] (Garmin Communicator) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2013.02.23 12:18:26 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.07.29 22:58:18 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2013.02.28 12:07:32 | 000,000,000 | ---D | M] (Ghostery) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\firefox@ghostery.com
[2011.09.09 21:57:32 | 000,000,000 | ---D | M] (GoogleSharing) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\googlesharing@extension.thoughtcrime.org
[2013.01.21 00:32:07 | 000,000,000 | ---D | M] (HTTPS-Everywhere) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\https-everywhere@eff.org
[2012.09.17 09:01:22 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\ich@maltegoetz.de
[2011.04.22 11:14:20 | 000,000,000 | ---D | M] (ImgClub.org Image Uploader) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\nitishthelegendkiller@yahoo.co.in
[2010.07.31 19:59:16 | 000,000,000 | ---D | M] (Rotate Image) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\rotateimage@minisystems.de
[2011.09.09 21:57:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\googlesharing@extension.thoughtcrime.org\chrome
[2011.09.09 21:57:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\googlesharing@extension.thoughtcrime.org\components
[2011.09.09 21:57:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default\extensions\googlesharing@extension.thoughtcrime.org\defaults
[2010.07.31 19:17:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default - Kopie\extensions
[2010.07.31 19:17:56 | 000,000,000 | ---D | M] (Torbutton) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default - Kopie\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2010.07.31 19:17:56 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\b3rkme20.default - Kopie\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2012.12.02 13:58:49 | 000,149,045 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\autofillForms@blueimp.net.xpi
[2012.11.19 00:41:08 | 000,284,001 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\compatibility@addons.mozilla.org.xpi
[2012.08.28 14:31:45 | 000,230,013 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\exif_viewer@mozilla.doslash.org.xpi
[2012.02.27 23:20:23 | 000,003,958 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\expire-history-by-days@bonardo.net.xpi
[2013.02.23 22:52:06 | 002,163,784 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\firebug@software.joehewitt.com.xpi
[2012.01.01 15:22:47 | 000,075,799 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi
[2012.03.29 11:04:02 | 000,049,303 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\{4c7097f7-08f2-4ef2-9b9f-f95fa4cbb064}.xpi
[2013.02.20 12:23:54 | 000,530,982 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2011.09.02 11:35:05 | 000,286,375 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\{9D23D0AA-D8F5-11DA-B3FC-0928ABF316DE}.xpi
[2013.02.28 12:07:23 | 000,269,007 | ---- | M] () (No name found) -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
[2010.08.01 18:26:39 | 000,002,305 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\b3rkme20.default\searchplugins\znout-de.xml
 
O1 HOSTS File: ([2012.02.28 03:02:17 | 000,001,592 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.94.0.1	client.openvpn.net
O1 - Hosts: 127.94.0.2	openvpn-client.us.shieldexchange.com
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O2 - BHO: (BrotherSoft Extreme  Toolbar) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files (x86)\BrotherSoft_Extreme\prxtbBro0.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (BrotherSoft Extreme  Toolbar) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files (x86)\BrotherSoft_Extreme\prxtbBro0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (NCH EN Toolbar) - {37483B40-C254-4A72-BDA4-22EE90182C1E} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (BrotherSoft Extreme  Toolbar) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - C:\Program Files (x86)\BrotherSoft_Extreme\prxtbBro0.dll (Conduit Ltd.)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files (x86)\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [GrooveMonitor] D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe ()
O4 - HKLM..\Run: [KeePass 2 PreLoad] D:\Program Files\KeePass\KeePass.exe (Dominik Reichl)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (NEC Electronics Corporation)
O4 - HKLM..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Users\user\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKCU..\Run: [ANT Agent] C:\Program Files (x86)\Garmin\ANT Agent\ANT Agent.exe (GARMIN Corp.)
O4 - HKCU..\Run: [ISUSPM Startup] c:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup File not found
O4 - HKCU..\Run: [KiesPDLR] D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - HKCU..\Run: [Vidalia] D:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe ()
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenVPN GUI.lnk = D:\Program Files\OpenVPN\bin\openvpn-gui-1.0.3.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: BID Link Explorer: Öffne aktuelle Seite - D:\Program Files\Bulk Image Downloader\iemenu\iebidlinkexplorer.htm ()
O8:64bit: - Extra context menu item: BID: Link in Queue einreihen - D:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm ()
O8:64bit: - Extra context menu item: BID: Öffne aktuelle Seite - D:\Program Files\Bulk Image Downloader\iemenu\iebid.htm ()
O8:64bit: - Extra context menu item: BID: Öffne diesen &Link - D:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm ()
O8:64bit: - Extra context menu item: BID: Seite in &Queue einreihen - D:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm ()
O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Program Files\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\SysWow64\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: BID Link Explorer: Öffne aktuelle Seite - D:\Program Files\Bulk Image Downloader\iemenu\iebidlinkexplorer.htm ()
O8 - Extra context menu item: BID: Link in Queue einreihen - D:\Program Files\Bulk Image Downloader\iemenu\iebidlinkqueue.htm ()
O8 - Extra context menu item: BID: Öffne aktuelle Seite - D:\Program Files\Bulk Image Downloader\iemenu\iebid.htm ()
O8 - Extra context menu item: BID: Öffne diesen &Link - D:\Program Files\Bulk Image Downloader\iemenu\iebidlink.htm ()
O8 - Extra context menu item: BID: Seite in &Queue einreihen - D:\Program Files\Bulk Image Downloader\iemenu\iebidqueue.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Program Files\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program Files\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{378EFFA4-C0DC-4D97-833C-9BC576364504}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D65EF701-E5A3-4F9D-B7B0-93879E23381D}: DhcpNameServer = 172.27.0.1
O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - D:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 0
O33 - MountPoints2\{02bb1996-9c7f-11df-9668-6cf049b835b2}\Shell - "" = AutoRun
O33 - MountPoints2\{02bb1996-9c7f-11df-9668-6cf049b835b2}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{138f2a61-a0eb-11df-80e2-6cf049b835b2}\Shell - "" = AutoRun
O33 - MountPoints2\{138f2a61-a0eb-11df-80e2-6cf049b835b2}\Shell\AutoRun\command - "" = M:\Setup.exe
O33 - MountPoints2\{6626debd-9aa6-11df-87e3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6626debd-9aa6-11df-87e3-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Run.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.28 12:32:35 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
[2013.02.28 11:51:19 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\Programs
[2013.02.28 11:51:13 | 010,156,344 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\user\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.25 22:13:00 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\{EBBDA7E5-AB7B-4114-A5D7-466CA013A61A}
[2013.02.25 22:12:59 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\{13215AB9-2B2E-4F6E-ADF1-1D7048C31288}
[2013.02.25 22:12:25 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\{C7E6AB03-F5B6-4277-BCC7-9290C2711314}
[2013.02.25 22:11:57 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\Orleniu
[2013.02.25 22:11:57 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\Ilhor
[2013.02.21 12:47:11 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\Sync App Settings
[2013.02.19 23:53:58 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\tor
[2013.02.19 23:53:51 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\Tor
[2013.02.19 23:53:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vidalia Bundle
[2013.02.19 23:53:50 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\Vidalia
[2013.02.17 01:24:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Winamp
[2013.02.17 01:21:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Last.fm
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.28 12:33:25 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.28 12:33:25 | 000,014,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.28 12:32:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
[2013.02.28 12:25:59 | 000,000,022 | ---- | M] () -- C:\Windows\S.dirmngr
[2013.02.28 12:25:49 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.28 12:25:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.28 12:25:31 | 3219,300,352 | -HS- | M] () -- C:\hiberfil.sys
[2013.02.28 12:24:12 | 000,000,020 | ---- | M] () -- C:\Users\user\defogger_reenable
[2013.02.28 12:23:06 | 000,050,477 | ---- | M] () -- C:\Users\user\Desktop\Defogger.exe
[2013.02.28 12:23:05 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.28 11:51:28 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.28 11:51:14 | 010,156,344 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\user\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.26 18:48:34 | 007,010,574 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.02.26 18:48:34 | 002,475,120 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.02.26 18:48:34 | 002,103,458 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.02.26 18:48:34 | 001,879,536 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.02.26 18:48:34 | 000,005,438 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.02.25 02:23:52 | 000,054,784 | ---- | M] () -- C:\Users\user\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.02.24 12:20:08 | 000,387,597 | ---- | M] () -- C:\Users\user\Desktop\DSC_0602.jpg
[2013.02.19 00:02:17 | 000,003,033 | ---- | M] () -- C:\Users\user\Desktop\axp.axp
[2013.02.14 13:15:48 | 005,037,472 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.02.07 19:37:41 | 000,001,010 | ---- | M] () -- C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[2013.02.07 19:37:29 | 000,000,976 | ---- | M] () -- C:\Users\user\Desktop\Dropbox.lnk
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.28 12:25:59 | 000,000,022 | ---- | C] () -- C:\Windows\S.dirmngr
[2013.02.28 12:24:12 | 000,000,020 | ---- | C] () -- C:\Users\user\defogger_reenable
[2013.02.28 12:23:04 | 000,050,477 | ---- | C] () -- C:\Users\user\Desktop\Defogger.exe
[2013.02.28 11:51:28 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.24 12:20:08 | 000,387,597 | ---- | C] () -- C:\Users\user\Desktop\DSC_0602.jpg
[2013.02.19 00:02:17 | 000,003,033 | ---- | C] () -- C:\Users\user\Desktop\axp.axp
[2012.06.20 23:17:39 | 000,000,218 | ---- | C] () -- C:\Users\user\.recently-used.xbel
[2012.05.13 22:12:54 | 000,000,032 | ---- | C] () -- C:\Users\user\.simfy
[2012.04.08 22:14:33 | 000,000,600 | ---- | C] () -- C:\Users\user\AppData\Local\PUTTY.RND
[2012.04.01 21:23:00 | 000,000,600 | ---- | C] () -- C:\Users\user\AppData\Roaming\winscp.rnd
[2011.12.21 21:09:41 | 000,000,034 | ---- | C] () -- C:\Windows\cdplayer.ini
[2011.09.16 10:54:48 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2011.09.16 10:54:44 | 000,974,848 | ---- | C] () -- C:\Windows\SysWow64\cis-2.4.dll
[2011.09.16 10:54:44 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\issacapi_bs-2.3.dll
[2011.09.16 10:54:44 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\issacapi_pe-2.3.dll
[2011.09.16 10:54:44 | 000,057,344 | ---- | C] () -- C:\Windows\SysWow64\issacapi_se-2.3.dll
[2011.08.05 23:51:36 | 000,000,574 | ---- | C] () -- C:\Windows\hpomdl47.dat.temp
[2011.08.02 18:09:24 | 000,233,582 | ---- | C] () -- C:\Windows\hpoins47.dat
[2011.05.13 20:55:00 | 000,083,968 | ---- | C] () -- C:\Windows\UnGins.exe
[2011.03.28 10:30:33 | 000,024,576 | ---- | C] () -- C:\Windows\SysWow64\ZyDelReg.exe
[2011.03.28 10:30:31 | 000,028,672 | ---- | C] () -- C:\Windows\SysWow64\InsDrvZD.dll
[2011.03.28 10:30:31 | 000,015,872 | ---- | C] () -- C:\Windows\SysWow64\InsDrvZD64.DLL
[2010.08.11 16:32:44 | 000,001,789 | ---- | C] () -- C:\Users\user\Default.atp
[2010.08.11 16:32:44 | 000,000,288 | ---- | C] () -- C:\Users\user\user.properties
[2010.08.07 12:10:27 | 000,007,603 | ---- | C] () -- C:\Users\user\AppData\Local\Resmon.ResmonCfg
[2010.08.05 00:43:05 | 000,054,784 | ---- | C] () -- C:\Users\user\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2013.02.27 02:40:00 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\.purple
[2010.08.11 15:22:22 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Avid
[2011.04.25 13:22:37 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\BID
[2010.09.13 20:05:02 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Canneverbe Limited
[2012.05.07 22:36:27 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Canon
[2010.08.18 22:51:30 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
[2012.11.13 23:03:16 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\com.adobe.downloadassistant.AdobeDownloadAssistant
[2012.03.29 13:02:30 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\com.Rhapsody.Napster5
[2010.08.06 00:45:19 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\DAEMON Tools Lite
[2013.02.28 12:27:17 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Dropbox
[2012.08.11 22:05:46 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\e-academy Inc
[2011.12.12 23:00:20 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Ethereal
[2013.01.10 00:00:57 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\EurekaLog
[2012.07.23 16:53:46 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Eye-Fi
[2011.11.16 21:11:40 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\FileZilla
[2011.11.12 21:35:57 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\FireShot
[2012.12.30 02:43:08 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\GARMIN
[2011.02.18 00:09:33 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\GetRightToGo
[2010.10.02 21:00:45 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\gnupg
[2013.02.19 22:22:41 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\gtk-2.0
[2013.02.28 11:27:58 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Ilhor
[2012.01.24 23:01:49 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\IrfanView
[2010.08.10 00:39:15 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\JAM Software
[2012.10.10 15:18:06 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\KeePass
[2012.10.10 15:10:22 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\KeePassX
[2012.04.02 21:58:09 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\LEGO Company
[2010.09.04 13:05:50 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Lexmark Productivity Studio
[2012.11.28 23:11:23 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\LibreOffice
[2011.08.16 17:49:53 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Matus Tomlein
[2010.10.09 19:00:23 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Miranda
[2012.06.27 05:55:00 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Mp3tag
[2011.10.08 14:37:52 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\MyPhoneExplorer
[2010.08.28 10:43:52 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\NapsterScrobbler
[2011.10.14 14:44:29 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Nokia
[2011.10.14 14:44:30 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Nokia Ovi Suite
[2012.07.16 23:02:47 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Opera
[2013.02.28 11:44:24 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Orleniu
[2010.09.08 17:54:57 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\PACE Anti-Piracy
[2010.08.07 15:47:16 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\PC Suite
[2013.02.24 12:20:28 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Rightload
[2011.10.08 14:24:27 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Samsung
[2012.05.16 21:50:41 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Simfy
[2012.01.04 02:06:05 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Sinvise Systems
[2010.08.11 17:38:38 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
[2013.02.21 12:47:11 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Sync App Settings
[2012.01.25 17:12:57 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Thunderbird
[2012.01.04 02:00:34 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Thunderbird1
[2012.05.05 17:14:28 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Titanium
[2010.07.29 16:29:16 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\TrueCrypt
[2010.08.06 14:19:09 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[2012.01.13 19:42:32 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Ulead Systems
[2012.08.08 13:13:53 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\uTorrent
[2012.04.06 01:22:42 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\VG Solutions
[2012.07.29 18:51:51 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Windows Live Writer
[2011.10.09 22:16:23 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Wireshark
[2011.02.12 23:07:48 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\YCanPDF
[2013.02.25 22:12:59 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\{13215AB9-2B2E-4F6E-ADF1-1D7048C31288}
[2013.02.25 22:12:25 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\{C7E6AB03-F5B6-4277-BCC7-9290C2711314}
[2013.02.25 22:13:00 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\{EBBDA7E5-AB7B-4114-A5D7-466CA013A61A}
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:E8BE05FA
@Alternate Data Stream - 1299 bytes -> C:\ProgramData\Microsoft:OJ0YQExu03UDxq7DpcqoFrAcwI
@Alternate Data Stream - 1299 bytes -> C:\ProgramData\Microsoft:cu2FmI3Q4fibyVmaHRHJgfe
@Alternate Data Stream - 1237 bytes -> C:\ProgramData\Microsoft:JKDMIATSCiGEmTWezHcJGU2cJ
@Alternate Data Stream - 1221 bytes -> C:\ProgramData\Microsoft:4zlAzNhJQeEHAXksRRsM
@Alternate Data Stream - 1210 bytes -> C:\Program Files (x86)\Common Files\microsoft shared:NbarIRuIfeYYGKXlRqmW8F

< End of report >

gmer.log:

Code:

ATTFilter

GMER 2.1.19115 - hxxp://www.gmer.net
Rootkit scan 2013-02-28 13:38:34
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Scsi\JRAID2Port1Path0Target0Lun0 SAMSUNG_ rev.FV01 232,88GB
Running: 4np82roe.exe; Driver: C:\Users\user\AppData\Local\Temp\kxldapob.sys


---- User code sections - GMER 2.1 ----

.text  C:\Windows\SysWOW64\svchost.exe[1572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                              0000000075331465 2 bytes [33, 75]
.text  C:\Windows\SysWOW64\svchost.exe[1572] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                             00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2
.text  C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\core\capiws.exe[2348] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 69   0000000075331465 2 bytes [33, 75]
.text  C:\Program Files (x86)\OpenVPN Technologies\OpenVPN Client\core\capiws.exe[2348] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 155  00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2
.text  D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe[2796] C:\Windows\SysWOW64\ntdll.dll!DbgUiRemoteBreakin                          00000000777af85a 1 byte [C3]
.text  D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe[2796] C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll!getJit + 32      00000000703e9380 4 bytes [C8, 10, 01, 10]
.text  D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe[2796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                   0000000075331465 2 bytes [33, 75]
.text  D:\Program Files\Kies\External\FirmwareUpdate\KiesPDLR.exe[2796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                  00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2
.text  C:\Users\user\AppData\Local\Akamai\netsession_win.exe[2852] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                        0000000075331465 2 bytes [33, 75]
.text  C:\Users\user\AppData\Local\Akamai\netsession_win.exe[2852] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                       00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2
.text  C:\Users\user\AppData\Local\Akamai\netsession_win.exe[3016] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                        0000000075331465 2 bytes [33, 75]
.text  C:\Users\user\AppData\Local\Akamai\netsession_win.exe[3016] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                       00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[2288] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69     0000000075331465 2 bytes [33, 75]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[2288] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155    00000000753314bb 2 bytes [33, 75]
.text  ...                                                                                                                                        * 2

---- Registry - GMER 2.1 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Epoch2@Epoch                                                                           5877
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                           
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                        D:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                        0x00 0x00 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                        0
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                     0xF7 0xC5 0x0B 0x81 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                                  
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                               0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                            0xFC 0xBE 0x7D 0x6B ...
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                             
Reg    HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                       0xE4 0x10 0x99 0xC8 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                       
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                            D:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                                            0x00 0x00 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                            0
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                         0xF7 0xC5 0x0B 0x81 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                              
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                                   0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                                0xFC 0xBE 0x7D 0x6B ...
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                         
Reg    HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                           0xE4 0x10 0x99 0xC8 ...

---- EOF - GMER 2.1 ----

Ich würde mich freuen von euch zu hören, ob da noch was ist und wenn ja, welche weiteren Schritte ich befolgen soll.
Schon einmal vielen Dank fürs Annehmen des Problems.

Viele Grüße
numbi

Avira findet erst JS.Expack.EM und dann Spy.Zbot

Log-Analyse und Auswertung: Avira findet erst JS.Expack.EM und dann Spy.Zbot

Avira findet erst JS.Expack.EM und dann Spy.Zbot

Ähnliche Themen: Avira findet erst JS.Expack.EM und dann Spy.Zbot