PUP.LoadTubes + 16-Bit-MS-DOS-Teilsystem

mozh · 18.03.2013, 15:15

Hallo.
Ich weiß nicht genau wie ich anfangen soll aber ich starte einfach mal mit der Schilderung meines Problems und wie es sich bemerkbar gemacht hat:

17.03.2013
Hatte den Rechner ganz normal heruntergefahren ohne Pobleme zu bemerken. Rechner funktionierte "einwandfrei".

18.03.2013
Habe PC hochgefahren. Als erstes fiel mir auf, das mein Benutzerkonto(Admin) nicht mehr da war sondern nurnoch ein zweites Adminkonto(welches ich damals erstellt hatte als ich das System aufgesetzt hatte) vorhanden war. Auf diesem meldete ich mich an. Nach dem Anmelden kam ich auf den Desktop und bekam folgende Meldung:

Zitat:

16 Bit-MS-DOS-Teilsystem

C:\WINDOWS\system32\ctfmon.exe
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:06b7 IP:9104 OP:c7 95 00 01 01 Klicken Sie auf "Schließen", um die Anwendung zu beenden.

Daraufhin wunderte ich mich erstmal wieso ich nicht, wie gewohnt, automatisch in mein übliches Adminkonto eingeloggt wurde sondern in das noch nie benutzte zweitadminkonto.
Das fehlende konto wird bisher auch nicht mehr in der kontenverwaltung aufgeführt.
Danach installierte ich Malwarebytes Anti-Malware und startete einen Quickscan. Dieser lieferte folgendes Ergebnis :

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.18.07

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
nerzhul :: NERZHUL-HOME [Administrator]

18.03.2013 14:10:19
MBAM-log-2013-03-18 (14-14-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300792
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.

(Ende)

Ich habe dann den Fund gelöscht und danach nochmal ein Suchlauf gestartet bei dem dann nichts mehr gefunden wurde.
Dennoch ist mein konto weiterhin verschwunden und die oben beschriebene Meldung "16 Bit MS-DOS-Teilsystem" erscheint weiterhin.
Ich hoffe es kann mir jemand helfen.

Grüße

cosinus · 18.03.2013, 15:39

Hallo und

Zitat:

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180

Wieso fehlt diesem XP-Rechner das SP3 und IE8?

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

mozh · 18.03.2013, 16:23

Danke für deine schnelle Antwort.

Hier der Bericht in Code Tags :

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.18.07

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
nerzhul :: NERZHUL-HOME [Administrator]

18.03.2013 14:10:19
MBAM-log-2013-03-18 (14-14-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300792
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Programme\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Keine Aktion durchgeführt.

(Ende)

Der IE ist nicht auf dem neusten Stand weil ich ihn nicht benutze. Würde ihn auch lieber entfernen als ein Update zu machen. aber ich weiß worauf du hinaus willst.
Das SP3 habe ich einfach nicht drauf. Würde sagen aus Faulheit. Aber wenn das Problem gelöst ist werde ich es sofort installieren.

Ich muss gestehen das ich inzwischen ein wenig rumprobiert habe und sich das Problem offensichtlich evtl. gelöst hat.

Zitat:

16 Bit-MS-DOS-Teilsystem

C:\WINDOWS\system32\ctfmon.exe
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:06b7 IP:9104 OP:c7 95 00 01 01 Klicken Sie auf "Schließen", um die Anwendung zu beenden.

Diese Meldung konnte ich folgendermaßen beheben :

Start -> Ausführen -> "msconfig" eingeben -> Systemstart -> Haken bei ctfmon "entfernen" und pc neu starten.
Danach bekam ich die Fehlermeldung nicht mehr.

An mein Administrator Konto bin ich wie folgt gekommen :
Ich habe auf der Willkommensseite von WinXP, wo die einzelnen konten aufgelistet sind, zweimal "strg+alt+entf" gedrückt und habe dann als Benutzername "Administrator" eingeben und das dazugehörige PW und schon war ich wieder in meinem alten Konto.

Trotzdem würde ich gerne die Ursache dieser Probleme kennen und werde deinen Anweisungen weiter folgen.

Grüße

cosinus · 18.03.2013, 16:33

Wieso postest du die gleichen Logs nochmal, ich wollte eigentlich wissen ob du andere Logs mit weiteren Funde hast

mozh · 18.03.2013, 16:45

Achso, ich dachte du wolltest den Log in Code anstatt in Quote Tags.

Nein, habe keine weitern Scans gemacht und damit auch keine weiteren Logs.

cosinus · 18.03.2013, 16:48

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Erstmal eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in CODE-Tags in den Thread.

mozh · 19.03.2013, 10:09

Code:

ATTFilter

OTL logfile created on: 19.03.2013 09:52:08 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,79 Gb Available Physical Memory | 52,48% Memory free
3,35 Gb Paging File | 2,59 Gb Available in Paging File | 77,17% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,91 Gb Free Space | 61,21% Space Free | Partition Type: NTFS
Drive D: | 341,80 Gb Total Space | 138,02 Gb Free Space | 40,38% Space Free | Partition Type: NTFS
 
Computer Name: NERZHUL-HOME | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
PRC - C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\ASUS Xonar DG Audio\CustomApp\Program\AsusAudioCenter.exe (CMedia)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\ASUS Xonar DG Audio\CustomApp\Program\MXmon.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Razer\Lachesis\razerhid.exe ()
PRC - C:\WINDOWS\system\HsMgr.exe ()
PRC - C:\Programme\Razer\Lachesis\razerofa.exe (Razer Inc.)
PRC - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\ASUS Xonar DG Audio\CustomApp\Program\MXmon.exe ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ()
MOD - C:\Programme\Razer\Lachesis\razerhid.exe ()
MOD - C:\WINDOWS\system\HsMgr.exe ()
MOD - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (vsmon) -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe (Check Point Software Technologies LTD)
SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (StyleXPService) -- C:\Programme\TGTSoft\StyleXP\StyleXPService.exe ()
SRV - (WmcCds) -- c:\Programme\Windows Media Connect\mswmccds.exe (Microsoft Corporation)
SRV - (WmcCdsLs) -- C:\Programme\Windows Media Connect\mswmcls.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (ALCXWDM) -- system32\drivers\ALCXWDM.SYS File not found
DRV - (Vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (cmudaxp) -- C:\WINDOWS\system32\drivers\cmudaxp.sys (C-Media Inc)
DRV - (SSHDRV65) -- C:\WINDOWS\system32\drivers\SSHDRV65.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (LachesisFltr) -- C:\WINDOWS\system32\drivers\Lachesis.sys (Razer (Asia-Pacific) Pte Ltd)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (StyleXPHelper) -- C:\Programme\TGTSoft\StyleXP\StyleXPHelper.exe (Windows (R) 2000 DDK provider)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com?o=15003&l=dis
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=E8B9D59E-4332-4D92-AC51-7776AC997543&apn_sauid=ADAEC96F-7F8E-4F7C-AD21-2D754F26E42C
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550
IE - HKU\S-1-5-21-796845957-1364589140-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "foxsearch"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.icewars.de/index.php?action=login"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}:6.0.31
FF - prefs.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
FF - user.js..keyword.URL: "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2012.03.25 16:32:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\ff\ [2013.02.05 18:33:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 18:31:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2010.07.18 18:37:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2013.01.08 12:49:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\atb89tj0.default\extensions
[2012.11.23 20:03:51 | 000,804,627 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\atb89tj0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.03.08 18:31:15 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.03.08 18:31:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.03.08 18:31:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2013.03.08 18:31:22 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.08.23 15:48:01 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.10.03 02:29:50 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.08.23 15:48:01 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.11.14 22:44:10 | 000,000,143 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\foxsearch.src
[2012.08.23 15:48:01 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.08.23 15:48:01 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.08.23 15:48:01 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR - homepage: hxxp://icewars.de/index.php?action=login
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\25.0.1364.172\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\25.0.1364.172\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\25.0.1364.172\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\NPAPIFlash\gcswf32.dll
CHR - plugin: Free Studio (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.1.0_0\np_dvs_plugin.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Gutscheinmieze-Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\npmieze.dll
CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.129\npGoogleUpdate3.dll
CHR - plugin: npFFApi (Enabled) = C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll
CHR - plugin: Java(TM) Platform SE 6 U37 (Enabled) = C:\Programme\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll
CHR - plugin: Java Deployment Toolkit 6.0.370.6 (Enabled) = C:\WINDOWS\system32\npdeployJava1.dll
CHR - Extension: Google Drive = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: DVDVideoSoft Browser Extension = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.1.2_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2004.11.11 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (DVDVideoSoft WebPageAdjuster Class) - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-796845957-1364589140-725345543-500\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cmaudio8788] RunDll32 cmicnfgp.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [Cmaudio8788GX] C:\WINDOWS\system\HsMgr.exe ()
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP)
O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ZoneAlarm] C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-21-796845957-1364589140-725345543-1006..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-796845957-1364589140-725345543-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKU\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O8 - Extra context menu item: Free YouTube Download - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytvdownloader.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\plugins\freeytmp3downloader.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O9 - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{90A4BCAE-AF84-443E-B964-C140FCDC7B5D}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{90A4BCAE-AF84-443E-B964-C140FCDC7B5D}: NameServer = 192.168.178.1
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.18 15:46:08 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.03.06 19:03:59 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.19 00:28:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.03.18 16:04:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2013.03.18 14:09:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.03.18 14:08:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.03.18 14:08:52 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.18 14:08:52 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.03.18 11:34:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Überweisungen
[2013.03.12 20:26:52 | 000,262,560 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013.03.12 20:26:52 | 000,143,872 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javacpl.cpl
[2013.03.12 20:26:44 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013.03.12 20:26:44 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013.03.12 20:26:44 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.03.12 20:26:30 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2013.03.08 18:31:14 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.02.23 13:31:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\My Videos
[2013.02.21 14:18:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\World of Tanks - Common Test
[2013.02.21 12:49:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\gctmp
[2013.02.21 12:49:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Xenocode
[2013.02.20 12:47:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.02.20 11:26:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2013.02.18 11:59:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Auslogics
[2013.02.18 11:59:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Auslogics
[2013.02.18 11:59:48 | 000,000,000 | ---D | C] -- C:\Programme\Auslogics
[2013.02.18 11:35:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ForceField Shared Files
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.19 09:53:00 | 000,000,242 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2013.03.19 09:33:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.19 00:26:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.19 00:04:00 | 000,001,242 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-796845957-1364589140-725345543-500UA.job
[2013.03.18 23:04:00 | 000,001,190 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-796845957-1364589140-725345543-500Core.job
[2013.03.18 21:26:11 | 001,074,560 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.03.18 21:26:11 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.03.18 21:26:06 | 001,074,560 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.03.18 16:26:19 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2013.03.18 14:09:01 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.14 17:22:39 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.13 11:26:42 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.03.13 11:26:42 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.03.12 20:26:35 | 000,094,112 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.03.12 20:26:33 | 000,861,088 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\npdeployJava1.dll
[2013.03.12 20:26:33 | 000,782,240 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\deployJava1.dll
[2013.03.12 20:26:33 | 000,262,560 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013.03.12 20:26:33 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013.03.12 20:26:33 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013.03.12 20:26:33 | 000,143,872 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javacpl.cpl
[2013.03.10 10:26:08 | 000,000,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Diablo II.exe.lnk
[2013.03.03 12:49:37 | 000,101,888 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.02.21 12:56:30 | 000,000,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Fraps.exe.lnk
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.18 14:09:01 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.10 10:26:08 | 000,000,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Diablo II.exe.lnk
[2013.02.21 12:56:30 | 000,000,610 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Fraps.exe.lnk
[2013.02.16 13:46:59 | 001,074,560 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.02.16 13:46:59 | 001,074,560 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.02.16 13:46:59 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.02.16 13:46:45 | 002,284,064 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2013.02.14 16:41:14 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2012.11.14 19:25:34 | 000,000,164 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2012.11.14 19:25:34 | 000,000,048 | ---- | C] () -- C:\WINDOWS\System32\cmasiop.ini
[2012.11.14 19:25:13 | 000,003,569 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfg
[2012.11.14 19:25:01 | 000,000,558 | ---- | C] () -- C:\WINDOWS\cmudaxp.ini
[2012.08.07 06:10:06 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.08.04 13:30:45 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2012.04.16 22:52:06 | 000,097,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2010.11.11 19:03:52 | 000,000,125 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.07.24 15:29:56 | 000,101,888 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.18 15:52:11 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2010.07.18 15:47:00 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2004.09.29 19:47:53 | 001,483,776 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2004.11.11 13:00:00 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2004.11.11 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

< End of report >

Code:

ATTFilter

OTL Extras logfile created on: 19.03.2013 09:52:08 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,50 Gb Total Physical Memory | 0,79 Gb Available Physical Memory | 52,48% Memory free
3,35 Gb Paging File | 2,59 Gb Available in Paging File | 77,17% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 23,91 Gb Free Space | 61,21% Space Free | Partition Type: NTFS
Drive D: | 341,80 Gb Total Space | 138,02 Gb Free Space | 40,38% Space Free | Partition Type: NTFS
 
Computer Name: NERZHUL-HOME | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML.ET2MP22TDW6HB6RFM7ZWIEQCGY] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Programmexampp\xampp\mysql\bin\mysqld.exe" = C:\Programmexampp\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"D:\SpieleSingularity\Binaries\Singularity.exe" = D:\SpieleSingularity\Binaries\Singularity.exe:*:Enabled:Singularity
"D:\Spiele\COD4\iw3mp.exe" = D:\Spiele\COD4\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)  -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"{15C165F1-1DAE-4476-AFB6-8723729B41E7}" = hp deskjet 5100
"{1EAC1D02-C6AC-4FA6-9A44-96258C37C812}_is1" = World of Tanks
"{1EAC1D02-C6AC-4FA6-9A44-96258C37C812CT}_is1" = World of Tanks - Common Test
"{1EAC1D02-C6AC-4FA6-9A44-96258C37C813}_is1" = World of Warplanes
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{2B120B1D-1908-4FB3-8C9D-72128A74E80A}" = ZoneAlarm Security
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4C552FD3-2CCD-4E00-AC64-0681DBB3F8B5}" = OpenOffice.org 3.4
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8B922CF8-8A6C-41CE-A858-F1755D7F5D29}" = NVIDIA PhysX
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A386CC19-1E79-4D4C-A54B-C8747871E4AD}" = ZoneAlarm Firewall
"{AB67580-257C-45FF-B8F4-C8C30682091A}_is1" = SIW version 2011.10.29
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 310.90
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 310.90
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 136.53
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.1031
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.11.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CB4532F7-A1BD-46D2-9938-3E7D4656FB18}" = Razer Lachesis
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA17F4FC-FDBF-4CF8-A529-2D983132D053}" = Skype™ 6.0
"{F400BA3B-B134-4701-8536-68A99CD44F5A}" = Far Cry (OEM)
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"0D91165CEEB2095316E8A04A59CDF0AE4B957C61" = Windows Driver Package - MOTOROLA (uisp) USB  (09/08/2006 1.2.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"C-Media Oxygen HD Sound" = ASUS Xonar DG Audio
"D44822B3621EFD220D3A7DDA72DE5A4B6476748F" = Windows Driver Package - Razer (HidUsb) HIDClass  (05/10/2007 1.00)
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei)
"Fraps" = Fraps (remove only)
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.12.0.128
"ImgBurn" = ImgBurn
"InstallShield_{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{F400BA3B-B134-4701-8536-68A99CD44F5A}" = Far Cry (OEM)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"mIRC" = mIRC
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PokerStars.eu" = PokerStars.eu
"PokerStars.net" = PokerStars.net
"SopCast" = SopCast 3.5.0
"StyleXP" = StyleXP (remove only)
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"VLC media player" = VLC media player 2.0.5
"Windows Media Connect" = Windows Media Connect
"WinRAR archiver" = WinRAR
"World of Warcraft" = World of Warcraft
"ZoneAlarm Free" = ZoneAlarm Free
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-796845957-1364589140-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 21.11.2012 15:59:35 | Computer Name = NERZHUL-HOME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sopcast.exe, Version 3.2.9.329, fehlgeschlagenes
 Modul sopcast.exe, Version 3.2.9.329, Fehleradresse 0x00033823.
 
Error - 03.12.2012 11:06:07 | Computer Name = NERZHUL-HOME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung razercfg.exe, Version 1.0.0.1, fehlgeschlagenes
 Modul razercfg.exe, Version 1.0.0.1, Fehleradresse 0x0000d0a7.
 
Error - 08.01.2013 17:04:09 | Computer Name = NERZHUL-HOME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung razercfg.exe, Version 1.0.0.1, fehlgeschlagenes
 Modul razercfg.exe, Version 1.0.0.1, Fehleradresse 0x0000d0a7.
 
Error - 01.02.2013 05:46:09 | Computer Name = NERZHUL-HOME | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
[ System Events ]
Error - 18.03.2013 05:31:22 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 07:09:06 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 08:44:16 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 08:56:41 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 09:33:19 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 10:25:41 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 10:43:12 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 11:01:01 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 18.03.2013 13:56:53 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
Error - 19.03.2013 04:39:07 | Computer Name = NERZHUL-HOME | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1460
 
 
< End of report >

cosinus · 19.03.2013, 12:34

Zitat:

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Warum bitte eine Professional-Edition für Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?

Rootkitscan mit GMER

Bitte lade dir

GMER herunter: (Dateiname zufällig)

Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
Entferne rechts den Haken bei: IAT/EAT und Show All
Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

Probiere alternativ den abgesicherten Modus.
Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

mozh · 20.03.2013, 12:27

Code:

ATTFilter

GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-20 12:11:51
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-3 WDC_WD5000AAKB-00H8A0 rev.05.04E05 465,76GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fftdypog.sys


---- System - GMER 2.1 ----

SSDT            B86EC57C                                                                                                                                ZwClose
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwConnectPort [0xB48E32F4]
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwCreateFile [0xB48DD5CA]
SSDT            B86EC536                                                                                                                                ZwCreateKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwCreatePort [0xB48E3A80]
SSDT            B86EC586                                                                                                                                ZwCreateSection
SSDT            B86EC52C                                                                                                                                ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwCreateWaitablePort [0xB48E3BB6]
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwDeleteFile [0xB48DE1E0]
SSDT            B86EC53B                                                                                                                                ZwDeleteKey
SSDT            B86EC545                                                                                                                                ZwDeleteValueKey
SSDT            B86EC577                                                                                                                                ZwDuplicateObject
SSDT            B86EC54A                                                                                                                                ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwLoadKey2 [0xB48FE99C]
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwOpenFile [0xB48DDDF2]
SSDT            B86EC518                                                                                                                                ZwOpenProcess
SSDT            B86EC51D                                                                                                                                ZwOpenThread
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwRenameKey [0xB48FF72A]
SSDT            B86EC554                                                                                                                                ZwReplaceKey
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwRequestWaitReplyPort [0xB48E2EC4]
SSDT            B86EC54F                                                                                                                                ZwRestoreKey
SSDT            B86EC58B                                                                                                                                ZwSetContextThread
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwSetInformationFile [0xB48DE5A4]
SSDT            \SystemRoot\System32\vsdatant.sys                                                                                                       ZwSetSecurityObject [0xB48FFC6A]
SSDT            B86EC540                                                                                                                                ZwSetValueKey
SSDT            B86EC527                                                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                section is writeable [0xB703B3C0, 0x706FCA, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text           C:\Programme\Java\jre7\bin\jqs.exe[476] ntdll.dll!NtAccessCheckByType                                                                   7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] ntdll.dll!NtImpersonateClientOfPort                                                             7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] ntdll.dll!NtSetInformationProcess                                                               7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] kernel32.dll!OpenProcess                                                                        7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] ADVAPI32.dll!ImpersonateNamedPipeClient                                                         77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] ADVAPI32.dll!SetThreadToken                                                                     77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] USER32.dll!FindWindowA                                                                          7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Java\jre7\bin\jqs.exe[476] USER32.dll!FindWindowW                                                                          7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] ntdll.dll!NtAccessCheckByType                                                                      7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] ntdll.dll!NtImpersonateClientOfPort                                                                7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] ntdll.dll!NtSetInformationProcess                                                                  7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] kernel32.dll!OpenProcess                                                                           7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] ADVAPI32.dll!ImpersonateNamedPipeClient                                                            77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] ADVAPI32.dll!SetThreadToken                                                                        77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] USER32.dll!FindWindowA                                                                             7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\nvsvc32.exe[520] USER32.dll!FindWindowW                                                                             7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] ntdll.dll!NtAccessCheckByType                                       7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] ntdll.dll!NtImpersonateClientOfPort                                 7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] ntdll.dll!NtSetInformationProcess                                   7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] kernel32.dll!OpenProcess                                            7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] ADVAPI32.dll!ImpersonateNamedPipeClient                             77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] ADVAPI32.dll!SetThreadToken                                         77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] USER32.dll!FindWindowA                                              7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[560] USER32.dll!FindWindowW                                              7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\winlogon.exe[668] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] ntdll.dll!NtAccessCheckByType                                                             7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] ntdll.dll!NtImpersonateClientOfPort                                                       7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] ntdll.dll!NtSetInformationProcess                                                         7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] kernel32.dll!OpenProcess                                                                  7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] USER32.dll!FindWindowA                                                                    7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] USER32.dll!FindWindowW                                                                    7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] ADVAPI32.dll!ImpersonateNamedPipeClient                                                   77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerofa.exe[688] ADVAPI32.dll!SetThreadToken                                                               77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\services.exe[712] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] ntdll.dll!NtAccessCheckByType                                                                        7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] ntdll.dll!NtImpersonateClientOfPort                                                                  7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] ntdll.dll!NtSetInformationProcess                                                                    7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] ADVAPI32.dll!ImpersonateNamedPipeClient                                                              77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] ADVAPI32.dll!SetThreadToken                                                                          77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] USER32.dll!FindWindowA                                                                               7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\lsass.exe[724] USER32.dll!FindWindowW                                                                               7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\RunDLL32.exe[852] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] ntdll.dll!NtAccessCheckByType                                                                      7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] ntdll.dll!NtImpersonateClientOfPort                                                                7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] ntdll.dll!NtSetInformationProcess                                                                  7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] kernel32.dll!OpenProcess                                                                           7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!ImpersonateNamedPipeClient                                                            77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] ADVAPI32.dll!SetThreadToken                                                                        77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] USER32.dll!FindWindowA                                                                             7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[904] USER32.dll!FindWindowW                                                                             7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] ntdll.dll!NtAccessCheckByType                                                                      7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] ntdll.dll!NtImpersonateClientOfPort                                                                7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] ntdll.dll!NtSetInformationProcess                                                                  7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] kernel32.dll!OpenProcess                                                                           7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!ImpersonateNamedPipeClient                                                            77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] ADVAPI32.dll!SetThreadToken                                                                        77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] USER32.dll!FindWindowA                                                                             7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[952] USER32.dll!FindWindowW                                                                             7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] ntdll.dll!NtAccessCheckByType                                                        7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] ntdll.dll!NtImpersonateClientOfPort                                                  7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] ntdll.dll!NtSetInformationProcess                                                    7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] kernel32.dll!OpenProcess                                                             7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] USER32.dll!FindWindowA                                                               7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] USER32.dll!FindWindowW                                                               7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] ADVAPI32.dll!ImpersonateNamedPipeClient                                              77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Avira\AntiVir Desktop\avgnt.exe[1008] ADVAPI32.dll!SetThreadToken                                                          77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[1048] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] ntdll.dll!NtAccessCheckByType                                                                         7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] ntdll.dll!NtImpersonateClientOfPort                                                                   7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] ntdll.dll!NtSetInformationProcess                                                                     7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] kernel32.dll!OpenProcess                                                                              7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] USER32.dll!FindWindowA                                                                                7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] USER32.dll!FindWindowW                                                                                7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] ADVAPI32.dll!ImpersonateNamedPipeClient                                                               77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\alg.exe[1104] ADVAPI32.dll!SetThreadToken                                                                           77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1176] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] ntdll.dll!NtAccessCheckByType                                                                      7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] ntdll.dll!NtImpersonateClientOfPort                                                                7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] ntdll.dll!NtSetInformationProcess                                                                  7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] kernel32.dll!OpenProcess                                                                           7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] ADVAPI32.dll!ImpersonateNamedPipeClient                                                            77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] ADVAPI32.dll!SetThreadToken                                                                        77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] USER32.dll!FindWindowA                                                                             7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wdfmgr.exe[1240] USER32.dll!FindWindowW                                                                             7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\svchost.exe[1248] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\CheckPoint\ZAForceField\IswSvc.exe[1612] kernel32.dll!OpenProcess                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\CheckPoint\ZAForceField\IswSvc.exe[1612] USER32.dll!DefDlgProcW + 56E                                                      7E3742A8 5 Bytes  JMP 20CB9270 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\spoolsv.exe[1672] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] ntdll.dll!NtAccessCheckByType                                                            7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] ntdll.dll!NtImpersonateClientOfPort                                                      7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] ntdll.dll!NtSetInformationProcess                                                        7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] kernel32.dll!OpenProcess                                                                 7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] USER32.dll!FindWindowA                                                                   7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] USER32.dll!FindWindowW                                                                   7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] ADVAPI32.dll!ImpersonateNamedPipeClient                                                  77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Razer\Lachesis\razerhid.exe[2120] ADVAPI32.dll!SetThreadToken                                                              77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ntdll.dll!NtAccessCheckByType                                                                         7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ntdll.dll!NtImpersonateClientOfPort                                                                   7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ntdll.dll!NtSetInformationProcess                                                                     7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] kernel32.dll!OpenProcess                                                                              7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] USER32.dll!FindWindowA                                                                                7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] USER32.dll!FindWindowW                                                                                7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ADVAPI32.dll!ImpersonateNamedPipeClient                                                               77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ADVAPI32.dll!SetThreadToken                                                                           77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ole32.dll!CoCreateInstanceEx                                                                          774D0526 5 Bytes  JMP 1000A630 C:\WINDOWS\system\HsSrv.dll
.text           C:\WINDOWS\system\HsMgr.exe[2224] ole32.dll!CoCreateInstance                                                                            774D057E 5 Bytes  JMP 1000A4D0 C:\WINDOWS\system\HsSrv.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] ntdll.dll!NtAccessCheckByType                                        7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] ntdll.dll!NtImpersonateClientOfPort                                  7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] ntdll.dll!NtSetInformationProcess                                    7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] kernel32.dll!OpenProcess                                             7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] ADVAPI32.dll!ImpersonateNamedPipeClient                              77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] ADVAPI32.dll!SetThreadToken                                          77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] USER32.dll!FindWindowA                                               7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe[2420] USER32.dll!FindWindowW                                               7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\System32\svchost.exe[2540] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] ntdll.dll!NtAccessCheckByType                              7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] ntdll.dll!NtImpersonateClientOfPort                        7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] ntdll.dll!NtSetInformationProcess                          7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] kernel32.dll!OpenProcess                                   7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] ADVAPI32.dll!ImpersonateNamedPipeClient                    77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] ADVAPI32.dll!SetThreadToken                                77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] USER32.dll!FindWindowA                                     7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\ASUSAUDIOCENTER.EXE[2568] USER32.dll!FindWindowW                                     7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ntdll.dll!NtAccessCheckByType                                        7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ntdll.dll!NtImpersonateClientOfPort                                  7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ntdll.dll!NtSetInformationProcess                                    7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] kernel32.dll!OpenProcess                                             7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ADVAPI32.dll!ImpersonateNamedPipeClient                              77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ADVAPI32.dll!SetThreadToken                                          77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] USER32.dll!FindWindowA                                               7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] USER32.dll!FindWindowW                                               7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ole32.dll!CoCreateInstanceEx                                         774D0526 5 Bytes  JMP 1000A630 C:\WINDOWS\system\HsSrv.dll
.text           C:\Programme\ASUS Xonar DG Audio\Customapp\Program\MXMon.exe[2672] ole32.dll!CoCreateInstance                                           774D057E 5 Bytes  JMP 1000A4D0 C:\WINDOWS\system\HsSrv.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ntdll.dll!NtAccessCheckByType            7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ntdll.dll!NtImpersonateClientOfPort      7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ntdll.dll!NtSetInformationProcess        7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] kernel32.dll!OpenProcess                 7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] USER32.dll!FindWindowA                   7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] USER32.dll!FindWindowW                   7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ADVAPI32.dll!ImpersonateNamedPipeClient  77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ADVAPI32.dll!SetThreadToken              77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ole32.dll!CoCreateInstanceEx             774D0526 5 Bytes  JMP 1000A630 C:\WINDOWS\system\HsSrv.dll
.text           C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19155.exe[3076] ole32.dll!CoCreateInstance               774D057E 5 Bytes  JMP 1000A4D0 C:\WINDOWS\system\HsSrv.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] ntdll.dll!NtAccessCheckByType                                                                     7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] ntdll.dll!NtImpersonateClientOfPort                                                               7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] ntdll.dll!NtSetInformationProcess                                                                 7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] kernel32.dll!OpenProcess                                                                          7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] USER32.dll!FindWindowA                                                                            7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] USER32.dll!FindWindowW                                                                            7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] ADVAPI32.dll!ImpersonateNamedPipeClient                                                           77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\system32\wscntfy.exe[4064] ADVAPI32.dll!SetThreadToken                                                                       77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] ntdll.dll!NtAccessCheckByType                                                                             7C91CE70 5 Bytes  JMP 20CB8791 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] ntdll.dll!NtImpersonateClientOfPort                                                                       7C91D3E0 5 Bytes  JMP 20CB8D58 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] ntdll.dll!NtSetInformationProcess                                                                         7C91DC80 5 Bytes  JMP 20CB89AB C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] kernel32.dll!OpenProcess                                                                                  7C8309D1 5 Bytes  JMP 20CB846C C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] ADVAPI32.dll!ImpersonateNamedPipeClient                                                                   77DA7416 5 Bytes  JMP 20CB8E5D C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] ADVAPI32.dll!SetThreadToken                                                                               77DAF183 5 Bytes  JMP 20CB9036 C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] USER32.dll!FindWindowA                                                                                    7E3782E1 5 Bytes  JMP 20CB828F C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.text           C:\WINDOWS\Explorer.EXE[4084] USER32.dll!FindWindowW                                                                                    7E37C9C3 5 Bytes  JMP 20CB825A C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

---- Devices - GMER 2.1 ----

Device          \Driver\Tcpip \Device\Ip                                                                                                                vsdatant.sys
Device          \Driver\Tcpip \Device\Tcp                                                                                                               vsdatant.sys
Device          \Driver\Tcpip \Device\Udp                                                                                                               vsdatant.sys
Device          \Driver\Tcpip \Device\RawIp                                                                                                             vsdatant.sys
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                                       vsdatant.sys

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                fltmgr.sys

---- Registry - GMER 2.1 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Video\{E34933FC-C4A9-47FF-BE7E-D6FF53DD05EF}\0000@D3D_\x3332\x3331                                2089309684
Reg             HKLM\SYSTEM\ControlSet003\Control\Video\{E34933FC-C4A9-47FF-BE7E-D6FF53DD05EF}\0000@D3D_\x3332\x3331                                    2089309684

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                                                                                                                   unknown MBR code

---- EOF - GMER 2.1 ----

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.20.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: NERZHUL-HOME [administrator]

20.03.2013 12:25:17
mbar-log-2013-03-20 (12-25-17).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25640
Time elapsed: 5 minute(s), 11 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus · 20.03.2013, 13:52

Würdest du bitte meine Frage noch beantworten?

mozh · 20.03.2013, 14:06

Zitat:

Warum bitte eine Professional-Edition für Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?

Habe die Version damals von meinem Vater bekommen weil er sie nicht mehr brauchte
Edit: Und : Nein, es ist kein Büro-/Firmen-PC bzw. ein Uni-Rechner.

cosinus · 20.03.2013, 14:39

Ok, danke für die Erklärung

aswMBR

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

TDSS-Killer

Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

mozh · 20.03.2013, 15:56

Code:

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-20 15:37:14
-----------------------------
15:37:14.968    OS Version: Windows 5.1.2600 Service Pack 3
15:37:14.968    Number of processors: 2 586 0x2302
15:37:14.984    ComputerName: NERZHUL-HOME  UserName: 
15:37:15.828    Initialize success
15:40:15.218    AVAST engine defs: 13032000
15:40:38.953    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-3
15:40:38.953    Disk 0 Vendor: WDC_WD5000AAKB-00H8A0 05.04E05 Size: 476940MB BusType: 3
15:40:39.265    Disk 0 MBR read successfully
15:40:39.265    Disk 0 MBR scan
15:40:39.500    Disk 0 unknown MBR code
15:40:39.515    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        39997 MB offset 63
15:40:39.750    Disk 0 Partition - 00     0F Extended LBA            350002 MB offset 81915435
15:40:39.765    Disk 0 Partition 2 00     83        Linux             81250 MB offset 798719670
15:40:39.828    Disk 0 Partition 3 00     82   Linux swap              2863 MB offset 965120940
15:40:39.906    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       350002 MB offset 81915498
15:40:40.046    Disk 0 scanning sectors +970984665
15:40:40.218    Disk 0 scanning C:\WINDOWS\system32\drivers
15:40:55.937    Service scanning
15:41:08.140    Modules scanning
15:41:11.078    Disk 0 trace - called modules:
15:41:11.078    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
15:41:11.078    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a1aaab8]
15:41:11.078    3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\00000061[0x8a243340]
15:41:11.078    5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-3[0x8a1ab940]
15:41:11.500    AVAST engine scan C:\WINDOWS
15:41:14.859    AVAST engine scan C:\WINDOWS\system32
15:44:20.375    AVAST engine scan C:\WINDOWS\system32\drivers
15:44:34.937    AVAST engine scan C:\Dokumente und Einstellungen\Administrator
15:48:54.953    AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:49:33.125    Scan finished successfully
15:49:54.531    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\MBR.dat"
15:49:54.531    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Administrator\Desktop\aswMBR.txt"

Code:

ATTFilter

15:52:03.0984 2052  TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
15:52:04.0312 2052  ============================================================
15:52:04.0312 2052  Current date / time: 2013/03/20 15:52:04.0312
15:52:04.0312 2052  SystemInfo:
15:52:04.0312 2052  
15:52:04.0312 2052  OS Version: 5.1.2600 ServicePack: 3.0
15:52:04.0312 2052  Product type: Workstation
15:52:04.0312 2052  ComputerName: NERZHUL-HOME
15:52:04.0312 2052  UserName: Administrator
15:52:04.0312 2052  Windows directory: C:\WINDOWS
15:52:04.0312 2052  System windows directory: C:\WINDOWS
15:52:04.0312 2052  Processor architecture: Intel x86
15:52:04.0312 2052  Number of processors: 2
15:52:04.0312 2052  Page size: 0x1000
15:52:04.0312 2052  Boot type: Normal boot
15:52:04.0312 2052  ============================================================
15:52:05.0328 2052  Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
15:52:05.0343 2052  ============================================================
15:52:05.0343 2052  \Device\Harddisk0\DR0:
15:52:05.0343 2052  MBR partitions:
15:52:05.0343 2052  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4E1EDEC
15:52:05.0343 2052  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x4E1EE6A, BlocksNum 0x2AB9904C
15:52:05.0343 2052  ============================================================
15:52:05.0359 2052  D: <-> \Device\Harddisk0\DR0\Partition2
15:52:05.0375 2052  C: <-> \Device\Harddisk0\DR0\Partition1
15:52:05.0375 2052  ============================================================
15:52:05.0375 2052  Initialize success
15:52:05.0375 2052  ============================================================
15:53:02.0125 2388  ============================================================
15:53:02.0125 2388  Scan started
15:53:02.0125 2388  Mode: Manual; SigCheck; TDLFS; 
15:53:02.0125 2388  ============================================================
15:53:02.0625 2388  ================ Scan system memory ========================
15:53:02.0625 2388  System memory - ok
15:53:02.0625 2388  ================ Scan services =============================
15:53:02.0687 2388  Abiosdsk - ok
15:53:02.0687 2388  abp480n5 - ok
15:53:02.0718 2388  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:53:02.0906 2388  ACPI - ok
15:53:02.0937 2388  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\drivers\ACPIEC.sys
15:53:03.0031 2388  ACPIEC - ok
15:53:03.0078 2388  [ EA856F4A46320389D1899B2CAA7BF40F ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
15:53:03.0093 2388  AdobeFlashPlayerUpdateSvc - ok
15:53:03.0109 2388  adpu160m - ok
15:53:03.0140 2388  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
15:53:03.0250 2388  aec - ok
15:53:03.0265 2388  [ 322D0E36693D6E24A2398BEE62A268CD ] AFD             C:\WINDOWS\System32\drivers\afd.sys
15:53:03.0375 2388  AFD - ok
15:53:03.0390 2388  Aha154x - ok
15:53:03.0390 2388  aic78u2 - ok
15:53:03.0406 2388  aic78xx - ok
15:53:03.0406 2388  ALCXWDM - ok
15:53:03.0437 2388  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
15:53:03.0562 2388  Alerter - ok
15:53:03.0562 2388  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
15:53:03.0687 2388  ALG - ok
15:53:03.0687 2388  AliIde - ok
15:53:03.0687 2388  amsint - ok
15:53:03.0718 2388  [ C27D46B06D340293670450FCE9DFB166 ] AntiVirSchedulerService C:\Programme\Avira\AntiVir Desktop\sched.exe
15:53:03.0734 2388  AntiVirSchedulerService - ok
15:53:03.0765 2388  [ 72D90E56563165984224493069C69ED4 ] AntiVirService  C:\Programme\Avira\AntiVir Desktop\avguard.exe
15:53:03.0781 2388  AntiVirService - ok
15:53:03.0812 2388  [ D45960BE52C3C610D361977057F98C54 ] AppMgmt         C:\WINDOWS\System32\appmgmts.dll
15:53:03.0937 2388  AppMgmt - ok
15:53:03.0937 2388  asc - ok
15:53:03.0937 2388  asc3350p - ok
15:53:03.0953 2388  asc3550 - ok
15:53:04.0015 2388  [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
15:53:04.0031 2388  aspnet_state - ok
15:53:04.0062 2388  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
15:53:04.0187 2388  AsyncMac - ok
15:53:04.0187 2388  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
15:53:04.0312 2388  atapi - ok
15:53:04.0312 2388  Atdisk - ok
15:53:04.0343 2388  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
15:53:04.0468 2388  Atmarpc - ok
15:53:04.0484 2388  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
15:53:04.0609 2388  AudioSrv - ok
15:53:04.0640 2388  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
15:53:04.0765 2388  audstub - ok
15:53:04.0781 2388  [ 0B497C79824F8E1BF22FA6AACD3DE3A0 ] avgio           C:\Programme\Avira\AntiVir Desktop\avgio.sys
15:53:04.0781 2388  avgio - ok
15:53:04.0796 2388  [ 1E4114685DE1FFA9675E09C6A1FB3F4B ] avgntflt        C:\WINDOWS\system32\DRIVERS\avgntflt.sys
15:53:04.0843 2388  avgntflt - ok
15:53:04.0859 2388  [ 0F78D3DAE6DEDD99AE54C9491C62ADF2 ] avipbb          C:\WINDOWS\system32\DRIVERS\avipbb.sys
15:53:04.0875 2388  avipbb - ok
15:53:04.0906 2388  [ 263CF9D248FD5E020A1333ED4F7EAA88 ] avmeject        C:\WINDOWS\system32\drivers\avmeject.sys
15:53:04.0921 2388  avmeject ( UnsignedFile.Multi.Generic ) - warning
15:53:04.0921 2388  avmeject - detected UnsignedFile.Multi.Generic (1)
15:53:04.0953 2388  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
15:53:05.0078 2388  Beep - ok
15:53:05.0125 2388  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
15:53:05.0265 2388  BITS - ok
15:53:05.0296 2388  [ B42057F06BBB98B31876C0B3F2B54E33 ] Browser         C:\WINDOWS\System32\browser.dll
15:53:05.0406 2388  Browser - ok
15:53:05.0437 2388  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
15:53:05.0562 2388  cbidf2k - ok
15:53:05.0562 2388  cd20xrnt - ok
15:53:05.0593 2388  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
15:53:05.0718 2388  Cdaudio - ok
15:53:05.0734 2388  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
15:53:05.0828 2388  Cdfs - ok
15:53:05.0843 2388  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
15:53:05.0953 2388  Cdrom - ok
15:53:05.0968 2388  Changer - ok
15:53:05.0984 2388  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc           C:\WINDOWS\system32\cisvc.exe
15:53:06.0093 2388  CiSvc - ok
15:53:06.0093 2388  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
15:53:06.0203 2388  ClipSrv - ok
15:53:06.0218 2388  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
15:53:06.0265 2388  clr_optimization_v2.0.50727_32 - ok
15:53:06.0281 2388  CmdIde - ok
15:53:06.0328 2388  [ E52689B8B1A0B9446A589B1F96B3212C ] cmudaxp         C:\WINDOWS\system32\drivers\cmudaxp.sys
15:53:06.0406 2388  cmudaxp ( UnsignedFile.Multi.Generic ) - warning
15:53:06.0406 2388  cmudaxp - detected UnsignedFile.Multi.Generic (1)
15:53:06.0421 2388  COMSysApp - ok
15:53:06.0421 2388  Cpqarray - ok
15:53:06.0437 2388  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
15:53:06.0546 2388  CryptSvc - ok
15:53:06.0546 2388  dac2w2k - ok
15:53:06.0562 2388  dac960nt - ok
15:53:06.0593 2388  [ E970C2296916BF4A2F958680016FE312 ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
15:53:06.0718 2388  DcomLaunch - ok
15:53:06.0750 2388  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
15:53:06.0843 2388  Dhcp - ok
15:53:06.0859 2388  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
15:53:06.0968 2388  Disk - ok
15:53:06.0968 2388  dmadmin - ok
15:53:07.0000 2388  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
15:53:07.0156 2388  dmboot - ok
15:53:07.0156 2388  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
15:53:07.0265 2388  dmio - ok
15:53:07.0281 2388  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
15:53:07.0406 2388  dmload - ok
15:53:07.0437 2388  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
15:53:07.0531 2388  dmserver - ok
15:53:07.0546 2388  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
15:53:07.0656 2388  DMusic - ok
15:53:07.0656 2388  [ 8C9ED3B2834AAE63081AB2DA831C6FE9 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
15:53:07.0765 2388  Dnscache - ok
15:53:07.0796 2388  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
15:53:07.0906 2388  Dot3svc - ok
15:53:07.0921 2388  dpti2o - ok
15:53:07.0921 2388  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
15:53:08.0031 2388  drmkaud - ok
15:53:08.0062 2388  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
15:53:08.0156 2388  EapHost - ok
15:53:08.0171 2388  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
15:53:08.0296 2388  ERSvc - ok
15:53:08.0296 2388  [ 4BB6A83640F1D1792AD21CE767B621C6 ] Eventlog        C:\WINDOWS\system32\services.exe
15:53:08.0406 2388  Eventlog - ok
15:53:08.0421 2388  [ 0F3EDAEE1EF97CF3DB2BE23A7289B78C ] EventSystem     C:\WINDOWS\system32\es.dll
15:53:08.0531 2388  EventSystem - ok
15:53:08.0546 2388  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
15:53:08.0640 2388  Fastfat - ok
15:53:08.0671 2388  [ 40602EBFBE06AA075C8E4560743F6883 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
15:53:08.0781 2388  FastUserSwitchingCompatibility - ok
15:53:08.0781 2388  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\DRIVERS\fdc.sys
15:53:08.0890 2388  Fdc - ok
15:53:08.0906 2388  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
15:53:09.0000 2388  Fips - ok
15:53:09.0015 2388  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\DRIVERS\flpydisk.sys
15:53:09.0125 2388  Flpydisk - ok
15:53:09.0140 2388  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\drivers\fltmgr.sys
15:53:09.0250 2388  FltMgr - ok
15:53:09.0250 2388  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
15:53:09.0390 2388  Fs_Rec - ok
15:53:09.0406 2388  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
15:53:09.0531 2388  Ftdisk - ok
15:53:09.0562 2388  [ FF12FA487265DA2AC7DE4BE53F72FF1A ] FWLANUSB        C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
15:53:09.0593 2388  FWLANUSB - ok
15:53:09.0609 2388  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
15:53:09.0703 2388  Gpc - ok
15:53:09.0750 2388  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
15:53:09.0859 2388  helpsvc - ok
15:53:09.0875 2388  [ B35DA85E60C0103F2E4104532DA2F12B ] HidServ         C:\WINDOWS\System32\hidserv.dll
15:53:09.0984 2388  HidServ - ok
15:53:10.0000 2388  [ CCF82C5EC8A7326C3066DE870C06DAF1 ] hidusb          C:\WINDOWS\system32\DRIVERS\hidusb.sys
15:53:10.0109 2388  hidusb - ok
15:53:10.0125 2388  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
15:53:10.0234 2388  hkmsvc - ok
15:53:10.0234 2388  hpn - ok
15:53:10.0281 2388  [ F6AACF5BCE2893E0C1754AFEB672E5C9 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
15:53:10.0406 2388  HTTP - ok
15:53:10.0437 2388  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
15:53:10.0531 2388  HTTPFilter - ok
15:53:10.0546 2388  i2omgmt - ok
15:53:10.0546 2388  i2omp - ok
15:53:10.0546 2388  [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt        C:\WINDOWS\system32\DRIVERS\i8042prt.sys
15:53:10.0671 2388  i8042prt - ok
15:53:10.0687 2388  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
15:53:10.0796 2388  Imapi - ok
15:53:10.0812 2388  [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService    C:\WINDOWS\system32\imapi.exe
15:53:10.0921 2388  ImapiService - ok
15:53:10.0921 2388  ini910u - ok
15:53:10.0937 2388  IntelIde - ok
15:53:10.0953 2388  [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw           C:\WINDOWS\system32\drivers\ip6fw.sys
15:53:11.0062 2388  Ip6Fw - ok
15:53:11.0078 2388  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
15:53:11.0218 2388  IpFilterDriver - ok
15:53:11.0234 2388  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
15:53:11.0343 2388  IpInIp - ok
15:53:11.0343 2388  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
15:53:11.0453 2388  IpNat - ok
15:53:11.0453 2388  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
15:53:11.0562 2388  IPSec - ok
15:53:11.0562 2388  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
15:53:11.0671 2388  IRENUM - ok
15:53:11.0687 2388  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
15:53:11.0781 2388  isapnp - ok
15:53:11.0812 2388  [ 08A811BFD207DFDEC588881C18BACBAA ] ISWKL           C:\Programme\CheckPoint\ZAForceField\ISWKL.sys
15:53:11.0812 2388  ISWKL - ok
15:53:11.0828 2388  [ 5B2CCEF06F96DFB22893AB8F0B3F891D ] IswSvc          C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
15:53:11.0859 2388  IswSvc - ok
15:53:11.0890 2388  [ 999DB5F88C8E145CCA9D471E33227143 ] JavaQuickStarterService C:\Programme\Java\jre7\bin\jqs.exe
15:53:11.0906 2388  JavaQuickStarterService - ok
15:53:11.0921 2388  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
15:53:12.0015 2388  Kbdclass - ok
15:53:12.0015 2388  [ B6D6C117D771C98130497265F26D1882 ] kbdhid          C:\WINDOWS\system32\DRIVERS\kbdhid.sys
15:53:12.0125 2388  kbdhid - ok
15:53:12.0140 2388  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
15:53:12.0234 2388  kmixer - ok
15:53:12.0250 2388  [ 1705745D900DABF2D89F90EBADDC7517 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
15:53:12.0343 2388  KSecDD - ok
15:53:12.0375 2388  [ 5E34CD48B7EB440BB77E93528CC9F0CC ] LachesisFltr    C:\WINDOWS\system32\drivers\Lachesis.sys
15:53:12.0406 2388  LachesisFltr - ok
15:53:12.0437 2388  [ D6EB4916B203CBE525F8EFF5FD5AB16C ] lanmanserver    C:\WINDOWS\System32\srvsvc.dll
15:53:12.0562 2388  lanmanserver - ok
15:53:12.0578 2388  [ C0DB1E9367681ECD7ECCA9615C1D0F9B ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
15:53:12.0671 2388  lanmanworkstation - ok
15:53:12.0687 2388  lbrtfdc - ok
15:53:12.0703 2388  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
15:53:12.0812 2388  LmHosts - ok
15:53:12.0828 2388  [ 4A5FFDF0FE830C448830BD4B02B02B4B ] mbamchameleon   C:\WINDOWS\system32\drivers\mbamchameleon.sys
15:53:12.0828 2388  mbamchameleon - ok
15:53:12.0843 2388  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
15:53:12.0937 2388  Messenger - ok
15:53:12.0953 2388  [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
15:53:13.0093 2388  mnmdd - ok
15:53:13.0109 2388  [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc         C:\WINDOWS\system32\mnmsrvc.exe
15:53:13.0218 2388  mnmsrvc - ok
15:53:13.0234 2388  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
15:53:13.0343 2388  Modem - ok
15:53:13.0359 2388  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
15:53:13.0453 2388  Mouclass - ok
15:53:13.0468 2388  [ 66A6F73C74E1791464160A7065CE711A ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
15:53:13.0593 2388  mouhid - ok
15:53:13.0609 2388  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
15:53:13.0703 2388  MountMgr - ok
15:53:13.0718 2388  mraid35x - ok
15:53:13.0718 2388  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
15:53:13.0828 2388  MRxDAV - ok
15:53:13.0843 2388  [ 68755F0FF16070178B54674FE5B847B0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
15:53:13.0953 2388  MRxSmb - ok
15:53:13.0968 2388  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\system32\msdtc.exe
15:53:14.0062 2388  MSDTC - ok
15:53:14.0078 2388  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
15:53:14.0171 2388  Msfs - ok
15:53:14.0171 2388  MSIServer - ok
15:53:14.0187 2388  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
15:53:14.0281 2388  MSKSSRV - ok
15:53:14.0296 2388  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
15:53:14.0390 2388  MSPCLOCK - ok
15:53:14.0406 2388  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
15:53:14.0500 2388  MSPQM - ok
15:53:14.0515 2388  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
15:53:14.0609 2388  mssmbios - ok
15:53:14.0625 2388  [ 2F625D11385B1A94360BFC70AAEFDEE1 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
15:53:14.0718 2388  Mup - ok
15:53:14.0765 2388  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
15:53:14.0875 2388  napagent - ok
15:53:14.0890 2388  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
15:53:14.0984 2388  NDIS - ok
15:53:15.0000 2388  [ 1AB3D00C991AB086E69DB84B6C0ED78F ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
15:53:15.0093 2388  NdisTapi - ok
15:53:15.0109 2388  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
15:53:15.0203 2388  Ndisuio - ok
15:53:15.0218 2388  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
15:53:15.0312 2388  NdisWan - ok
15:53:15.0312 2388  [ 6215023940CFD3702B46ABC304E1D45A ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
15:53:15.0421 2388  NDProxy - ok
15:53:15.0421 2388  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
15:53:15.0531 2388  NetBIOS - ok
15:53:15.0546 2388  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
15:53:15.0640 2388  NetBT - ok
15:53:15.0656 2388  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
15:53:15.0750 2388  NetDDE - ok
15:53:15.0765 2388  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
15:53:15.0859 2388  NetDDEdsdm - ok
15:53:15.0875 2388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\system32\lsass.exe
15:53:15.0968 2388  Netlogon - ok
15:53:16.0000 2388  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
15:53:16.0109 2388  Netman - ok
15:53:16.0125 2388  [ F12B9D9A069331877D006CC81B4735F9 ] Nla             C:\WINDOWS\System32\mswsock.dll
15:53:16.0218 2388  Nla - ok
15:53:16.0218 2388  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
15:53:16.0328 2388  Npfs - ok
15:53:16.0343 2388  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
15:53:16.0484 2388  Ntfs - ok
15:53:16.0484 2388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
15:53:16.0578 2388  NtLmSsp - ok
15:53:16.0625 2388  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
15:53:16.0734 2388  NtmsSvc - ok
15:53:16.0750 2388  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
15:53:16.0875 2388  Null - ok
15:53:17.0125 2388  [ 625F0E2467F6800E1D939CF22F2F6C99 ] nv              C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
15:53:17.0656 2388  nv - ok
15:53:17.0687 2388  [ 720CC533EECB65553BD86B139CA04433 ] NVENETFD        C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
15:53:17.0703 2388  NVENETFD - ok
15:53:17.0734 2388  [ 5F9F545CC5904DD8765F84EE1D056406 ] nvnetbus        C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
15:53:17.0750 2388  nvnetbus - ok
15:53:17.0765 2388  [ E666A28CC51F04C7D972EF8AD4234BBA ] NVSvc           C:\WINDOWS\system32\nvsvc32.exe
15:53:17.0781 2388  NVSvc - ok
15:53:17.0843 2388  [ E7973587C80CC49DAD8E88AD45D2A1CC ] nvUpdatusService C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
15:53:17.0906 2388  nvUpdatusService - ok
15:53:17.0937 2388  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
15:53:18.0062 2388  NwlnkFlt - ok
15:53:18.0062 2388  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
15:53:18.0187 2388  NwlnkFwd - ok
15:53:18.0203 2388  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\DRIVERS\parport.sys
15:53:18.0296 2388  Parport - ok
15:53:18.0312 2388  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
15:53:18.0421 2388  PartMgr - ok
15:53:18.0437 2388  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
15:53:18.0546 2388  ParVdm - ok
15:53:18.0562 2388  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
15:53:18.0656 2388  PCI - ok
15:53:18.0656 2388  PCIDump - ok
15:53:18.0671 2388  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
15:53:18.0812 2388  PCIIde - ok
15:53:18.0859 2388  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\drivers\Pcmcia.sys
15:53:18.0953 2388  Pcmcia - ok
15:53:18.0953 2388  PDCOMP - ok
15:53:18.0968 2388  PDFRAME - ok
15:53:18.0968 2388  PDRELI - ok
15:53:18.0968 2388  PDRFRAME - ok
15:53:18.0984 2388  perc2 - ok
15:53:18.0984 2388  perc2hib - ok
15:53:19.0000 2388  [ 4BB6A83640F1D1792AD21CE767B621C6 ] PlugPlay        C:\WINDOWS\system32\services.exe
15:53:19.0093 2388  PlugPlay - ok
15:53:19.0109 2388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
15:53:19.0203 2388  PolicyAgent - ok
15:53:19.0203 2388  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
15:53:19.0296 2388  PptpMiniport - ok
15:53:19.0312 2388  [ 2CB55427C58679F49AD600FCCBA76360 ] Processor       C:\WINDOWS\system32\DRIVERS\processr.sys
15:53:19.0406 2388  Processor - ok
15:53:19.0421 2388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
15:53:19.0515 2388  ProtectedStorage - ok
15:53:19.0515 2388  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
15:53:19.0609 2388  PSched - ok
15:53:19.0609 2388  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
15:53:19.0718 2388  Ptilink - ok
15:53:19.0734 2388  ql1080 - ok
15:53:19.0734 2388  Ql10wnt - ok
15:53:19.0734 2388  ql12160 - ok
15:53:19.0750 2388  ql1240 - ok
15:53:19.0750 2388  ql1280 - ok
15:53:19.0765 2388  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
15:53:19.0859 2388  RasAcd - ok
15:53:19.0890 2388  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
15:53:20.0000 2388  RasAuto - ok
15:53:20.0000 2388  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
15:53:20.0093 2388  Rasl2tp - ok
15:53:20.0140 2388  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
15:53:20.0250 2388  RasMan - ok
15:53:20.0250 2388  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
15:53:20.0343 2388  RasPppoe - ok
15:53:20.0359 2388  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
15:53:20.0453 2388  Raspti - ok
15:53:20.0468 2388  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
15:53:20.0562 2388  Rdbss - ok
15:53:20.0578 2388  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
15:53:20.0687 2388  RDPCDD - ok
15:53:20.0718 2388  [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr           C:\WINDOWS\system32\DRIVERS\rdpdr.sys
15:53:20.0812 2388  rdpdr - ok
15:53:20.0843 2388  [ 6728E45B66F93C08F11DE2E316FC70DD ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
15:53:20.0953 2388  RDPWD - ok
15:53:20.0968 2388  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
15:53:21.0062 2388  RDSessMgr - ok
15:53:21.0062 2388  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
15:53:21.0156 2388  redbook - ok
15:53:21.0171 2388  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
15:53:21.0265 2388  RemoteAccess - ok
15:53:21.0281 2388  [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry  C:\WINDOWS\system32\regsvc.dll
15:53:21.0390 2388  RemoteRegistry - ok
15:53:21.0406 2388  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\system32\locator.exe
15:53:21.0500 2388  RpcLocator - ok
15:53:21.0515 2388  [ E970C2296916BF4A2F958680016FE312 ] RpcSs           C:\WINDOWS\system32\rpcss.dll
15:53:21.0640 2388  RpcSs - ok
15:53:21.0656 2388  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\system32\rsvp.exe
15:53:21.0781 2388  RSVP - ok
15:53:21.0796 2388  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
15:53:21.0890 2388  SamSs - ok
15:53:21.0906 2388  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
15:53:22.0000 2388  SCardSvr - ok
15:53:22.0015 2388  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
15:53:22.0125 2388  Schedule - ok
15:53:22.0140 2388  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
15:53:22.0234 2388  Secdrv - ok
15:53:22.0250 2388  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
15:53:22.0343 2388  seclogon - ok
15:53:22.0359 2388  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
15:53:22.0468 2388  SENS - ok
15:53:22.0484 2388  [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
15:53:22.0578 2388  serenum - ok
15:53:22.0578 2388  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\DRIVERS\serial.sys
15:53:22.0671 2388  Serial - ok
15:53:22.0687 2388  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\DRIVERS\sfloppy.sys
15:53:22.0796 2388  Sfloppy - ok
15:53:22.0812 2388  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
15:53:22.0937 2388  SharedAccess - ok
15:53:22.0953 2388  [ 40602EBFBE06AA075C8E4560743F6883 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
15:53:23.0062 2388  ShellHWDetection - ok
15:53:23.0062 2388  Simbad - ok
15:53:23.0078 2388  [ A4FAB5F7818A69DA6E740943CB8F7CA9 ] SkypeUpdate     C:\Programme\Skype\Updater\Updater.exe
15:53:23.0093 2388  SkypeUpdate - ok
15:53:23.0093 2388  Sparrow - ok
15:53:23.0109 2388  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
15:53:23.0203 2388  splitter - ok
15:53:23.0218 2388  [ 39356A9CDB6753A6D13A4072A9F5A4BB ] Spooler         C:\WINDOWS\system32\spoolsv.exe
15:53:23.0312 2388  Spooler - ok
15:53:23.0328 2388  [ 50FA898F8C032796D3B1B9951BB5A90F ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
15:53:23.0421 2388  sr - ok
15:53:23.0437 2388  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\system32\srsvc.dll
15:53:23.0546 2388  srservice - ok
15:53:23.0562 2388  [ 5252605079810904E31C332E241CD59B ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
15:53:23.0671 2388  Srv - ok
15:53:23.0687 2388  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
15:53:23.0781 2388  SSDPSRV - ok
15:53:23.0812 2388  [ A322501277D7733F5266581B79B8CC79 ] SSHDRV65        C:\WINDOWS\system32\drivers\SSHDRV65.sys
15:53:23.0812 2388  SSHDRV65 ( UnsignedFile.Multi.Generic ) - warning
15:53:23.0812 2388  SSHDRV65 - detected UnsignedFile.Multi.Generic (1)
15:53:23.0843 2388  [ A36EE93698802CD899F98BFD553D8185 ] ssmdrv          C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
15:53:23.0859 2388  ssmdrv - ok
15:53:23.0890 2388  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
15:53:23.0984 2388  stisvc - ok
15:53:24.0000 2388  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
15:53:24.0093 2388  swenum - ok
15:53:24.0109 2388  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
15:53:24.0203 2388  swmidi - ok
15:53:24.0234 2388  SwPrv - ok
15:53:24.0296 2388  symc810 - ok
15:53:24.0296 2388  symc8xx - ok
15:53:24.0296 2388  sym_hi - ok
15:53:24.0312 2388  sym_u3 - ok
15:53:24.0328 2388  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
15:53:24.0421 2388  sysaudio - ok
15:53:24.0453 2388  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
15:53:24.0562 2388  SysmonLog - ok
15:53:24.0640 2388  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
15:53:24.0750 2388  TapiSrv - ok
15:53:24.0781 2388  [ 93EA8D04EC73A85DB02EB8805988F733 ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
15:53:24.0890 2388  Tcpip - ok
15:53:24.0906 2388  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
15:53:25.0015 2388  TDPIPE - ok
15:53:25.0031 2388  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
15:53:25.0125 2388  TDTCP - ok
15:53:25.0140 2388  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
15:53:25.0250 2388  TermDD - ok
15:53:25.0296 2388  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
15:53:25.0406 2388  TermService - ok
15:53:25.0421 2388  [ 40602EBFBE06AA075C8E4560743F6883 ] Themes          C:\WINDOWS\System32\shsvcs.dll
15:53:25.0531 2388  Themes - ok
15:53:25.0546 2388  [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr         C:\WINDOWS\system32\tlntsvr.exe
15:53:25.0656 2388  TlntSvr - ok
15:53:25.0656 2388  TosIde - ok
15:53:25.0687 2388  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
15:53:25.0781 2388  TrkWks - ok
15:53:25.0812 2388  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
15:53:25.0921 2388  Udfs - ok
15:53:25.0921 2388  ultra - ok
15:53:25.0953 2388  [ 1977313E362C8732C1AF4D1BCB9C06B7 ] UMWdf           C:\WINDOWS\system32\wdfmgr.exe
15:53:25.0968 2388  UMWdf ( UnsignedFile.Multi.Generic ) - warning
15:53:25.0968 2388  UMWdf - detected UnsignedFile.Multi.Generic (1)
15:53:25.0984 2388  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
15:53:26.0093 2388  Update - ok
15:53:26.0140 2388  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
15:53:26.0250 2388  upnphost - ok
15:53:26.0250 2388  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
15:53:26.0359 2388  UPS - ok
15:53:26.0375 2388  [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
15:53:26.0468 2388  usbccgp - ok
15:53:26.0484 2388  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
15:53:26.0578 2388  usbehci - ok
15:53:26.0578 2388  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
15:53:26.0687 2388  usbhub - ok
15:53:26.0687 2388  [ 0DAECCE65366EA32B162F85F07C6753B ] usbohci         C:\WINDOWS\system32\DRIVERS\usbohci.sys
15:53:26.0781 2388  usbohci - ok
15:53:26.0812 2388  [ A717C8721046828520C9EDF31288FC00 ] usbprint        C:\WINDOWS\system32\DRIVERS\usbprint.sys
15:53:26.0921 2388  usbprint - ok
15:53:26.0937 2388  [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
15:53:27.0031 2388  USBSTOR - ok
15:53:27.0046 2388  [ 94D73B62E458FB56C9CE60AA96D914F9 ] VClone          C:\WINDOWS\system32\DRIVERS\VClone.sys
15:53:27.0062 2388  VClone ( UnsignedFile.Multi.Generic ) - warning
15:53:27.0062 2388  VClone - detected UnsignedFile.Multi.Generic (1)
15:53:27.0078 2388  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
15:53:27.0171 2388  VgaSave - ok
15:53:27.0187 2388  ViaIde - ok
15:53:27.0203 2388  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
15:53:27.0312 2388  VolSnap - ok
15:53:27.0343 2388  [ 558CEE3D9C470651F1843D51B42D761B ] Vsdatant        C:\WINDOWS\system32\vsdatant.sys
15:53:27.0375 2388  Vsdatant - ok
15:53:27.0390 2388  vsmon - ok
15:53:27.0421 2388  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
15:53:27.0515 2388  VSS - ok
15:53:27.0531 2388  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\system32\w32time.dll
15:53:27.0640 2388  W32Time - ok
15:53:27.0656 2388  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
15:53:27.0750 2388  Wanarp - ok
15:53:27.0750 2388  WDICA - ok
15:53:27.0765 2388  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
15:53:27.0875 2388  wdmaud - ok
15:53:27.0875 2388  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
15:53:27.0984 2388  WebClient - ok
15:53:28.0031 2388  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
15:53:28.0140 2388  winmgmt - ok
15:53:28.0171 2388  [ 20263DAFD033D30F151BB87568386769 ] WmcCds          c:\programme\windows media connect\mswmccds.exe
15:53:28.0375 2388  WmcCds ( UnsignedFile.Multi.Generic ) - warning
15:53:28.0375 2388  WmcCds - detected UnsignedFile.Multi.Generic (1)
15:53:28.0390 2388  [ 1DD015A69235DCFAE18B5F98FB50BE23 ] WmcCdsLs        C:\Programme\Windows Media Connect\mswmcls.exe
15:53:28.0406 2388  WmcCdsLs ( UnsignedFile.Multi.Generic ) - warning
15:53:28.0406 2388  WmcCdsLs - detected UnsignedFile.Multi.Generic (1)
15:53:28.0437 2388  [ 5FDCCC838CD95F61097D8A637F842AA8 ] WmdmPmSN        C:\WINDOWS\system32\mspmsnsv.dll
15:53:28.0437 2388  WmdmPmSN ( UnsignedFile.Multi.Generic ) - warning
15:53:28.0437 2388  WmdmPmSN - detected UnsignedFile.Multi.Generic (1)
15:53:28.0468 2388  [ 53E1CCF332A2F40B5E08476921CD8B44 ] Wmi             C:\WINDOWS\System32\advapi32.dll
15:53:28.0625 2388  Wmi - ok
15:53:28.0640 2388  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
15:53:28.0750 2388  WmiApSrv - ok
15:53:28.0765 2388  [ D87EA9F191DF6731818FFD93659BADF4 ] WpdUsb          C:\WINDOWS\system32\Drivers\wpdusb.sys
15:53:28.0781 2388  WpdUsb ( UnsignedFile.Multi.Generic ) - warning
15:53:28.0781 2388  WpdUsb - detected UnsignedFile.Multi.Generic (1)
15:53:28.0796 2388  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
15:53:28.0906 2388  wscsvc - ok
15:53:28.0921 2388  [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
15:53:29.0015 2388  wuauserv - ok
15:53:29.0046 2388  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
15:53:29.0171 2388  WZCSVC - ok
15:53:29.0203 2388  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
15:53:29.0296 2388  xmlprov - ok
15:53:29.0312 2388  ================ Scan global ===============================
15:53:29.0328 2388  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
15:53:29.0343 2388  [ 4CD408F799D4A72B0DE1F1116A77A48E ] C:\WINDOWS\system32\winsrv.dll
15:53:29.0359 2388  [ 4CD408F799D4A72B0DE1F1116A77A48E ] C:\WINDOWS\system32\winsrv.dll
15:53:29.0375 2388  [ 4BB6A83640F1D1792AD21CE767B621C6 ] C:\WINDOWS\system32\services.exe
15:53:29.0375 2388  [Global] - ok
15:53:29.0375 2388  ================ Scan MBR ==================================
15:53:29.0390 2388  [ 587F1BF40479D66675A13B610E5E7F9E ] \Device\Harddisk0\DR0
15:53:29.0515 2388  \Device\Harddisk0\DR0 - ok
15:53:29.0515 2388  ================ Scan VBR ==================================
15:53:29.0515 2388  [ 3F9B583E3F79300CCD8F7FB0E7427816 ] \Device\Harddisk0\DR0\Partition1
15:53:29.0515 2388  \Device\Harddisk0\DR0\Partition1 - ok
15:53:29.0515 2388  [ C2FF2D70D0FA9952C35ECCC532B9FE9D ] \Device\Harddisk0\DR0\Partition2
15:53:29.0515 2388  \Device\Harddisk0\DR0\Partition2 - ok
15:53:29.0515 2388  ============================================================
15:53:29.0515 2388  Scan finished
15:53:29.0515 2388  ============================================================
15:53:29.0640 2868  Detected object count: 9
15:53:29.0640 2868  Actual detected object count: 9
15:53:48.0296 2868  avmeject ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  avmeject ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0296 2868  cmudaxp ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  cmudaxp ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0296 2868  SSHDRV65 ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  SSHDRV65 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0296 2868  UMWdf ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  UMWdf ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0296 2868  VClone ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  VClone ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0296 2868  WmcCds ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0296 2868  WmcCds ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0312 2868  WmcCdsLs ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0312 2868  WmcCdsLs ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0312 2868  WmdmPmSN ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0312 2868  WmdmPmSN ( UnsignedFile.Multi.Generic ) - User select action: Skip 
15:53:48.0312 2868  WpdUsb ( UnsignedFile.Multi.Generic ) - skipped by user
15:53:48.0312 2868  WpdUsb ( UnsignedFile.Multi.Generic ) - User select action: Skip

cosinus · 20.03.2013, 15:59

Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

mozh · 20.03.2013, 16:09

Ok. Habe noch eine Frage:
Wenn ich die Anweisungen zu 100% richtig befolge kann auch sicher nichts passieren ?
Nicht das hinterher mein Betriebssystem nicht mehr funzt.

18.03.2013, 16:33	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PUP.LoadTubes + 16-Bit-MS-DOS-Teilsystem Wieso postest du die gleichen Logs nochmal, ich wollte eigentlich wissen ob du andere Logs mit weiteren Funde hast __________________ Logfiles bitte immer in CODE-Tags posten

20.03.2013, 13:52	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PUP.LoadTubes + 16-Bit-MS-DOS-Teilsystem Würdest du bitte meine Frage noch beantworten? __________________ Logfiles bitte immer in CODE-Tags posten

PUP.LoadTubes + 16-Bit-MS-DOS-Teilsystem

Plagegeister aller Art und deren Bekämpfung: PUP.LoadTubes + 16-Bit-MS-DOS-Teilsystem