| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Groupon Trojaner - wie prüfe ich das System richtig?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.03.2013, 19:37
| #1 |
| |  Groupon Trojaner - wie prüfe ich das System richtig? Hallo zusammen, am 07.03. habe ich leider die gefälscht Groupon-E-Mail geöffnet und den Dateianhang ebenfalls. Der Trojaner hat sich auch schnell bemerkbar gemacht, weil Avira mehrfach Alarm geschlagen und einige Dateien entfernt hat. Ich bin aber nicht sicher, ob doch noch irgendwo etwas schlummert. Avira und Malwarebytes können seit dem 09.03. nichts mehr finden. Aber ZoneAlarm hat an dem Tag immernoch einige auffällige Zugriffe geblockt, wie man in den Logs unten sehen kann. Ich habe im Eifer des Gefechts auch Dateien und Ordner, die ich für gefährlich hielt, selbst gelöscht und den Papierkorb geleert. Das nur als Info. Im Nachhinein betrachtet, war das wahrscheinlich nicht so gut. Hier nun alle Logs von Avira und ZoneAlarm, die Funde/Zugriffe aufweisen. Avira 07.03. 14:54 Uhr Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Donnerstag, 7. März 2013 14:54 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Enterprise Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MAGIRUS-DEUTZ Versionsinformationen: BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00 AVSCAN.EXE : 13.6.0.584 640224 Bytes 26.02.2013 12:37:31 AVSCANRC.DLL : 13.4.0.360 64800 Bytes 26.02.2013 12:37:31 LUKE.DLL : 13.6.0.602 67808 Bytes 26.02.2013 12:37:52 AVSCPLR.DLL : 13.6.0.628 94432 Bytes 26.02.2013 12:38:28 AVREG.DLL : 13.6.0.600 250592 Bytes 26.02.2013 12:38:28 avlode.dll : 13.6.2.624 434912 Bytes 26.02.2013 12:38:29 avlode.rdf : 13.0.0.38 15231 Bytes 26.02.2013 12:38:28 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:38:39 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:14:12 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:45:40 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 11:17:49 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:42:26 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:32:52 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:13:36 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:13:36 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:13:36 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:13:36 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:13:36 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:13:37 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:13:37 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:22:04 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 18:05:35 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 18:52:19 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 21:16:27 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 21:16:27 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 21:16:28 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 21:30:12 VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 11:30:49 VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 14:06:15 VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 08:28:00 VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 23:20:08 VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:50:39 VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 12:59:01 VBASE028.VDF : 7.11.63.212 2048 Bytes 06.03.2013 12:59:01 VBASE029.VDF : 7.11.63.213 2048 Bytes 06.03.2013 12:59:01 VBASE030.VDF : 7.11.63.214 2048 Bytes 06.03.2013 12:59:01 VBASE031.VDF : 7.11.63.230 26624 Bytes 06.03.2013 20:31:27 Engineversion : 8.2.12.10 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:33 AESCRIPT.DLL : 8.1.4.94 467324 Bytes 24.02.2013 11:30:54 AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 13:58:22 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:29:45 AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 13:51:29 AEPACK.DLL : 8.3.1.12 815480 Bytes 28.02.2013 19:49:27 AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 15:40:51 AEHEUR.DLL : 8.1.4.222 5767545 Bytes 28.02.2013 19:49:26 AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 08:28:57 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 10:08:48 AEEXP.DLL : 8.4.0.6 192885 Bytes 28.02.2013 19:49:27 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:33 AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:16:28 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:40:45 AVWINLL.DLL : 13.6.0.480 26480 Bytes 26.02.2013 12:36:55 AVPREF.DLL : 13.6.0.480 51056 Bytes 26.02.2013 12:37:30 AVREP.DLL : 13.6.0.480 178544 Bytes 26.02.2013 12:38:28 AVARKT.DLL : 13.6.0.624 260832 Bytes 26.02.2013 12:37:25 AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 26.02.2013 12:37:28 SQLITE3.DLL : 3.7.0.1 397704 Bytes 26.02.2013 12:38:09 AVSMTP.DLL : 13.6.0.480 62832 Bytes 26.02.2013 12:37:32 NETNT.DLL : 13.6.0.480 16240 Bytes 26.02.2013 12:38:00 RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 26.02.2013 12:36:57 RCTEXT.DLL : 13.6.0.480 68976 Bytes 26.02.2013 12:36:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51389bc1\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Donnerstag, 7. März 2013 14:54 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '150' Modul(e) wurden durchsucht Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'CNSEMAIN.EXE' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht Durchsuche Prozess 'LxWebAccess.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00617309.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '103' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe' Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bykmrlkt> wurde erfolgreich entfernt. C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe [FUND] Ist das Trojanische Pferd TR/Inject.FZ [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55430c40.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bykmrlkt> wurde erfolgreich repariert. Ende des Suchlaufs: Donnerstag, 7. März 2013 14:55 Benötigte Zeit: 00:33 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 985 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 984 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 8. März 2013 15:24 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Enterprise Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MAGIRUS-DEUTZ Versionsinformationen: BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00 AVSCAN.EXE : 13.6.0.584 640224 Bytes 26.02.2013 12:37:31 AVSCANRC.DLL : 13.4.0.360 64800 Bytes 26.02.2013 12:37:31 LUKE.DLL : 13.6.0.602 67808 Bytes 26.02.2013 12:37:52 AVSCPLR.DLL : 13.6.0.628 94432 Bytes 26.02.2013 12:38:28 AVREG.DLL : 13.6.0.600 250592 Bytes 26.02.2013 12:38:28 avlode.dll : 13.6.2.624 434912 Bytes 26.02.2013 12:38:29 avlode.rdf : 13.0.0.38 15231 Bytes 26.02.2013 12:38:28 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:38:39 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:14:12 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:45:40 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 11:17:49 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:42:26 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:32:52 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:13:36 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:13:36 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:13:36 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:13:36 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:13:36 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:13:37 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:13:37 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:22:04 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 18:05:35 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 18:52:19 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 21:16:27 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 21:16:27 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 21:16:28 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 21:30:12 VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 11:30:49 VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 14:06:15 VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 08:28:00 VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 23:20:08 VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:50:39 VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 12:59:01 VBASE028.VDF : 7.11.64.21 198656 Bytes 08.03.2013 12:43:07 VBASE029.VDF : 7.11.64.22 2048 Bytes 08.03.2013 12:43:08 VBASE030.VDF : 7.11.64.23 2048 Bytes 08.03.2013 12:43:08 VBASE031.VDF : 7.11.64.32 10752 Bytes 08.03.2013 12:43:08 Engineversion : 8.2.12.14 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:33 AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 12:43:14 AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 13:58:22 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:29:45 AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 13:51:29 AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 12:43:13 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 12:43:12 AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 12:43:12 AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 08:28:57 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 10:08:48 AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 12:43:14 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:33 AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:16:28 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:40:45 AVWINLL.DLL : 13.6.0.480 26480 Bytes 26.02.2013 12:36:55 AVPREF.DLL : 13.6.0.480 51056 Bytes 26.02.2013 12:37:30 AVREP.DLL : 13.6.0.480 178544 Bytes 26.02.2013 12:38:28 AVARKT.DLL : 13.6.0.624 260832 Bytes 26.02.2013 12:37:25 AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 26.02.2013 12:37:28 SQLITE3.DLL : 3.7.0.1 397704 Bytes 26.02.2013 12:38:09 AVSMTP.DLL : 13.6.0.480 62832 Bytes 26.02.2013 12:37:32 NETNT.DLL : 13.6.0.480 16240 Bytes 26.02.2013 12:38:00 RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 26.02.2013 12:36:57 RCTEXT.DLL : 13.6.0.480 68976 Bytes 26.02.2013 12:36:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5139f430\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Freitag, 8. März 2013 15:24 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '134' Modul(e) wurden durchsucht Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '157' Modul(e) wurden durchsucht Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'peoze.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'CNSEMAIN.EXE' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht Durchsuche Prozess 'LxWebAccess.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '113' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '103' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\Xyz\AppData\Roaming\defqu.exe' Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert. C:\Users\Xyz\AppData\Roaming\defqu.exe [FUND] Ist das Trojanische Pferd TR/Bublik.B.16 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59c56ac0.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert. Ende des Suchlaufs: Freitag, 8. März 2013 15:25 Benötigte Zeit: 00:28 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 983 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 982 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 8. März 2013 16:01
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Enterprise
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MAGIRUS-DEUTZ
Versionsinformationen:
BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00
AVSCAN.EXE : 13.6.0.584 640224 Bytes 26.02.2013 12:37:31
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 26.02.2013 12:37:31
LUKE.DLL : 13.6.0.602 67808 Bytes 26.02.2013 12:37:52
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 26.02.2013 12:38:28
AVREG.DLL : 13.6.0.600 250592 Bytes 26.02.2013 12:38:28
avlode.dll : 13.6.2.624 434912 Bytes 26.02.2013 12:38:29
avlode.rdf : 13.0.0.38 15231 Bytes 26.02.2013 12:38:28
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:38:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:14:12
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:45:40
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 11:17:49
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:42:26
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:32:52
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:13:36
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:13:36
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:13:36
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:13:36
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:13:36
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:13:37
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:13:37
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:22:04
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 18:05:35
VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 18:52:19
VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 21:16:27
VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 21:16:27
VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 21:16:28
VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 21:30:12
VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 11:30:49
VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 14:06:15
VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 08:28:00
VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 23:20:08
VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:50:39
VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 12:59:01
VBASE028.VDF : 7.11.64.21 198656 Bytes 08.03.2013 12:43:07
VBASE029.VDF : 7.11.64.22 2048 Bytes 08.03.2013 12:43:08
VBASE030.VDF : 7.11.64.23 2048 Bytes 08.03.2013 12:43:08
VBASE031.VDF : 7.11.64.32 10752 Bytes 08.03.2013 12:43:08
Engineversion : 8.2.12.14
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:33
AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 12:43:14
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 13:58:22
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:29:45
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 13:51:29
AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 12:43:13
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 12:43:12
AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 12:43:12
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 08:28:57
AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 10:08:48
AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 12:43:14
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:33
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:16:28
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:40:45
AVWINLL.DLL : 13.6.0.480 26480 Bytes 26.02.2013 12:36:55
AVPREF.DLL : 13.6.0.480 51056 Bytes 26.02.2013 12:37:30
AVREP.DLL : 13.6.0.480 178544 Bytes 26.02.2013 12:38:28
AVARKT.DLL : 13.6.0.624 260832 Bytes 26.02.2013 12:37:25
AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 26.02.2013 12:37:28
SQLITE3.DLL : 3.7.0.1 397704 Bytes 26.02.2013 12:38:09
AVSMTP.DLL : 13.6.0.480 62832 Bytes 26.02.2013 12:37:32
NETNT.DLL : 13.6.0.480 16240 Bytes 26.02.2013 12:38:00
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 26.02.2013 12:36:57
RCTEXT.DLL : 13.6.0.480 68976 Bytes 26.02.2013 12:36:57
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Freitag, 8. März 2013 16:01
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCore.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'peoze.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4516' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RBIY835.zip
[0] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.zip
[1] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RQVCVWX.zip
[0] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.zip
[1] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RW494ZB.zip
[0] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.zip
[1] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RZLKY9K.zip
[0] Archivtyp: ZIP
--> Groupon GmbH Rechnung 06.03.2013.com
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Xyz\AppData\Local\Temp\fbyrdwhyvt.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\jqpwzyhpxr.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\qckzzzyyyr.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\{F1AE-49F828-49FC28}
[FUND] Ist das Trojanische Pferd TR/Jorik.Bublik.ca
C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe
[FUND] Ist das Trojanische Pferd TR/Yakes.cnnh
Beginne mit der Suche in 'D:\' <Tomcat>
[0] Archivtyp: Runtime Packed
--> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RK5XOVU\DeepRipper1.exe
[1] Archivtyp: Runtime Packed
--> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
[2] Archivtyp: Inno Setup
--> {app}\s4Setp.exe
[3] Archivtyp: RSRC
--> AV0004c9e3.AV$
[4] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Excite.A.3
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Object
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Toolbar.MyWay.F.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Object
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
--> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Flight Sim 2004\FS 2004 Update+Downloads\FSUIPC.zip
[2] Archivtyp: ZIP
--> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Flight Sim 2004\FS 2004 Update+Downloads\FSUIPCalt.zip
[3] Archivtyp: ZIP
--> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
[4] Archivtyp: RAR
--> Toca 2 Touring Car\setup.exe
[FUND] Ist das Trojanische Pferd TR/Win9x.Flashkiller.G
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
[FUND] Ist das Trojanische Pferd TR/Win9x.Flashkiller.G
Beginne mit der Desinfektion:
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
[FUND] Ist das Trojanische Pferd TR/Win9x.Flashkiller.G
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe
[FUND] Ist das Trojanische Pferd TR/Yakes.cnnh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c1ac14b.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\{F1AE-49F828-49FC28}
[FUND] Ist das Trojanische Pferd TR/Jorik.Bublik.ca
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ad88eaf.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\qckzzzyyyr.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f92a3b6.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\jqpwzyhpxr.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '408691c5.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\fbyrdwhyvt.pre
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c27bd9e.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RZLKY9K.zip
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RW494ZB.zip
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RQVCVWX.zip
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RBIY835.zip
[FUND] Ist das Trojanische Pferd TR/Inject.FZ
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
Ende des Suchlaufs: Freitag, 8. März 2013 17:49
Benötigte Zeit: 1:35:43 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
31576 Verzeichnisse wurden überprüft
1014704 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1014689 Dateien ohne Befall
13556 Archive wurden durchsucht
10 Warnungen
11 Hinweise
1210462 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Die Reparaturanweisungen wurden in die Datei 'D:\avrescue\rescue.avp' geschrieben.
Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 8. März 2013 20:22 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Enterprise Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MAGIRUS-DEUTZ Versionsinformationen: BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00 AVSCAN.EXE : 13.6.0.584 640224 Bytes 26.02.2013 12:37:31 AVSCANRC.DLL : 13.4.0.360 64800 Bytes 26.02.2013 12:37:31 LUKE.DLL : 13.6.0.602 67808 Bytes 26.02.2013 12:37:52 AVSCPLR.DLL : 13.6.0.628 94432 Bytes 26.02.2013 12:38:28 AVREG.DLL : 13.6.0.600 250592 Bytes 26.02.2013 12:38:28 avlode.dll : 13.6.2.624 434912 Bytes 26.02.2013 12:38:29 avlode.rdf : 13.0.0.38 15231 Bytes 26.02.2013 12:38:28 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 10:38:39 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:14:12 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:45:40 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 11:17:49 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 19:42:26 VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:32:52 VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 17:13:36 VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 17:13:36 VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 17:13:36 VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 17:13:36 VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 17:13:36 VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 17:13:37 VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 17:13:37 VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 17:22:04 VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 18:05:35 VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 18:52:19 VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 21:16:27 VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 21:16:27 VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 21:16:28 VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 21:30:12 VBASE022.VDF : 7.11.62.111 136192 Bytes 23.02.2013 11:30:49 VBASE023.VDF : 7.11.62.157 143360 Bytes 25.02.2013 14:06:15 VBASE024.VDF : 7.11.62.237 199168 Bytes 27.02.2013 08:28:00 VBASE025.VDF : 7.11.63.71 209408 Bytes 01.03.2013 23:20:08 VBASE026.VDF : 7.11.63.121 257536 Bytes 04.03.2013 13:50:39 VBASE027.VDF : 7.11.63.211 212480 Bytes 06.03.2013 12:59:01 VBASE028.VDF : 7.11.64.21 198656 Bytes 08.03.2013 12:43:07 VBASE029.VDF : 7.11.64.22 2048 Bytes 08.03.2013 12:43:08 VBASE030.VDF : 7.11.64.23 2048 Bytes 08.03.2013 12:43:08 VBASE031.VDF : 7.11.64.40 76288 Bytes 08.03.2013 18:43:06 Engineversion : 8.2.12.14 AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:33 AESCRIPT.DLL : 8.1.4.96 471420 Bytes 08.03.2013 12:43:14 AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 13:58:22 AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:29:45 AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 13:51:29 AEPACK.DLL : 8.3.2.0 827767 Bytes 08.03.2013 12:43:13 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 12:43:12 AEHEUR.DLL : 8.1.4.236 5833081 Bytes 08.03.2013 12:43:12 AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 08:28:57 AEGEN.DLL : 8.1.6.16 434549 Bytes 25.01.2013 10:08:48 AEEXP.DLL : 8.4.0.10 192886 Bytes 08.03.2013 12:43:14 AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:33 AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:16:28 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:40:45 AVWINLL.DLL : 13.6.0.480 26480 Bytes 26.02.2013 12:36:55 AVPREF.DLL : 13.6.0.480 51056 Bytes 26.02.2013 12:37:30 AVREP.DLL : 13.6.0.480 178544 Bytes 26.02.2013 12:38:28 AVARKT.DLL : 13.6.0.624 260832 Bytes 26.02.2013 12:37:25 AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 26.02.2013 12:37:28 SQLITE3.DLL : 3.7.0.1 397704 Bytes 26.02.2013 12:38:09 AVSMTP.DLL : 13.6.0.480 62832 Bytes 26.02.2013 12:37:32 NETNT.DLL : 13.6.0.480 16240 Bytes 26.02.2013 12:38:00 RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 26.02.2013 12:36:57 RCTEXT.DLL : 13.6.0.480 68976 Bytes 26.02.2013 12:36:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_513a1714\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Freitag, 8. März 2013 20:22 Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert. Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00617309.exe> wurde erfolgreich entfernt. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '109' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '170' Modul(e) wurden durchsucht Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'KB00617309.exe' - '80' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\Xyz\AppData\Roaming\KB00617309.exe> [FUND] Ist das Trojanische Pferd TR/Agent.94208.66 [HINWEIS] Prozess 'KB00617309.exe' wurde beendet [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'peoze.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'CNSEMAIN.EXE' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '97' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'WMIADAP.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht Ende des Suchlaufs: Freitag, 8. März 2013 20:24 Benötigte Zeit: 02:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 5788 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 5786 Dateien ohne Befall 82 Archive wurden durchsucht 0 Warnungen 1 Hinweise Code:
ATTFilter ZoneAlarm Protokoll-Client v11.0.000.038
Windows 7 x64-6.1.7600--SMP
Typ,Datum,Uhrzeit,Quelle,Ziel,Transport (Sicherheit)
Typ,Datum,Uhrzeit,Virusname,Dateiname,Modus,E-Mail-ID (Anti-Virus)
Typ,Datum,Uhrzeit,Quelle,Ziel,Aktion,Dienst (IM-Sicherheit)
Typ,Datum,Uhrzeit,Quelle,Ziel,Programm,Aktion (Schutz gegen gefährlichen Code)
Typ,Datum,Uhrzeit,Aktion,Produkt,Datei,Ereignis,Unterereignis,Klasse,Daten,Daten,… (OSFirewall)
Typ,Datum,Uhrzeit,Name,Typ,Modus (Anti-Spyware)
FWOUT,2013/03/03,10:13:24 +1:00 GMT,192.168.2.222:51697,23.14.94.26:80,TCP (flags:S),hxxp://fwalerts.zonealarm.com/fwalerts/fwanalyze.jsp?V103=AcCoAt4XDl4ayfEAAABQAAABAAAAAQAAAAIAAAABAAAAoYYBADAxMDIHBAIAAQANAQK8g/4BAAAAAAABQAAA//8B+ZLN25527996472160-1001,,,,Windows+7+x64-6.1.7600--SMP,11.0.000.038,ExtBlockAll2,j5hvqhisiu3s4he7bhx644bu4g0,2,,&CL=de&OEM=1025&SKU=0&Mode=6&Product=ZoneAlarm
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
PE,2013/03/07,14:53:58 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000ccd78703ae690b6148f0bf04&SKIMP=35000000ccd78703ae690b6148f0bf04&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/07,14:53:58 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=KB00617309.exe&VER=07.03.2013+14%3A53%3A42&FN=KB00617309.exe&Created=426776b5&Size=125440&MD5=911dd25fdf2a0726baab1ae14ca0b073&SKIMP=e6e875af0f76770d70537c4e814cd487&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/07,14:54:06 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
PE,2013/03/07,15:04:24 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,0.0.0.0:16242,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000d4d88703ae690b6168f4bf04&SKIMP=35000000d4d88703ae690b6168f4bf04&&RIPA=&LP=29247&Connect=2&Pgmstatus=3&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/07,15:04:24 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,54.248.20.255:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=Spread+BTP-Bund&VER=1.00.0002&FN=peoze.exe&Created=409b1a8a&Size=286720&MD5=0c352414057d8bdb9763225ed94c6dc5&SKIMP=12426580313209b1556b4aed345c4e07&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:05:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:34:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:00:44 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:05:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:56:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:10:18 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:56:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
PE,2013/03/07,22:07:04 +1:00 GMT,bie_kms.exe,C:\Users\Xyz\AppData\Local\Temp\RarSFX1\bie_kms.exe,0.0.0.0:1688,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=3500000050d8ed05ae69a661d856c204&SKIMP=3500000050d8ed05ae69a661d856c204&&RIPA=&LP=38918&Connect=2&Pgmstatus=3&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:56 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:40:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:24 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:58 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:29:06 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
PE,2013/03/08,17:52:36 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000e4dd7306ae6914615830be04&SKIMP=35000000e4dd7306ae6914615830be04&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/08,17:52:36 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=KB00617309.exe&VER=1.5.8.7&FN=KB00617309.exe&Created=42687b18&Size=91136&MD5=ef0e291414e6e8848985f14c3c1d056c&SKIMP=8436a804e85db6ad59bb850ac41e8eda&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/08,17:52:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:56 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:53:08 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:22:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:53:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:22:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:28:00 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:16 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:19:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:26 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
FWOUT,2013/03/09,10:17:18 +1:00 GMT,192.168.2.222:49728,23.14.94.26:80,TCP (flags:S),hxxp://fwalerts.zonealarm.com/fwalerts/fwanalyze.jsp?V103=AcCoAt4XDl4awkAAAABQAAABAAAAAQAAAAIAAAABAAAAoYYBADAxMDIHBAIAAQANAQJRKLUAAAAAAAABQAAA//8B+ZLN25527996472160-1001,,,,Windows+7+x64-6.1.7600--SMP,11.0.000.038,ExtBlockAll2,j5hvqhisiu3s4he7bhx644bu4g0,2,,&CL=de&OEM=1025&SKU=0&Mode=6&Product=ZoneAlarm
ACCESS,2013/03/09,13:35:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:56 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:35:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:35:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:35:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:04 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:20 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
PE,2013/03/09,17:22:12 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,192.168.2.1:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=Spread+BTP-Bund&VER=1.00.0002&FN=peoze.exe&Created=409b1a8a&Size=286720&MD5=0c352414057d8bdb9763225ed94c6dc5&SKIMP=12426580313209b1556b4aed345c4e07&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=1&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/09,17:22:44 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, lokale Zone (192.168.2.1:HTTP).,N/A,N/A
Vielen Dank schonmal vorb. Tolle Arbeit, die Ihr hier leistet. Ist echt gut zu wissen, daß es Euch gibt und Ihr den Usern bei der Schädlingsbekämpfung helft. Danke & Gruß tommes77 |
|
11.03.2013, 19:41
| #2 |
| | Groupon Trojaner - wie prüfe ich das System richtig? Hallo nochmal,
__________________da der Eintrag zu lang war hier nun der Rest meiner Daten: Defogger habe ich ausgeführt. Wann darf ich denn eigentlich wieder Re-Enable drücken? OTL hat folgendes ausgespuckt: Code:
ATTFilter OTL logfile created on: 11.03.2013 18:19:17 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\xyz\Desktop 64bit- Enterprise Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 2,68 Gb Available Physical Memory | 66,96% Memory free 7,99 Gb Paging File | 5,90 Gb Available in Paging File | 73,79% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 127,99 Gb Total Space | 52,05 Gb Free Space | 40,67% Space Free | Partition Type: NTFS Drive D: | 337,77 Gb Total Space | 126,27 Gb Free Space | 37,38% Space Free | Partition Type: NTFS Drive E: | 201,63 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: MAGIRUS-DEUTZ | User Name: xyz | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe PRC - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe PRC - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2013.02.26 13:37:28 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe PRC - [2013.01.02 13:38:50 | 000,073,984 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2011.09.16 14:39:24 | 000,115,048 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe PRC - [2010.04.02 09:18:54 | 001,185,112 | ---- | M] (CANON INC.) -- C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe PRC - [2007.06.27 19:04:00 | 001,213,736 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe PRC - [2007.06.27 19:03:40 | 000,152,872 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe ========== Modules (No Company Name) ========== MOD - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ========== Services (SafeList) ========== SRV:64bit: - [2011.11.10 04:11:32 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2011.11.09 22:08:52 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service) SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon) SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.11.22 15:35:22 | 000,828,072 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.12.13 11:49:42 | 000,450,136 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\vsdatant.sys -- (Vsdatant) DRV:64bit: - [2012.02.15 10:01:50 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2011.11.10 04:45:30 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag) DRV:64bit: - [2011.11.10 03:12:44 | 000,325,632 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2011.10.25 09:57:38 | 000,213,504 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc) DRV:64bit: - [2011.10.25 09:57:38 | 000,096,768 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub) DRV:64bit: - [2011.10.24 17:39:54 | 000,066,328 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGSHidFilt.Sys -- (LGSHidFilt) DRV:64bit: - [2011.10.17 18:40:50 | 000,093,712 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService) DRV:64bit: - [2010.05.31 11:46:50 | 000,333,928 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2010.03.02 19:30:20 | 001,301,504 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService) DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64) DRV:64bit: - [2009.12.22 02:26:36 | 000,038,456 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\usbfilter.sys -- (usbfilter) DRV:64bit: - [2009.11.24 02:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid) DRV:64bit: - [2009.11.24 02:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum) DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2009.07.14 02:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.06.10 11:14:36 | 000,043,264 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiBus.sys -- (SaiNtBus) DRV:64bit: - [2009.06.10 11:14:36 | 000,016,000 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiMini.sys -- (SaiMini) DRV:64bit: - [2009.05.18 12:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2009.05.05 09:00:28 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie) DRV:64bit: - [2007.05.01 16:10:50 | 000,171,144 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiH075C.sys -- (SaiH075C) DRV - [2012.11.22 15:35:36 | 000,033,712 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL) DRV - [2011.06.24 06:31:02 | 000,055,424 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5C 5D EC 76 67 97 CD 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..extensions.enabledAddons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3 FF - prefs.js..extensions.enabledAddons: {0b457cAA-602d-484a-8fe7-c1d894a011ba}:0.98.28 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Tools\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\TRUSTCHECKER [2013.02.26 13:51:15 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2013.02.26 13:51:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.10.22 16:49:27 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions [2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de [2013.02.15 23:34:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions [2013.02.15 23:34:29 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba} [2012.01.21 14:13:43 | 000,634,964 | ---- | M] () (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\firefox\profiles\copq34t7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012.09.04 18:11:59 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2011.12.21 08:42:29 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.12.21 06:08:50 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.12.21 06:02:40 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.12.21 06:08:50 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.12.21 06:08:50 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011.12.21 06:08:50 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2011.12.21 06:08:50 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter} CHR - homepage: hxxp://www.google.com/ CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll CHR - plugin: iTunes Application Detector (Enabled) = C:\Tools\iTunes\Mozilla Plugins\npitunes.dll CHR - Extension: The Vampire Diaries 001 = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkhfjdehckdomepilagalhldddpcakk\1_0\ CHR - Extension: YouTube = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Google-Suche = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: Google Mail = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ O1 HOSTS File: ([2012.01.21 14:39:29 | 000,442,426 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.1001-search.info O1 - Hosts: 127.0.0.1 1001-search.info O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.132.com O1 - Hosts: 127.0.0.1 132.com O1 - Hosts: 127.0.0.1 www.136136.net O1 - Hosts: 127.0.0.1 136136.net O1 - Hosts: 127.0.0.1 www.139mm.com O1 - Hosts: 15215 more lines... O2:64bit: - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3:64bit: - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O4:64bit: - HKLM..\Run: [Easy-PrintToolBox] C:\Program Files (x86)\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.) O4:64bit: - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.) O4:64bit: - HKLM..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe (Saitek) O4:64bit: - HKLM..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe (Saitek) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.) O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (VIA) O4 - HKLM..\Run: [LexwareInfoService] C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG) O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [ZoneAlarm] C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C9214DFD-7FC3-44F1-8CDF-D766F740A42E}: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\haufereader - No CLSID value found O18:64bit: - Protocol\Handler\ipp - No CLSID value found O18:64bit: - Protocol\Handler\ipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2013.03.11 18:14:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe [2013.03.10 23:37:26 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Malwarebytes [2013.03.10 23:37:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.03.10 23:37:10 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2013.03.10 23:37:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.03.10 23:36:44 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\Programs [2013.03.03 19:46:04 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QuickSteuer 2012 [2013.02.28 13:01:15 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WBFSManager [2013.02.28 13:00:03 | 000,000,000 | ---D | C] -- C:\Users\xyz\Documents\WBFS Manager Covers [2013.02.26 13:50:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Check Point [2013.02.26 13:48:22 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Avira [2013.02.26 13:43:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira [2013.02.26 13:42:51 | 000,129,216 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.02.26 13:42:51 | 000,099,912 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.02.26 13:42:51 | 000,027,800 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira [2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira [2013.02.17 13:29:06 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WinZip [2013.02.17 13:28:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip [2013.02.17 13:28:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WinZip [2013.02.15 23:40:10 | 000,000,000 | -HSD | C] -- C:\ProgramData\System Restore ========== Files - Modified Within 30 Days ========== [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe [2013.03.11 18:14:23 | 000,000,000 | ---- | M] () -- C:\Users\xyz\defogger_reenable [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe [2013.03.11 17:48:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.03.11 14:48:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.03.11 14:40:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.03.11 14:40:24 | 3219,791,872 | -HS- | M] () -- C:\hiberfil.sys [2013.03.10 23:37:11 | 000,000,814 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.03.08 20:30:55 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2013.03.08 20:30:55 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2013.03.08 20:30:55 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2013.03.08 20:30:55 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2013.03.08 20:30:55 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2013.03.05 14:50:07 | 000,002,183 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk [2013.02.26 13:53:08 | 000,417,524 | ---- | M] () -- C:\Windows\SysNative\drivers\vsconfig.xml [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys ========== Files Created - No Company Name ========== [2013.03.11 18:14:23 | 000,000,000 | ---- | C] () -- C:\Users\xyz\defogger_reenable [2013.03.11 18:13:07 | 000,050,477 | ---- | C] () -- C:\Users\xyz\Desktop\Defogger.exe [2013.03.10 23:37:11 | 000,000,814 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.21 15:55:22 | 000,393,256 | ---- | C] () -- C:\Windows\SysWow64\CNQ4809N.DAT [2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileOut.cns [2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileIn.cns [2012.01.21 13:30:50 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI [2012.01.21 13:24:36 | 000,000,196 | ---- | C] () -- C:\Windows\ulead32.ini [2012.01.21 13:02:13 | 000,000,000 | ---- | C] () -- C:\Windows\winfile.ini [2012.01.21 13:00:12 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\pxhpinst.exe [2012.01.21 13:00:10 | 000,000,155 | ---- | C] () -- C:\Windows\winamp.ini [2012.01.21 12:17:35 | 000,175,616 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll [2012.01.21 12:17:34 | 000,650,752 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll [2012.01.21 12:17:34 | 000,243,200 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll [2012.01.21 12:17:34 | 000,079,360 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll [2012.01.21 10:50:30 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2012.01.21 10:41:45 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini [2011.11.10 03:36:06 | 000,204,960 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat [2011.11.10 03:36:06 | 000,157,152 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat [2011.11.09 22:39:44 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OpenVideo.dll [2011.11.09 22:39:32 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll [2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2010.07.27 15:59:11 | 014,162,944 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2010.07.27 15:03:24 | 012,867,584 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2012.01.28 17:42:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Auslogics [2012.01.21 13:51:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Blender Foundation [2012.05.21 16:00:57 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Canon [2012.09.05 18:32:13 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\CheckPoint [2012.02.09 18:58:31 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Haufe Mediengruppe [2012.01.30 17:39:53 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Leadertech [2012.02.09 18:53:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Lexware [2012.04.22 08:27:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\SharePod ========== Purity Check ========== < End of report > Code:
ATTFilter OTL logfile created on: 11.03.2013 18:19:17 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\xyz\Desktop 64bit- Enterprise Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 2,68 Gb Available Physical Memory | 66,96% Memory free 7,99 Gb Paging File | 5,90 Gb Available in Paging File | 73,79% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 127,99 Gb Total Space | 52,05 Gb Free Space | 40,67% Space Free | Partition Type: NTFS Drive D: | 337,77 Gb Total Space | 126,27 Gb Free Space | 37,38% Space Free | Partition Type: NTFS Drive E: | 201,63 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: MAGIRUS-DEUTZ | User Name: xyz | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe PRC - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe PRC - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2013.02.26 13:37:28 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe PRC - [2013.01.02 13:38:50 | 000,073,984 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2011.09.16 14:39:24 | 000,115,048 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe PRC - [2010.04.02 09:18:54 | 001,185,112 | ---- | M] (CANON INC.) -- C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe PRC - [2007.06.27 19:04:00 | 001,213,736 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe PRC - [2007.06.27 19:03:40 | 000,152,872 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe ========== Modules (No Company Name) ========== MOD - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ========== Services (SafeList) ========== SRV:64bit: - [2011.11.10 04:11:32 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2011.11.09 22:08:52 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service) SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt) SRV - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon) SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.11.22 15:35:22 | 000,828,072 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) ========== Driver Services (SafeList) ========== DRV:64bit: - [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.12.13 11:49:42 | 000,450,136 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\vsdatant.sys -- (Vsdatant) DRV:64bit: - [2012.02.15 10:01:50 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2011.11.10 04:45:30 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag) DRV:64bit: - [2011.11.10 03:12:44 | 000,325,632 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2011.10.25 09:57:38 | 000,213,504 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc) DRV:64bit: - [2011.10.25 09:57:38 | 000,096,768 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub) DRV:64bit: - [2011.10.24 17:39:54 | 000,066,328 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGSHidFilt.Sys -- (LGSHidFilt) DRV:64bit: - [2011.10.17 18:40:50 | 000,093,712 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService) DRV:64bit: - [2010.05.31 11:46:50 | 000,333,928 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2010.03.02 19:30:20 | 001,301,504 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService) DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64) DRV:64bit: - [2009.12.22 02:26:36 | 000,038,456 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\usbfilter.sys -- (usbfilter) DRV:64bit: - [2009.11.24 02:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid) DRV:64bit: - [2009.11.24 02:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum) DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2009.07.14 02:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.06.10 11:14:36 | 000,043,264 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiBus.sys -- (SaiNtBus) DRV:64bit: - [2009.06.10 11:14:36 | 000,016,000 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiMini.sys -- (SaiMini) DRV:64bit: - [2009.05.18 12:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2009.05.05 09:00:28 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie) DRV:64bit: - [2007.05.01 16:10:50 | 000,171,144 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiH075C.sys -- (SaiH075C) DRV - [2012.11.22 15:35:36 | 000,033,712 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL) DRV - [2011.06.24 06:31:02 | 000,055,424 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5C 5D EC 76 67 97 CD 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..extensions.enabledAddons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3 FF - prefs.js..extensions.enabledAddons: {0b457cAA-602d-484a-8fe7-c1d894a011ba}:0.98.28 FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Tools\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\TRUSTCHECKER [2013.02.26 13:51:15 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2013.02.26 13:51:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.10.22 16:49:27 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions [2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de [2013.02.15 23:34:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions [2013.02.15 23:34:29 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba} [2012.01.21 14:13:43 | 000,634,964 | ---- | M] () (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\firefox\profiles\copq34t7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012.09.04 18:11:59 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2011.12.21 08:42:29 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.12.21 06:08:50 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.12.21 06:02:40 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2011.12.21 06:08:50 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2011.12.21 06:08:50 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011.12.21 06:08:50 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2011.12.21 06:08:50 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter} CHR - homepage: hxxp://www.google.com/ CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\gcswf32.dll CHR - plugin: Shockwave Flash (Disabled) = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll CHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll CHR - plugin: iTunes Application Detector (Enabled) = C:\Tools\iTunes\Mozilla Plugins\npitunes.dll CHR - Extension: The Vampire Diaries 001 = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkhfjdehckdomepilagalhldddpcakk\1_0\ CHR - Extension: YouTube = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Google-Suche = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: Google Mail = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ O1 HOSTS File: ([2012.01.21 14:39:29 | 000,442,426 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.1001-search.info O1 - Hosts: 127.0.0.1 1001-search.info O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.132.com O1 - Hosts: 127.0.0.1 132.com O1 - Hosts: 127.0.0.1 www.136136.net O1 - Hosts: 127.0.0.1 136136.net O1 - Hosts: 127.0.0.1 www.139mm.com O1 - Hosts: 15215 more lines... O2:64bit: - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3:64bit: - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O4:64bit: - HKLM..\Run: [Easy-PrintToolBox] C:\Program Files (x86)\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.) O4:64bit: - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.) O4:64bit: - HKLM..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe (Saitek) O4:64bit: - HKLM..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe (Saitek) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.) O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (VIA) O4 - HKLM..\Run: [LexwareInfoService] C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG) O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [ZoneAlarm] C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C9214DFD-7FC3-44F1-8CDF-D766F740A42E}: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\haufereader - No CLSID value found O18:64bit: - Protocol\Handler\ipp - No CLSID value found O18:64bit: - Protocol\Handler\ipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2013.03.11 18:14:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe [2013.03.10 23:37:26 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Malwarebytes [2013.03.10 23:37:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.03.10 23:37:10 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2013.03.10 23:37:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.03.10 23:36:44 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\Programs [2013.03.03 19:46:04 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QuickSteuer 2012 [2013.02.28 13:01:15 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WBFSManager [2013.02.28 13:00:03 | 000,000,000 | ---D | C] -- C:\Users\xyz\Documents\WBFS Manager Covers [2013.02.26 13:50:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Check Point [2013.02.26 13:48:22 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Avira [2013.02.26 13:43:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira [2013.02.26 13:42:51 | 000,129,216 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.02.26 13:42:51 | 000,099,912 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.02.26 13:42:51 | 000,027,800 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira [2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira [2013.02.17 13:29:06 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WinZip [2013.02.17 13:28:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip [2013.02.17 13:28:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WinZip [2013.02.15 23:40:10 | 000,000,000 | -HSD | C] -- C:\ProgramData\System Restore ========== Files - Modified Within 30 Days ========== [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe [2013.03.11 18:14:23 | 000,000,000 | ---- | M] () -- C:\Users\xyz\defogger_reenable [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe [2013.03.11 17:48:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.03.11 14:48:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.03.11 14:40:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.03.11 14:40:24 | 3219,791,872 | -HS- | M] () -- C:\hiberfil.sys [2013.03.10 23:37:11 | 000,000,814 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.03.08 20:30:55 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2013.03.08 20:30:55 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2013.03.08 20:30:55 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2013.03.08 20:30:55 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2013.03.08 20:30:55 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2013.03.05 14:50:07 | 000,002,183 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk [2013.02.26 13:53:08 | 000,417,524 | ---- | M] () -- C:\Windows\SysNative\drivers\vsconfig.xml [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys ========== Files Created - No Company Name ========== [2013.03.11 18:14:23 | 000,000,000 | ---- | C] () -- C:\Users\xyz\defogger_reenable [2013.03.11 18:13:07 | 000,050,477 | ---- | C] () -- C:\Users\xyz\Desktop\Defogger.exe [2013.03.10 23:37:11 | 000,000,814 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.21 15:55:22 | 000,393,256 | ---- | C] () -- C:\Windows\SysWow64\CNQ4809N.DAT [2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileOut.cns [2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileIn.cns [2012.01.21 13:30:50 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI [2012.01.21 13:24:36 | 000,000,196 | ---- | C] () -- C:\Windows\ulead32.ini [2012.01.21 13:02:13 | 000,000,000 | ---- | C] () -- C:\Windows\winfile.ini [2012.01.21 13:00:12 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\pxhpinst.exe [2012.01.21 13:00:10 | 000,000,155 | ---- | C] () -- C:\Windows\winamp.ini [2012.01.21 12:17:35 | 000,175,616 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll [2012.01.21 12:17:34 | 000,650,752 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll [2012.01.21 12:17:34 | 000,243,200 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll [2012.01.21 12:17:34 | 000,079,360 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll [2012.01.21 10:50:30 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2012.01.21 10:41:45 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini [2011.11.10 03:36:06 | 000,204,960 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat [2011.11.10 03:36:06 | 000,157,152 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat [2011.11.09 22:39:44 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OpenVideo.dll [2011.11.09 22:39:32 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll [2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2010.07.27 15:59:11 | 014,162,944 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2010.07.27 15:03:24 | 012,867,584 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2012.01.28 17:42:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Auslogics [2012.01.21 13:51:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Blender Foundation [2012.05.21 16:00:57 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Canon [2012.09.05 18:32:13 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\CheckPoint [2012.02.09 18:58:31 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Haufe Mediengruppe [2012.01.30 17:39:53 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Leadertech [2012.02.09 18:53:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Lexware [2012.04.22 08:27:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\SharePod ========== Purity Check ========== < End of report > Bei gmer.exe bin ich gescheitert: Das Kästchen "Alle Festplatten ausser System..." gibt es nicht. Ich habe stattdessen alle Festplatten angehakt und einen Komplettscan gemacht. Bei Druck auf den Butten Save passiert allerdings nichts. Daher auch keine Log-Datei vorhanden. So das war es aber jetzt. Jede Menge Lesestoff. Ich hoffe, es ist keiner böse, daß ich so einen langen Beitrag starte, aber es werden ja so viele Daten wie möglich benötigt, um das Problem einzugrenzen. Danke nochmals. Gruß tommes77 |
|
12.03.2013, 12:10
| #3 |
| /// Helfer-Team  | Groupon Trojaner - wie prüfe ich das System richtig? Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast! (Reiter Logdateien) Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Ersetze die Platzhalter wieder in den Benutzernamen zurück! Code:
ATTFilter :OTL
O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\xyz\*.tmp
C:\Users\xyz\AppData\*.dll
C:\Users\xyz\AppData\*.exe
C:\Users\xyz\AppData\Local\Temp\*.exe
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers danach: 3. Schritt Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ |
|
12.03.2013, 18:29
| #4 |
| | Groupon Trojaner - wie prüfe ich das System richtig? Hallo t'John, vielen Dank für die schnelle Antwort. Ich habe alles durchgeführt. Hier die gewünschten Logs: Malwarebytes Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.10.07 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 xyz :: MAGIRUS-DEUTZ [Administrator] Schutz: Aktiviert 10.03.2013 23:38:28 mbam-log-2013-03-10 (23-38-28).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 210492 Laufzeit: 2 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) OTL Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Ommogykey deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\xyz\*.tmp not found.
File\Folder C:\Users\xyz\AppData\*.dll not found.
File\Folder C:\Users\xyz\AppData\*.exe not found.
File\Folder C:\Users\xyz\AppData\Local\Temp\*.exe not found.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\xyz\Desktop\cmd.bat deleted successfully.
C:\Users\xyz\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: xyz
->Temp folder emptied: 346327 bytes
->Temporary Internet Files folder emptied: 617152 bytes
->FireFox cache emptied: 112545407 bytes
->Google Chrome cache emptied: 211681750 bytes
->Flash cache emptied: 2497 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 174530 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes
RecycleBin emptied: 157217 bytes
Total Files Cleaned = 311,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 03122013_175646
Files\Folders moved on Reboot...
C:\Users\xyz\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
MBAR Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org
Database version: v2013.03.12.07
Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
xyz :: MAGIRUS-DEUTZ [administrator]
12.03.2013 18:11:56
mbar-log-2013-03-12 (18-11-56).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27142
Time elapsed: 3 minute(s), 59 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
AdwCleaner Code:
ATTFilter # AdwCleaner v2.114 - Datei am 12/03/2013 um 18:15:57 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise (64 bits)
# Benutzer : xyz - MAGIRUS-DEUTZ
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\xyz\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Gelöscht mit Neustart : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeRIP
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.7600.16385
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v9.0.1 (de)
Datei : C:\Users\xyz\AppData\Roaming\Mozilla\Firefox\Profiles\copq34t7.default\prefs.js
C:\Users\xyz\AppData\Roaming\Mozilla\Firefox\Profiles\copq34t7.default\user.js ... Gelöscht !
[OK] Die Datei ist sauber.
-\\ Google Chrome v25.0.1364.152
Datei : C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[S1].txt - [1358 octets] - [12/03/2013 18:15:57]
########## EOF - C:\AdwCleaner[S1].txt - [1418 octets] ##########
Ich warte dann mal gespannt auf Deine Analyse und ggf. die nächsten Anweisungen. Vielen Dank für Eure tolle Hilfe !! Gruß tommes77 |
|
12.03.2013, 21:00
| #5 |
| /// Helfer-Team | Groupon Trojaner - wie prüfe ich das System richtig? Sehr gut!  Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte  SecurityCheck und:
|
|
14.03.2013, 08:22
| #6 |
| | Groupon Trojaner - wie prüfe ich das System richtig? Hallo t'John, hat alles geklappt. Folgendes kam dabei heraus: aswMBR Code:
ATTFilter aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-03-13 18:34:16
-----------------------------
18:34:16.896 OS Version: Windows x64 6.1.7600
18:34:16.896 Number of processors: 4 586 0x403
18:34:16.897 ComputerName: MAGIRUS-DEUTZ UserName: Henkel
18:34:19.490 Initialize success
18:40:39.177 AVAST engine defs: 13031300
18:42:20.006 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:42:20.007 Disk 0 Vendor: WDC_WD5000AAKS-65YGA0 12.01C02 Size: 476940MB BusType: 3
18:42:20.020 Disk 0 MBR read successfully
18:42:20.022 Disk 0 MBR scan
18:42:20.024 Disk 0 Windows 7 default MBR code
18:42:20.026 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 131061 MB offset 63
18:42:20.029 Disk 0 Partition - 00 0F Extended LBA 345875 MB offset 268414020
18:42:20.046 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 345875 MB offset 268414083
18:42:20.074 Disk 0 scanning C:\Windows\system32\drivers
18:42:24.908 Service scanning
18:42:37.370 Modules scanning
18:42:37.374 Disk 0 trace - called modules:
18:42:37.388 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
18:42:37.392 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004b22060]
18:42:37.395 3 CLASSPNP.SYS[fffff8800184243f] -> nt!IofCallDriver -> [0xfffffa8004a609b0]
18:42:37.398 5 ACPI.sys[fffff88000e84781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8004b0b060]
18:42:38.260 AVAST engine scan C:\Windows
18:42:39.583 AVAST engine scan C:\Windows\system32
18:44:23.974 AVAST engine scan C:\Windows\system32\drivers
18:44:29.620 AVAST engine scan C:\Users\Henkel
18:45:43.460 AVAST engine scan C:\ProgramData
18:47:04.275 Scan finished successfully
18:47:11.839 Disk 0 MBR has been saved successfully to "C:\Users\Henkel\Desktop\MBR.dat"
18:47:11.842 The log file has been saved successfully to "C:\Users\Henkel\Desktop\aswMBR.txt"
ESET Code:
ATTFilter ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=0
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=03a4501f617a6a48ac0422e54dc9cf85
# engine=0
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 05:53:22
# local_time=2013-03-13 06:53:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1799 16775165 100 96 17456 133868507 10241 0
# compatibility_mode=5893 16776573 100 94 81727372 115628653 0 0
# compatibility_mode=9217 16777214 75 4 1317753 1317753 0 0
# scanned=0
# found=0
# cleaned=0
# scan_time=8
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=03a4501f617a6a48ac0422e54dc9cf85
# engine=13375
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 07:31:41
# local_time=2013-03-13 08:31:41 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1799 16775165 100 96 23355 133874406 16140 0
# compatibility_mode=5893 16776573 100 94 81733271 115634552 0 0
# compatibility_mode=9217 16777214 75 4 1320052 1320052 0 0
# scanned=442688
# found=0
# cleaned=0
# scan_time=5682
SecurityCheck Code:
ATTFilter Results of screen317's Security Check version 0.99.59 Windows 7 x64 (UAC is enabled) Out of date service pack!! Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` MVPS Hosts File xp-AntiSpy 3.98-1 Spybot - Search & Destroy Malwarebytes Anti-Malware Version 1.70.0.1100 CCleaner (remove only) Java 7 Update 15 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.4.402.287 Flash Player out of Date! Adobe Reader XI Mozilla Firefox (9.0.1) Google Chrome 25.0.1364.152 Google Chrome 25.0.1364.172 ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Gruß tommes77 |
|
14.03.2013, 10:22
| #7 |
| /// Helfer-Team | Groupon Trojaner - wie prüfe ich das System richtig? Alles Windows Updates einspielen, inkl. Service Pack & Internet Explorer! http://windowsupdate.microsoft.com Aktualisiere:
Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
|
14.03.2013, 21:56
| #8 |
| | Groupon Trojaner - wie prüfe ich das System richtig? N´Abend t'John, war ganz schön langwierig, aber ich hab alles geschafft. Hier die beiden PluginChecks: PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. · Firefox 19.0 ist aktuell · Flash (11,6,602,180) ist aktuell. · Java (1,7,0,17) ist aktuell. · Adobe Reader 11,0,2,0 ist aktuell. PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. · Firefox 19.0 ist aktuell · Flash (11,6,602,180) ist aktuell. · Java ist Installiert aber nicht aktiviert. · Adobe Reader 11,0,2,0 ist aktuell. So, bin gespannt auf Deine nächsten Anweisungen. Und ich gelobe auch Besserung in Bezug auf zukünftige Updates :-) Gruß tommes77 |
|
15.03.2013, 11:17
| #9 |
| /// Helfer-Team | Groupon Trojaner - wie prüfe ich das System richtig? Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
16.03.2013, 23:59
| #10 |
| | Groupon Trojaner - wie prüfe ich das System richtig? Hi t'John, 1000 Dank nochmal für die große und tolle Hilfe!!! Habe mir die ganzen Infos intensiv angesehen und viel dabei gelernt. Ich werde versuchen, alles nach und nach abzuarbeiten. Schönes Wochenende. Gruß tommes777 |
|
17.03.2013, 10:28
| #11 |
| /// Helfer-Team | Groupon Trojaner - wie prüfe ich das System richtig? wuensche eine virenfreie Zeit |
|
| Themen zu Groupon Trojaner - wie prüfe ich das System richtig? |
| adspy/excite.a.3, adspy/mysearch.j, adspy/toolbar.myway.f.2, ccc.exe, dateianhang, dllhost.exe, fehler, groupon, iexplore.exe, infizierte, prozesse, recycle.bin, schutz, services.exe, software, spyware, svchost.exe, taskhost.exe, tr/agent.94208.66, tr/bublik.b.16, tr/inject.fz, tr/jorik.bublik.ca, tr/win9x.flashkiller.g, tr/yakes.cnnh, trojaner, vdeck.exe, windows, winlogon.exe |
Linear-Darstellung
