Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan!

Kimba · 18.03.2013, 16:17

Hallo liebe Trojaner-Board-Helfer,

ich habe gleich einen Befall von mehreren Störenfrieden. Bin durch meine Bank darauf gestossen worden, die mein Online-Banking wegen eines Trojaner-Befalls gesperrt hat. Habe gestern einen Scan mit "Antivir" durchgeführt und so einiges gefunden und, wenn möglich, in Quarantäne geschickt. Habe vorübergehend Java deinstalliert, weil dort auch so einiges gefunden wurde und ich sicher gehen wollte. Der PC läuft einwandfrei, aber ich hatte vor ca. 1,5 Monaten einen Vorfall, wo Spammails von meinem Hotmail-Account verschickt wurden. Habe daraufhin alle Passwörter geändert, aber ansonsten nichts weiter unternommen. Ich habe den Antivir-Echtzeitscanner immer aktiv und natürlich auch meine Firewall. Wäre für Hilfe sehr dankbar!

Habe mit "defogger" deaktiviert und auch mit "OTL" und "Gmer" gescannt. Leider war der Post zu lang und ich poste nun erstmal den Log von "Antivir" und "OTL", da ihr ja geschrieben habt, dass man Anhänge nur nach Aufforderung posten soll. Reiche ich aber alles nach, wenn angefragt.

Vielen, lieben Dank schonmal für die Hilfe!

Ich hoffe ich habe alles richtig gemacht?!

LG, Kimba

Antivir:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 17. März 2013  21:01


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : KIMBA-PC

Versionsinformationen:
BUILD.DAT      : 13.0.0.3185    47702 Bytes  30.01.2013 10:05:00
AVSCAN.EXE     : 13.6.0.584    640224 Bytes  06.02.2013 11:12:03
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  11.12.2012 16:26:58
LUKE.DLL       : 13.6.0.602     67808 Bytes  06.02.2013 11:12:18
AVSCPLR.DLL    : 13.6.0.628     94432 Bytes  05.02.2013 11:17:03
AVREG.DLL      : 13.6.0.600    250592 Bytes  05.02.2013 11:17:00
avlode.dll     : 13.6.2.624    434912 Bytes  05.02.2013 11:17:05
avlode.rdf     : 13.0.0.38      15231 Bytes  13.02.2013 09:25:22
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 17:22:29
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 15:18:10
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 15:18:10
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 15:18:10
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 15:18:10
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 15:18:10
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 11:01:40
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 07:00:32
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 07:00:34
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 15:25:46
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 16:45:46
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 14:58:39
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 20:58:43
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 19:10:05
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 21:16:50
VBASE022.VDF   : 7.11.64.106  1510912 Bytes  11.03.2013 14:20:52
VBASE023.VDF   : 7.11.64.157   137216 Bytes  12.03.2013 18:34:20
VBASE024.VDF   : 7.11.64.233   159744 Bytes  14.03.2013 20:46:30
VBASE025.VDF   : 7.11.65.19    143360 Bytes  15.03.2013 21:53:26
VBASE026.VDF   : 7.11.65.63    150528 Bytes  17.03.2013 19:40:15
VBASE027.VDF   : 7.11.65.64      2048 Bytes  17.03.2013 19:40:15
VBASE028.VDF   : 7.11.65.65      2048 Bytes  17.03.2013 19:40:15
VBASE029.VDF   : 7.11.65.66      2048 Bytes  17.03.2013 19:40:15
VBASE030.VDF   : 7.11.65.67      2048 Bytes  17.03.2013 19:40:15
VBASE031.VDF   : 7.11.65.70     13312 Bytes  17.03.2013 19:40:15
Engineversion  : 8.2.12.16 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.98      475516 Bytes  14.03.2013 20:46:39
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 17:06:14
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:58:27
AEPACK.DLL     : 8.3.2.2       827767 Bytes  14.03.2013 20:46:38
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 16:10:39
AEHEUR.DLL     : 8.1.4.248    5804409 Bytes  14.03.2013 20:46:37
AEHELP.DLL     : 8.1.25.2      258423 Bytes  17.10.2012 11:20:39
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 20:13:00
AEEXP.DLL      : 8.4.0.12      192886 Bytes  14.03.2013 20:46:39
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 13:10:06
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:52:17
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  06.02.2013 11:11:58
AVPREF.DLL     : 13.6.0.480     51056 Bytes  06.02.2013 11:12:03
AVREP.DLL      : 13.6.0.480    178544 Bytes  05.02.2013 11:17:01
AVARKT.DLL     : 13.6.0.624    260832 Bytes  06.02.2013 11:12:00
AVEVTLOG.DLL   : 13.6.0.600    167648 Bytes  06.02.2013 11:12:02
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  06.02.2013 11:12:04
NETNT.DLL      : 13.6.0.480     16240 Bytes  06.02.2013 11:12:18
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  11.12.2012 16:26:52
RCTEXT.DLL     : 13.6.0.480     68976 Bytes  06.02.2013 11:11:58

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. März 2013  21:01

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ExtensionUpdaterService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbccoms.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandoo.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZuneLauncher.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-tray.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpotifyWebHelper.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'FacebookMessenger.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetPacksUpdateManager.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2440' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
    [0] Archivtyp: RSRC
    --> C:\Program Files (x86)\Bandoo\uninstaller.exe
        [1] Archivtyp: NSIS
      --> object
          [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Program Files (x86)\Bandoo\uninstaller.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56fba059.qua' verschoben!
C:\Users\Kimba\AppData\Local\Temp\88F4.tmp
  [FUND]      Ist das Trojanische Pferd TR/Fakealert.urx
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e4f9148.qua' verschoben!
    --> C:\Users\Kimba\AppData\Local\Temp\jar_cache5180533150243676248.tmp
        [1] Archivtyp: ZIP
      --> MdYM.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.436
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> miSmTF.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/Dldr.Java.N
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> MtqvgWjP.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.968
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> QFru.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-4681.CE
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> uqVFBfkcWI.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.427
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\Local\Temp\jar_cache5180533150243676248.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.427
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c24cb8e.qua' verschoben!
C:\Users\Kimba\AppData\Local\Temp\ICReinstall\incredimail_install629.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a0287d2.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\00000001.@
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.T
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f59aaf7.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.16896
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40429896.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cfab4dc.qua' verschoben!
    --> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\487e1151-7567addc
        [1] Archivtyp: ZIP
      --> O1.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.FC
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> O2.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CT
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> O3.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\487e1151-7567addc
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '70e98ada.qua' verschoben!
    --> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5fa3bee-1ae29247
        [1] Archivtyp: ZIP
      --> CL1.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> CL2.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DX
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> CL3.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5fa3bee-1ae29247
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d69a541.qua' verschoben!
    --> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\fdeb22e-27296eb3
        [1] Archivtyp: ZIP
      --> Bett.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.EZ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Fatiij.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.DQ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Ini.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.Z
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Rago.class
          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.DI
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Rare.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE20121723.FZ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Third.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CM.1
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
      --> Nieo.class
          [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\fdeb22e-27296eb3
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '440d9ed9.qua' verschoben!
C:\Users\Kimba\AppData\Roaming\Moipu\nezaf.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.3123205
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '283acc87.qua' verschoben!
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert


Ende des Suchlaufs: Sonntag, 17. März 2013  22:44
Benötigte Zeit:  1:43:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  35502 Verzeichnisse wurden überprüft
 677267 Dateien wurden geprüft
     30 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     11 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 677237 Dateien ohne Befall
  12932 Archive wurden durchsucht
     19 Warnungen
     11 Hinweise
 832419 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

OTL:

Code:

ATTFilter

OTL logfile created on: 18.03.2013 14:17:29 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Kimba\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,88 Gb Total Physical Memory | 0,77 Gb Available Physical Memory | 40,91% Memory free
3,76 Gb Paging File | 2,42 Gb Available in Paging File | 64,24% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 414,66 Gb Total Space | 338,09 Gb Free Space | 81,53% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 31,90 Gb Free Space | 63,80% Space Free | Partition Type: NTFS
 
Computer Name: KIMBA-PC | User Name: Kimba | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.18 14:09:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe
PRC - [2013.03.07 21:32:38 | 000,248,240 | ---- | M] (Facebook) -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe
PRC - [2013.02.22 15:30:32 | 003,818,776 | ---- | M] () -- C:\Program Files (x86)\Tobit Radio.fx\Server\rfx-server.exe
PRC - [2013.02.06 12:12:18 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2013.02.06 12:12:02 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.02.06 12:12:02 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.02.05 16:48:44 | 000,272,248 | ---- | M] (McAfee, Inc.) -- C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe
PRC - [2013.01.28 09:01:53 | 001,684,528 | ---- | M] (Bandoo Media, inc) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
PRC - [2012.12.18 06:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe
PRC - [2012.10.28 00:30:25 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Users\Kimba\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
PRC - [2012.10.10 21:21:32 | 001,923,136 | ---- | M] (Bandoo Media Inc.) -- C:\Program Files (x86)\Bandoo\Bandoo.exe
PRC - [2012.08.15 19:08:34 | 000,231,768 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe
PRC - [2011.12.14 12:59:20 | 002,984,832 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2011.12.09 18:22:26 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\Winamp\winampa.exe
PRC - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
PRC - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
PRC - [2011.05.26 00:32:46 | 000,443,688 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe
PRC - [2011.05.20 18:10:26 | 000,013,592 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
PRC - [2011.05.20 18:10:12 | 000,284,440 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
PRC - [2011.03.11 13:08:32 | 002,656,280 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
PRC - [2011.03.11 13:08:31 | 000,326,168 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
PRC - [2010.08.03 23:39:38 | 000,107,816 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.07 21:32:40 | 021,014,960 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\libcef.dll
MOD - [2013.03.07 21:32:38 | 000,292,272 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\CefSharp.dll
MOD - [2013.03.07 21:32:38 | 000,179,632 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\CefSharp.WinForms.dll
MOD - [2013.02.14 08:15:06 | 011,833,344 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\5ecf01964c70e453d71e5d7653912ff9\System.Web.ni.dll
MOD - [2013.02.14 08:14:56 | 012,436,480 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\cb562e2e4f74ae607f1186f6ec50cec7\System.Windows.Forms.ni.dll
MOD - [2013.01.10 08:24:54 | 000,491,520 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\346a7a67978cead8e2ff52c6d80bbeb7\IAStorUtil.ni.dll
MOD - [2013.01.10 08:24:54 | 000,014,336 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorCommon\500a8ae2a5d27132d87ccac9f97b0069\IAStorCommon.ni.dll
MOD - [2013.01.10 08:01:59 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\90b89f6e8032310e9ac72a309fd49e83\System.Runtime.Remoting.ni.dll
MOD - [2013.01.10 08:01:53 | 006,611,456 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data\dd20416f723ee13ffb4173ec1afc4ec4\System.Data.ni.dll
MOD - [2013.01.10 08:00:46 | 001,592,832 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eead6629e384a5b69f9ae35284b7eeed\System.Drawing.ni.dll
MOD - [2013.01.10 08:00:17 | 003,347,968 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\cf827fe7bc99d9bcf0ba3621054ef527\WindowsBase.ni.dll
MOD - [2013.01.10 08:00:03 | 005,453,312 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\f687c43e9fdec031988b33ae722c4613\System.Xml.ni.dll
MOD - [2013.01.10 07:59:53 | 000,971,264 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\195a77fcc6206f8bb35d419ff2cf0d72\System.Configuration.ni.dll
MOD - [2013.01.10 07:59:45 | 007,989,760 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\369f8bdca364e2b4936d18dea582912c\System.ni.dll
MOD - [2013.01.10 07:59:24 | 011,493,376 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7150b9136fad5b79e88f6c7f9d3d2c39\mscorlib.ni.dll
MOD - [2012.12.20 12:36:18 | 000,078,336 | ---- | M] () -- c:\ProgramData\Wincert\win32prop.dll
MOD - [2012.12.20 12:36:18 | 000,007,168 | ---- | M] () -- c:\ProgramData\Wincert\win32cert.dll
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.05.16 15:03:22 | 000,212,992 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.resources\2.0.0.0_de_b77a5c561934e089\System.resources.dll
MOD - [2011.05.16 15:03:17 | 000,032,768 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_de_b77a5c561934e089\System.Runtime.Remoting.resources.dll
MOD - [2010.11.21 04:24:08 | 002,927,616 | ---- | M] () -- C:\Windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
MOD - [2010.11.13 01:08:41 | 000,315,392 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2010.08.03 23:39:38 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll
MOD - [2010.08.03 23:39:32 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV:64bit: - [2011.08.05 11:53:12 | 000,467,680 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\ZuneWlanCfgSvc.exe -- (ZuneWlanCfgSvc)
SRV:64bit: - [2011.08.05 11:53:12 | 000,306,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\WMZuneComm.exe -- (WMZuneComm)
SRV:64bit: - [2011.08.05 11:53:06 | 008,277,728 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\ZuneNss.exe -- (ZuneNetworkSvc)
SRV:64bit: - [2009.07.14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV:64bit: - [2007.03.16 01:24:18 | 000,566,704 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxbccoms.exe -- (lxbc_device)
SRV - [2013.03.12 22:37:33 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.03.08 09:00:38 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.02.22 15:30:32 | 003,818,776 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Tobit Radio.fx\Server\rfx-server.exe -- (Radio.fx)
SRV - [2013.02.06 12:12:18 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.06 12:12:02 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.02.05 16:48:00 | 000,235,216 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe -- (McComponentHostService)
SRV - [2012.12.18 06:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.10.10 21:21:32 | 001,923,136 | ---- | M] (Bandoo Media Inc.) [Auto | Running] -- C:\Program Files (x86)\Bandoo\Bandoo.exe -- (Bandoo Coordinator)
SRV - [2012.10.10 02:22:26 | 000,277,024 | ---- | M] (Intel Corporation) [On_Demand | Stopped] -- C:\Windows\SysWOW64\IntelCpHeciSvc.exe -- (cphs)
SRV - [2011.12.14 12:59:20 | 002,984,832 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2011.05.20 18:10:26 | 000,013,592 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc)
SRV - [2011.03.11 13:08:32 | 002,656,280 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS)
SRV - [2011.03.11 13:08:31 | 000,326,168 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS)
SRV - [2010.03.18 21:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2007.03.16 01:24:02 | 000,537,520 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWOW64\lxbccoms.exe -- (lxbc_device)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.12.11 17:27:20 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.12.11 17:27:20 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012.10.10 02:22:28 | 005,343,584 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx)
DRV:64bit: - [2012.09.24 08:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2012.08.23 15:10:20 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV:64bit: - [2012.08.23 15:08:26 | 000,030,208 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV:64bit: - [2012.08.23 15:07:35 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2012.08.21 13:01:20 | 000,033,240 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.11.11 15:24:56 | 000,035,112 | ---- | M] (TeamViewer GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\teamviewervpn.sys -- (teamviewervpn)
DRV:64bit: - [2011.10.01 08:30:22 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol)
DRV:64bit: - [2011.10.01 08:30:18 | 000,268,648 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay)
DRV:64bit: - [2011.10.01 08:30:18 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir)
DRV:64bit: - [2011.10.01 08:30:10 | 000,764,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs)
DRV:64bit: - [2011.06.10 13:34:52 | 000,539,240 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2011.06.02 18:32:50 | 000,401,896 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmtxhci.sys -- (asmtxhci)
DRV:64bit: - [2011.06.02 18:32:50 | 000,128,488 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmthub3.sys -- (asmthub3)
DRV:64bit: - [2011.05.20 17:53:44 | 000,557,848 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor)
DRV:64bit: - [2011.03.11 13:08:31 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64)
DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.25 14:59:00 | 000,694,888 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\RTL8192su.sys -- (RTL8192su)
DRV:64bit: - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.10.15 09:28:18 | 000,317,440 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud)
DRV:64bit: - [2010.09.23 21:03:06 | 000,129,008 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\wsvd.sys -- (wsvd)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:35:35 | 000,408,960 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nvm62x64.sys -- (NVENETFD)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms}
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?st=5&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38}
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&st=5&q={searchTerms}&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=MDNF&bmod=MDNF
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchnu.com/431
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213
IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_deDE463
IE - HKCU\..\SearchScopes\{952790B8-1E00-4B10-AB33-4F7DC24558A5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_deDE463
IE - HKCU\..\SearchScopes\{9B6103C1-F818-48a8-9683-314055BE6075}: "URL" = hxxp://mystart.hiyo.com/?search={searchTerms}&loc=ie_search&a=1eynX8MsEWa
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms}
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&st=5&q={searchTerms}&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: "Ecosia"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.wetter.de/deutschland/wetter-castrop-rauxel-18220807/wetterprognose.html"
FF - prefs.js..extensions.enabledAddons: %7B5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6%7D:1.12
FF - prefs.js..extensions.enabledAddons: %7BE6C1199F-E687-42da-8C24-E7770CC3AE66%7D:1.8.0
FF - prefs.js..extensions.enabledAddons: personas%40christopher.beard:1.6.5
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..keyword.URL: "hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=faddr&t=a1213&q="
FF - prefs.js..network.proxy.autoconfig_url: "data:text/javascript,function%20FindProxyForURL(url%2C%20host)%20%7Bif%20(shExpMatch(url%2C%20'http%3A%2F%2Fgrooveshark.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fretro.grooveshark.com*')%20%7C%7C%20url.indexOf('vevo.com')%20!%3D%20-1%20%7C%7C%20(url.indexOf('turntable.fm')%20!%3D%20-1%20%26%26%20url.indexOf('static.turntable.fm')%20%3D%3D%20-1%20%26%26%20url.indexOf('s3.amazonaws.com')%20%3D%3D%20-1%20%26%26%20url.indexOf('ping.chartbeat.net')%20%3D%3D%20-1)%20%7C%7C%20url.indexOf('play.google.com')%20!%3D%20-1%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fwww.mtv.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fmedia.mtvnservices.com*')%20%7C%7C%20url.indexOf('southparkstudios.com')%20!%3D%20-1%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fwww.iheart.com*')%20%7C%7C%20host%20%3D%3D%20'www.pandora.com'%20%7C%7C%20(url.indexOf('proxmate%3Dactive')%20!%3D%20-1%20%26%26%20url.indexOf('amazonaws.com')%20%3D%3D%20-1)%20%7C%7C%20(url.indexOf('proxmate%3Dus')%20!%3D%20-1)%20%7C%7C%20host%20%3D%3D%20's.hulu.com'%20%7C%7C%20url.indexOf('discoverymedia.com')%20!%3D%20-1)%20%7B%20return%20'PROXY%20ab-us02.personalitycores.com%3A8000%3B%20PROXY%20ab-us08.personalitycores.com%3A8000%3B%20PROXY%20ab-us03.personalitycores.com%3A8000%3B%20PROXY%20ab-us07.personalitycores.com%3A8000%3B%20PROXY%20ab-us06.personalitycores.com%3A8000'%3B%7D%20%20else%20%7B%20return%20'DIRECT'%3B%20%7D%7D"
FF - prefs.js..network.proxy.http: "178.218.224.3"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.type: 2
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.wetter.de/deutschland/wetter-castrop-rauxel-18220807.html"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=16.4.3505.0912: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\facebook.com/fbDesktopPlugin: C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\npFbDesktopPlugin.dll (Facebook, Inc.)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2012.12.03 01:17:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012.12.03 01:17:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 09:00:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 09:00:34 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\ffox@bandoo.com: C:\Users\Kimba\AppData\Roaming\Mozilla\Firefox\Profiles\tqspir14.default\extensions\ffox@bandoo.com [2012.11.27 01:53:49 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 09:00:38 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 09:00:34 | 000,000,000 | ---D | M]
 
[2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Extensions
[2013.03.17 21:28:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\gx4dm4p5.default-1344556330598\extensions
[2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions
[2013.03.16 00:03:21 | 000,000,000 | ---D | M] (Search-Results Toolbar) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\{52170494-4d34-4f69-8dac-f726dc0da9ac}
[2012.12.19 19:56:11 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
[2012.08.08 18:25:38 | 000,000,000 | ---D | M] ("PhotoMania") -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\crossriderapp13370@crossrider.com
[2012.11.27 01:53:49 | 000,000,000 | ---D | M] (Bandoo for Firefox) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\ffox@bandoo.com
[2012.05.18 12:45:18 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\ich@maltegoetz.de
[2012.09.13 19:32:51 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\staged
[2012.11.26 14:30:56 | 000,083,610 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\FirefoxToolbar@gutscheindoktor.de.xpi
[2013.03.05 22:49:58 | 000,370,423 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\jid1-QpHD8URtZWJC2A@jetpack.xpi
[2013.03.06 09:50:58 | 000,386,363 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\personas@christopher.beard.xpi
[2012.08.10 00:54:04 | 000,058,374 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6}.xpi
[2013.02.26 21:54:35 | 000,095,101 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{B2AB711D-5D6E-4DDF-AE15-479A93450D48}.xpi
[2012.08.31 23:42:52 | 000,014,714 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{E6C1199F-E687-42da-8C24-E7770CC3AE66}.xpi
[2012.02.06 22:33:35 | 000,058,374 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\{5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6}.xpi
[2012.12.19 19:55:36 | 000,189,829 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.09.13 19:32:50 | 000,169,792 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\staged\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012.12.17 23:54:48 | 000,002,422 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\babylon1.xml
[2012.08.17 17:35:48 | 000,002,289 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\ecosia.xml
[2012.11.27 00:15:32 | 000,000,948 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\hiyo-bar-customized-web-search.xml
[2012.12.18 19:12:00 | 000,002,451 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\Messenger Plus Smartbar Search.xml
[2012.11.27 00:19:19 | 000,002,167 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\MyStart Search.xml
[2012.12.19 19:59:33 | 000,003,983 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\sweetim.xml
[2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2013.03.08 09:00:38 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.12.09 18:23:32 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
[2012.11.29 10:19:31 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.29 10:19:31 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.11.29 10:19:31 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.11.29 10:19:32 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.03.16 00:03:10 | 000,002,688 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
[2012.11.29 10:19:31 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.11.29 10:19:31 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.searchnu.com/431
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url = 
CHR - default_search_provider: suggest_url = 
CHR - homepage: hxxp://www.searchnu.com/431
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.550_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloejdefkancmfajekobpfoacecnhpgp\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\crossrider
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\maeijollgfmffkncnabiigmkoomhjnhf\3.2.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.550_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloejdefkancmfajekobpfoacecnhpgp\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\crossrider
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\maeijollgfmffkncnabiigmkoomhjnhf\3.2.0_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension64.dll ()
O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\BROWSE~1.DLL (Bandoo Media, inc)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
O2 - BHO: (PhotoMania) - {11111111-1111-1111-1111-110111331170} - C:\Program Files (x86)\PhotoMania\PhotoMania.dll (Trionity)
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files (x86)\PriceGong\2.6.9\PriceGongIE.dll (PriceGong)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll ()
O2 - BHO: (Search-Results Toolbar) - {52170494-4d34-4f69-8dac-f726dc0da9ac} - C:\PROGRA~2\WIA6EB~1\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WIA6EB~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll File not found
O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files (x86)\Bandoo\Plugins\IE\ieplugin.dll (Bandoo Media Inc.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {52170494-4d34-4f69-8dac-f726dc0da9ac} - C:\PROGRA~2\WIA6EB~1\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {B7CBCAC5-4CE2-4E50-9C6E-7D863A87AA96} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink)
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [Zune Launcher] C:\Program Files\Zune\ZuneLauncher.exe (Microsoft Corporation)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\WIA6EB~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc)
O4 - HKLM..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKLM..\Run: [zzzHPSETUP] E:\Setup.exe File not found
O4 - HKCU..\Run: [DAT9947.tmp.exe] C:\Users\Kimba\AppData\Local\Temp\DAT9947.tmp.exe File not found
O4 - HKCU..\Run: [Facebook Update] C:\Users\Kimba\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKCU..\Run: [fTalk]  File not found
O4 - HKCU..\Run: [Keilozalg] C:\Users\Kimba\AppData\Roaming\Mohiy\kacu.exe File not found
O4 - HKCU..\Run: [rfxsrvtray] C:\Program Files (x86)\Tobit Radio.fx\Client\rfx-tray.exe (Tobit.Software)
O4 - HKCU..\Run: [Spotify Web Helper] C:\Users\Kimba\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4:64bit: - HKLM..\RunOnce: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink)
O4 - Startup: C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk = C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Facebook)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files (x86)\IncrediMail\bin\resources\WebMenuImg.htm ()
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files (x86)\IncrediMail\bin\resources\WebMenuImg.htm ()
O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WIA6EB~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WIA6EB~1\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
O20 - AppInit_DLLs: (c:\progra~2\wia6eb~1\datamngr\datamngr.dll) - c:\progra~2\wia6eb~1\datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (c:\progra~2\wia6eb~1\datamngr\iebho.dll) - c:\progra~2\wia6eb~1\datamngr\iebho.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (c:\progra~2\bandoo\bndhook.dll) - c:\progra~2\bandoo\bndhook.dll (Discordia Limited)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.18 14:09:50 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe
[2013.03.16 02:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager
[2013.03.16 00:03:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Wincert
[2013.03.16 00:03:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Windows Searchqu Toolbar
[2013.03.09 13:06:09 | 000,000,000 | ---D | C] -- C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Facebook
[2013.03.08 09:00:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mozilla Firefox
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.18 14:16:36 | 000,000,000 | ---- | M] () -- C:\Users\Kimba\defogger_reenable
[2013.03.18 14:11:01 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.18 14:10:40 | 000,377,856 | ---- | M] () -- C:\Users\Kimba\Desktop\gmer_2.1.19155.exe
[2013.03.18 14:09:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe
[2013.03.18 14:09:18 | 000,050,477 | ---- | M] () -- C:\Users\Kimba\Desktop\Defogger.exe
[2013.03.18 13:37:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.03.18 13:15:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.03.18 13:15:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.03.18 13:07:18 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.18 13:07:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.03.18 13:07:04 | 1515,958,272 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.17 22:05:08 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-551545580-3293208221-2752029744-1000UA.job
[2013.03.16 13:05:01 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-551545580-3293208221-2752029744-1000Core.job
[2013.03.09 13:06:24 | 000,001,282 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk
[2013.02.19 17:45:42 | 003,325,720 | ---- | M] (Tobit.Software) -- C:\Windows\RXSUnins.exe
[2013.02.19 17:45:42 | 003,325,720 | ---- | M] (Tobit.Software) -- C:\Windows\RXCUnins.exe
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.18 14:16:36 | 000,000,000 | ---- | C] () -- C:\Users\Kimba\defogger_reenable
[2013.03.18 14:10:39 | 000,377,856 | ---- | C] () -- C:\Users\Kimba\Desktop\gmer_2.1.19155.exe
[2013.03.18 14:09:14 | 000,050,477 | ---- | C] () -- C:\Users\Kimba\Desktop\Defogger.exe
[2012.11.26 16:19:36 | 000,000,150 | ---- | C] () -- C:\Windows\Lexstat.ini
[2012.11.26 16:18:53 | 000,413,696 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcinpa.dll
[2012.11.26 16:18:53 | 000,397,312 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbciesc.dll
[2012.11.26 16:18:53 | 000,274,432 | ---- | C] () -- C:\Windows\SysWow64\LXBCinst.dll
[2012.11.26 16:18:52 | 001,224,704 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcserv.dll
[2012.11.26 16:18:52 | 000,995,328 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcusb1.dll
[2012.11.26 16:18:52 | 000,643,072 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcpmui.dll
[2012.11.26 16:18:52 | 000,585,728 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbclmpm.dll
[2012.11.26 16:18:52 | 000,413,696 | ---- | C] () -- C:\Windows\SysWow64\lxbcutil.dll
[2012.11.26 16:18:52 | 000,385,968 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcih.exe
[2012.11.26 16:18:52 | 000,181,168 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcppls.exe
[2012.11.26 16:18:52 | 000,163,840 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcprox.dll
[2012.11.26 16:18:52 | 000,094,208 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcpplc.dll
[2012.11.26 16:18:51 | 000,696,320 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbchbn3.dll
[2012.11.26 16:18:51 | 000,684,032 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccomc.dll
[2012.11.26 16:18:51 | 000,537,520 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccoms.exe
[2012.11.26 16:18:51 | 000,421,888 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccomm.dll
[2012.11.26 16:18:51 | 000,381,872 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccfg.exe
[2012.10.10 02:22:34 | 000,064,512 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll
[2012.10.10 02:22:28 | 000,272,928 | ---- | C] () -- C:\Windows\SysWow64\igvpkrng600.bin
[2012.10.10 02:22:20 | 000,963,452 | ---- | C] () -- C:\Windows\SysWow64\igcodeckrng600.bin
[2012.08.07 00:37:16 | 000,004,608 | ---- | C] () -- C:\Users\Kimba\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.02.20 21:56:59 | 000,000,017 | ---- | C] () -- C:\Windows\SysWow64\shortcut_ex.dat
[2011.12.28 16:38:44 | 002,681,344 | ---- | C] () -- C:\Windows\SysWow64\dvmsg.dll
[2011.12.22 19:34:43 | 000,098,304 | ---- | C] () -- C:\Windows\SysWow64\redmonnt.dll
[2011.12.20 20:47:31 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2011.08.31 20:51:16 | 000,963,116 | ---- | C] () -- C:\Windows\SysWow64\igkrng600.bin
[2011.08.31 20:51:16 | 000,216,000 | ---- | C] () -- C:\Windows\SysWow64\igfcg600m.bin
[2011.08.31 20:51:16 | 000,145,804 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng600.bin
[2005.04.07 15:07:40 | 000,014,601 | ---- | C] () -- C:\Program Files\Installationsanleitung.html
[2005.04.04 17:56:36 | 000,003,580 | ---- | C] () -- C:\Program Files\Bitte zuerst lesen.html
[2005.03.24 15:28:56 | 000,383,996 | ---- | C] () -- C:\Program Files\Photoshop Neue Funktionen.pdf
[2005.02.25 14:37:00 | 000,157,035 | ---- | C] () -- C:\Program Files\LegalNotices.pdf
 
========== ZeroAccess Check ==========
 
[2011.11.17 07:41:18 | 000,002,048 | -HS- | M] () -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\@
[2011.11.17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\L
[2013.03.17 22:12:19 | 000,000,000 | -HSD | M] -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"ThreadingModel" = Both
"" = C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\n.
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2011.12.22 19:34:41 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Babylon
[2012.11.27 01:54:07 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Bandoo
[2013.03.16 12:18:28 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Etxouv
[2012.04.25 02:02:39 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Igebz
[2012.08.10 00:49:00 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Mohiy
[2013.03.17 22:15:14 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Moipu
[2012.08.09 16:44:44 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Puzu
[2012.08.10 00:46:52 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Rekey
[2013.02.26 00:08:50 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\SoftGrid Client
[2013.03.10 15:49:44 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Spotify
[2011.12.23 21:57:55 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\streamripper
[2011.12.28 22:21:23 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\TeamViewer
[2012.01.02 00:11:22 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Tobit
[2011.12.20 20:48:15 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\TP
[2012.05.13 17:01:39 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Urymyvl
[2011.12.22 20:25:08 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Windows Live Writer
 
========== Purity Check ==========
 
 

< End of report >

cosinus · 18.03.2013, 16:52

Hallo und

Zitat:

[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40429896.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\800000cb.@

Lesestoff:
Rootkit-Warnung

Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten,
die er so sammelt, an die "bösen Jungs" weiterleiten kann.

Was heißt das jetzt für dich?

Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise
"chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du
damit umgehst, da sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich
entschieden hast.

Kimba · 18.03.2013, 17:06

Ach Du Sch.....!

Wo holt man sich sowas eigentlich größtenteils? Bin nie auf irgendwelchen "komischen" Seiten unterwegs.

Danke aber erstmal sehr für Deine schnelle Antwort, Cosinus!

Ich benutze das SMS-Tan-Verfahren. Ist das Deiner Meinung nach sicher? Was kann schlimmstenfalls passieren? Geld, welches abgebucht werden könnte, kann ich doch wieder zurückbuchen? Natürlich nur, wenn es nicht mit einer meiner Tans abgebucht wurde. Da sollte aber doch mit den SMS-Tan´s nichts passieren können?

Ich würde es gerne mit der Bereinigung probieren. Eine Betriebssystem-CD von Windows 7 habe ich nicht. Ist aber ein Original-Programm. Habe den Medion-PC vorletztes Jahr Weihnachten neu, mit der installierten Windows-Version, gekauft.

LG, Kimba

cosinus · 18.03.2013, 17:10

Zitat:

Eine Betriebssystem-CD von Windows 7 habe ich nicht.

Schau mal hier http://www.trojaner-board.de/100776-...tml#post676887

Kimba · 18.03.2013, 17:42

Sollte ich das also als erstes machen, bevor wir mit der weiteren Bereinigung fortfahren? Dann mache ich das jetzt!

Danke!!

So, habe jetzt eine DVD erstellt. Wie geht es jetzt weiter?

Und nochmal lieben Dank für eure große Mühe!

LG, Kimba

cosinus · 18.03.2013, 23:14

Wieso Reinigung?
Entweder "putzt" und repariert man oder man setzt neu auf. Ein Auto, welches in die Schrottprosse soll wird doch vorher auch nicht in die Waschstraße gefahren

Oder willst du unbedingt trotz der Gefahren eine Bereinigung haben, hab ich dich da vllt falsch verstanden?

Kimba · 18.03.2013, 23:49

Ich hatte Dich so verstanden, dass wir es mit der Bereinigung versuchen, aber vielleicht im Endeffekt dann doch neu installieren müssen, falls das nicht ganz klappt. Dafür hatte ich dann schonmal die DVD erstellt.

Cosinus, ich habe wirklich überhaupt keine Ahnung was ich machen soll und vertraue und hoffe darauf, dass Du mir da raten und helfen kannst.

Falls eine Bereinigung wirklich so gefährlich ist, kannst Du mir vielleicht noch bei der Neuinstallation helfen? Ich bin sehr verunsichert welche Dateien ich wie sichern sollte/muss. Welche Laufwerke ich formatieren sollte/muss. Wie und welche Treiberdateien ich sichern sollte/muss. Was nach der Neuinstalltion noch alles zu tun ist.

Bin gerade ziemlich verzweifelt. Danke Dir fürs Weiterhelfen sehr.

LG, Kimba.

cosinus · 19.03.2013, 00:05

Vllt hilft dir das weiter? Oder musst du keien Daten sichern?

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipiell so aber fast genauso mit allen anderen Live-Systemen auch.

Lade Dir ISO-Image von PartedMagic
Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
Mounte die Partitionen wo Windows installiert ist, meistens ist das /dev/sda1 bzw. /dev/sda2 bei Win7 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du
bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Kimba · 19.03.2013, 00:37

Das hört sich alles sehr fremd für mich an.

Ich habe 2 Laufwerke, einmal Boot: C, wo Windows und alle Programme installiert sind und wo auch meine Dateien sind (natürlich habe ich Dateien, wie Fotos, Musik und Unterlagen, die nicht verloren gehen sollten) und einmal Recover: D, dort sind Treiber usw. D kann ich also lassen und muss es nicht sichern und formatieren?

Ausser Windows und meinen eigenen Dateien muss ich nichts sichern? Eine externe Festplatte habe ich leider nicht. Da ich kein Doppel-DVD-Laufwerk habe funktioniert keine DVD zum sichern? Ist das so richtig?

Ich habe Angst, dass ich etwas falsch mache und dann nichts mehr funktioniert.

Und noch eine vielleicht blöde Frage: Ist mit mounten und kopieren das Gleiche gemeint? Also ich mounte erst alles was gesichert werden soll und dann kopiere ich es rüber auf das Speichermedium?

cosinus · 19.03.2013, 11:21

Zitat:

Ausser Windows und meinen eigenen Dateien muss ich nichts sichern?

Ich kann dir schlecht verraten was du wie genau wo gespeichert hast. Das kannst du nur selbst wissen. Vermutlich hast du alles in den Ordner "Eigene Dateien" bzw. unter Bibliotheken abgelegt, was du selbst an eigenen Daten wohin abgelegt hast kannst nur du wissen.

Wozu willst du Windows sichern? Dein Windows wie es jetzt installiert ist kannst du im Prinzip vergessen, da befallen.
Du könntest aber den jetzigen Zustand von Laufwerk C komplett sichern, damit du nichts vergessen werden kann. Nimm zB Drive Snapshot - Disk Image Backup leicht gemacht dafür, die Imagedatei musst du auf eine externe Platte speichern!!

Zitat:

Eine externe Festplatte habe ich leider nicht. Da ich kein Doppel-DVD-Laufwerk habe funktioniert keine DVD zum sichern? Ist das so richtig?

Ja, dann entweder kein Backup oder externe Platte kaufen.

Zitat:

Ich habe Angst, dass ich etwas falsch mache und dann nichts mehr funktioniert.

Über ein Forum ist nur begrenzt Hilfe möglich, wenn du keine Risiken eingehen willst musst du einen beauftragen, der zu dir kommt und dabei hilft.

Kimba · 19.03.2013, 11:41

Meine Fragen kommen Dir vielleicht dumm vor, aber ich greife natürlich nur die Dinge auf, die in den Anleitungen stehen, die Du mir hier vorschlägst.

Klar, logisch, Windows ist infiziert und muss natürlich nicht gesichert werden. Nur, wenn ich alles von Laufwerk C sichere, wäre Windows ja auch dabei.

Ich weiss natürlich wo ich meine privaten Daten habe, aber ich möchte nichts anderes, wichtiges vergessen zu sichern, wie z.B. die Treiber. Deswegen meine Frage, ob ich Laufwerk D auch formatieren und deswegen vorher sichern muss? Das ist mit Recover: D benannt und beinhaltet Treiber usw.

Sorry, wenn es sich für Dich alles dumm anhört, aber ich habe eben keine grossartigen Kenntnisse und habe mich aus dem Grund an Euch gewandt. Bin für Eure bzw. Deine Hilfe auch sehr dankbar.

Für mich steht auch immer noch im Raum was mounten ist? Man soll Windows und alle Dateien mounten die man sichern möchte, aber kopieren soll man dann Windows nicht auf die externe Platte?

cosinus · 19.03.2013, 12:40

Dazu hab ich mich doch schon eben zu geäußert, wenn du ein Image von C machen willst kannst du nichts vergessen zu sichern, aber dann wandert logischerwese auch das infizierte Windows mit ins Image. Du kannst aber selektiv wiederherstellen, lies dich einfach mal in die Seite von Drivesnapshot ein.

Wenn du ein Image von C erstellst (und mehr muss nicht gesichert werden) ist das Sichern über eine Linux-Linux-CD auch nicht mehr nötig, du brauchst dir dann nicht mehr den Kopf darüber zu zerbrechen was mounten bedeutet. Dieser Begriff ist fast nur in der Linuxwelt relevant

Kimba · 19.03.2013, 12:59

Ok, danke, dann lese ich mir das erstmal durch.

Aber eine Frage habe ich noch immer: Laufwerk D kann so bleiben wie es ist? Also muss nicht formatiert werden?

Dir ganz lieben Dank nochmal für Deine Hilfe und Geduld. :-)

cosinus · 19.03.2013, 13:04

Ich weiß nicht was du auf Laufwerk D hast

Alles was auf der internen Platte liegt und wichtig ist, muss gesichert werden
Dann muss man beim der Windows-Neuinstallation auch keine Rätsel raten ob man jetzt diese oder jene Partition löschen darf oder nicht, das ist einfach zu riskant. Und wenn du recoverst, hast du meist eh keine Möglichkeit auszuwählen, da wird idR alles komplett weggebügelt und so wiederhergestellt wie der Rechner gerade nach dem Auspacken beim ersten Einschalten konfiguriert war.

Daher alles sichern auf externe Platte, lieber zuviel als zuwenig

Kimba · 21.03.2013, 15:48

Ganz lieben Dank, Cosinus!

Ich werde mich mal nochmal durch die ganzen Tipps lesen und mich dann an die Arbeit machen. Ich werde Dich natürlich darüber informieren, wie alles geklappt hat. Das kann allerdings etwas dauern, habe vielleicht erst übernächste Woche Zeit dafür.

Eine Frage hätte ich aber noch: Was empfiehst Du mir für die Zukunft um meinen PC vor solchen Dingen besser zu schützen?

Ich habe natürlich eine Firewall und mein Antivir Echtzeit-Scanner läuft auch immer mit. Mein Windows und mein Firefox wird auch automatisch immer aktualisiert.

Lieber Gruß
Kimba

Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan!

Log-Analyse und Auswertung: Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan!