| |
| |||||||
Log-Analyse und Auswertung: Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.03.2013, 16:17
| #1 |
 |  Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan! Hallo liebe Trojaner-Board-Helfer, ich habe gleich einen Befall von mehreren Störenfrieden. Bin durch meine Bank darauf gestossen worden, die mein Online-Banking wegen eines Trojaner-Befalls gesperrt hat. Habe gestern einen Scan mit "Antivir" durchgeführt und so einiges gefunden und, wenn möglich, in Quarantäne geschickt. Habe vorübergehend Java deinstalliert, weil dort auch so einiges gefunden wurde und ich sicher gehen wollte. Der PC läuft einwandfrei, aber ich hatte vor ca. 1,5 Monaten einen Vorfall, wo Spammails von meinem Hotmail-Account verschickt wurden. Habe daraufhin alle Passwörter geändert, aber ansonsten nichts weiter unternommen. Ich habe den Antivir-Echtzeitscanner immer aktiv und natürlich auch meine Firewall. Wäre für Hilfe sehr dankbar! Habe mit "defogger" deaktiviert und auch mit "OTL" und "Gmer" gescannt. Leider war der Post zu lang und ich poste nun erstmal den Log von "Antivir" und "OTL", da ihr ja geschrieben habt, dass man Anhänge nur nach Aufforderung posten soll. Reiche ich aber alles nach, wenn angefragt. Vielen, lieben Dank schonmal für die Hilfe!  Ich hoffe ich habe alles richtig gemacht?!LG, Kimba Antivir: Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 17. März 2013 21:01
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KIMBA-PC
Versionsinformationen:
BUILD.DAT : 13.0.0.3185 47702 Bytes 30.01.2013 10:05:00
AVSCAN.EXE : 13.6.0.584 640224 Bytes 06.02.2013 11:12:03
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:26:58
LUKE.DLL : 13.6.0.602 67808 Bytes 06.02.2013 11:12:18
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 05.02.2013 11:17:03
AVREG.DLL : 13.6.0.600 250592 Bytes 05.02.2013 11:17:00
avlode.dll : 13.6.2.624 434912 Bytes 05.02.2013 11:17:05
avlode.rdf : 13.0.0.38 15231 Bytes 13.02.2013 09:25:22
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 17:22:29
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07.02.2013 15:18:10
VBASE009.VDF : 7.11.60.11 2048 Bytes 07.02.2013 15:18:10
VBASE010.VDF : 7.11.60.12 2048 Bytes 07.02.2013 15:18:10
VBASE011.VDF : 7.11.60.13 2048 Bytes 07.02.2013 15:18:10
VBASE012.VDF : 7.11.60.14 2048 Bytes 07.02.2013 15:18:10
VBASE013.VDF : 7.11.60.62 351232 Bytes 08.02.2013 11:01:40
VBASE014.VDF : 7.11.60.115 190976 Bytes 09.02.2013 07:00:32
VBASE015.VDF : 7.11.60.177 282624 Bytes 11.02.2013 07:00:34
VBASE016.VDF : 7.11.60.249 215552 Bytes 13.02.2013 15:25:46
VBASE017.VDF : 7.11.61.65 151040 Bytes 15.02.2013 16:45:46
VBASE018.VDF : 7.11.61.135 159232 Bytes 18.02.2013 14:58:39
VBASE019.VDF : 7.11.61.163 152064 Bytes 18.02.2013 20:58:43
VBASE020.VDF : 7.11.61.207 164352 Bytes 19.02.2013 19:10:05
VBASE021.VDF : 7.11.62.43 206336 Bytes 21.02.2013 21:16:50
VBASE022.VDF : 7.11.64.106 1510912 Bytes 11.03.2013 14:20:52
VBASE023.VDF : 7.11.64.157 137216 Bytes 12.03.2013 18:34:20
VBASE024.VDF : 7.11.64.233 159744 Bytes 14.03.2013 20:46:30
VBASE025.VDF : 7.11.65.19 143360 Bytes 15.03.2013 21:53:26
VBASE026.VDF : 7.11.65.63 150528 Bytes 17.03.2013 19:40:15
VBASE027.VDF : 7.11.65.64 2048 Bytes 17.03.2013 19:40:15
VBASE028.VDF : 7.11.65.65 2048 Bytes 17.03.2013 19:40:15
VBASE029.VDF : 7.11.65.66 2048 Bytes 17.03.2013 19:40:15
VBASE030.VDF : 7.11.65.67 2048 Bytes 17.03.2013 19:40:15
VBASE031.VDF : 7.11.65.70 13312 Bytes 17.03.2013 19:40:15
Engineversion : 8.2.12.16
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.98 475516 Bytes 14.03.2013 20:46:39
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 17:06:14
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 13:58:27
AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 20:46:38
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 16:10:39
AEHEUR.DLL : 8.1.4.248 5804409 Bytes 14.03.2013 20:46:37
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.10.2012 11:20:39
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 20:13:00
AEEXP.DLL : 8.4.0.12 192886 Bytes 14.03.2013 20:46:39
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 13:10:06
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:52:17
AVWINLL.DLL : 13.6.0.480 26480 Bytes 06.02.2013 11:11:58
AVPREF.DLL : 13.6.0.480 51056 Bytes 06.02.2013 11:12:03
AVREP.DLL : 13.6.0.480 178544 Bytes 05.02.2013 11:17:01
AVARKT.DLL : 13.6.0.624 260832 Bytes 06.02.2013 11:12:00
AVEVTLOG.DLL : 13.6.0.600 167648 Bytes 06.02.2013 11:12:02
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 06.02.2013 11:12:04
NETNT.DLL : 13.6.0.480 16240 Bytes 06.02.2013 11:12:18
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:26:52
RCTEXT.DLL : 13.6.0.480 68976 Bytes 06.02.2013 11:11:58
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Sonntag, 17. März 2013 21:01
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ExtensionUpdaterService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbccoms.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandoo.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZuneLauncher.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-tray.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpotifyWebHelper.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'FacebookMessenger.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetPacksUpdateManager.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'datamngrUI.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2440' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Boot>
[0] Archivtyp: RSRC
--> C:\Program Files (x86)\Bandoo\uninstaller.exe
[1] Archivtyp: NSIS
--> object
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Program Files (x86)\Bandoo\uninstaller.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56fba059.qua' verschoben!
C:\Users\Kimba\AppData\Local\Temp\88F4.tmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.urx
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e4f9148.qua' verschoben!
--> C:\Users\Kimba\AppData\Local\Temp\jar_cache5180533150243676248.tmp
[1] Archivtyp: ZIP
--> MdYM.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.436
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> miSmTF.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Dldr.Java.N
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> MtqvgWjP.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.968
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> QFru.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-4681.CE
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> uqVFBfkcWI.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.427
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\Local\Temp\jar_cache5180533150243676248.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.427
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c24cb8e.qua' verschoben!
C:\Users\Kimba\AppData\Local\Temp\ICReinstall\incredimail_install629.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a0287d2.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\00000001.@
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.T
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f59aaf7.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\80000000.@
[FUND] Ist das Trojanische Pferd TR/Sirefef.16896
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40429896.qua' verschoben!
C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cfab4dc.qua' verschoben!
--> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\487e1151-7567addc
[1] Archivtyp: ZIP
--> O1.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.FC
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> O2.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CT
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> O3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\487e1151-7567addc
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '70e98ada.qua' verschoben!
--> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5fa3bee-1ae29247
[1] Archivtyp: ZIP
--> CL1.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> CL2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DX
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> CL3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5fa3bee-1ae29247
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d69a541.qua' verschoben!
--> C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\fdeb22e-27296eb3
[1] Archivtyp: ZIP
--> Bett.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.EZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Fatiij.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DQ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Ini.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.Z
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Rago.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.DI
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Rare.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE20121723.FZ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Third.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.CM.1
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nieo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Kimba\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\fdeb22e-27296eb3
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '440d9ed9.qua' verschoben!
C:\Users\Kimba\AppData\Roaming\Moipu\nezaf.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.3123205
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '283acc87.qua' verschoben!
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Ende des Suchlaufs: Sonntag, 17. März 2013 22:44
Benötigte Zeit: 1:43:18 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
35502 Verzeichnisse wurden überprüft
677267 Dateien wurden geprüft
30 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
677237 Dateien ohne Befall
12932 Archive wurden durchsucht
19 Warnungen
11 Hinweise
832419 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter OTL logfile created on: 18.03.2013 14:17:29 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Kimba\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,88 Gb Total Physical Memory | 0,77 Gb Available Physical Memory | 40,91% Memory free 3,76 Gb Paging File | 2,42 Gb Available in Paging File | 64,24% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 414,66 Gb Total Space | 338,09 Gb Free Space | 81,53% Space Free | Partition Type: NTFS Drive D: | 50,00 Gb Total Space | 31,90 Gb Free Space | 63,80% Space Free | Partition Type: NTFS Computer Name: KIMBA-PC | User Name: Kimba | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.18 14:09:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe PRC - [2013.03.07 21:32:38 | 000,248,240 | ---- | M] (Facebook) -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe PRC - [2013.02.22 15:30:32 | 003,818,776 | ---- | M] () -- C:\Program Files (x86)\Tobit Radio.fx\Server\rfx-server.exe PRC - [2013.02.06 12:12:18 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2013.02.06 12:12:02 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.02.06 12:12:02 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2013.02.05 16:48:44 | 000,272,248 | ---- | M] (McAfee, Inc.) -- C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe PRC - [2013.01.28 09:01:53 | 001,684,528 | ---- | M] (Bandoo Media, inc) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe PRC - [2012.12.18 06:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe PRC - [2012.10.28 00:30:25 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Users\Kimba\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe PRC - [2012.10.10 21:21:32 | 001,923,136 | ---- | M] (Bandoo Media Inc.) -- C:\Program Files (x86)\Bandoo\Bandoo.exe PRC - [2012.08.15 19:08:34 | 000,231,768 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe PRC - [2011.12.14 12:59:20 | 002,984,832 | ---- | M] (TeamViewer GmbH) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe PRC - [2011.12.09 18:22:26 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\Winamp\winampa.exe PRC - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe PRC - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe PRC - [2011.05.26 00:32:46 | 000,443,688 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe PRC - [2011.05.20 18:10:26 | 000,013,592 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe PRC - [2011.05.20 18:10:12 | 000,284,440 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe PRC - [2011.03.11 13:08:32 | 002,656,280 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe PRC - [2011.03.11 13:08:31 | 000,326,168 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe PRC - [2010.08.03 23:39:38 | 000,107,816 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe ========== Modules (No Company Name) ========== MOD - [2013.03.07 21:32:40 | 021,014,960 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\libcef.dll MOD - [2013.03.07 21:32:38 | 000,292,272 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\CefSharp.dll MOD - [2013.03.07 21:32:38 | 000,179,632 | ---- | M] () -- C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\CefSharp.WinForms.dll MOD - [2013.02.14 08:15:06 | 011,833,344 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\5ecf01964c70e453d71e5d7653912ff9\System.Web.ni.dll MOD - [2013.02.14 08:14:56 | 012,436,480 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\cb562e2e4f74ae607f1186f6ec50cec7\System.Windows.Forms.ni.dll MOD - [2013.01.10 08:24:54 | 000,491,520 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorUtil\346a7a67978cead8e2ff52c6d80bbeb7\IAStorUtil.ni.dll MOD - [2013.01.10 08:24:54 | 000,014,336 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\IAStorCommon\500a8ae2a5d27132d87ccac9f97b0069\IAStorCommon.ni.dll MOD - [2013.01.10 08:01:59 | 000,771,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\90b89f6e8032310e9ac72a309fd49e83\System.Runtime.Remoting.ni.dll MOD - [2013.01.10 08:01:53 | 006,611,456 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data\dd20416f723ee13ffb4173ec1afc4ec4\System.Data.ni.dll MOD - [2013.01.10 08:00:46 | 001,592,832 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eead6629e384a5b69f9ae35284b7eeed\System.Drawing.ni.dll MOD - [2013.01.10 08:00:17 | 003,347,968 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\WindowsBase\cf827fe7bc99d9bcf0ba3621054ef527\WindowsBase.ni.dll MOD - [2013.01.10 08:00:03 | 005,453,312 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\f687c43e9fdec031988b33ae722c4613\System.Xml.ni.dll MOD - [2013.01.10 07:59:53 | 000,971,264 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\195a77fcc6206f8bb35d419ff2cf0d72\System.Configuration.ni.dll MOD - [2013.01.10 07:59:45 | 007,989,760 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\369f8bdca364e2b4936d18dea582912c\System.ni.dll MOD - [2013.01.10 07:59:24 | 011,493,376 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7150b9136fad5b79e88f6c7f9d3d2c39\mscorlib.ni.dll MOD - [2012.12.20 12:36:18 | 000,078,336 | ---- | M] () -- c:\ProgramData\Wincert\win32prop.dll MOD - [2012.12.20 12:36:18 | 000,007,168 | ---- | M] () -- c:\ProgramData\Wincert\win32cert.dll MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2011.05.16 15:03:22 | 000,212,992 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.resources\2.0.0.0_de_b77a5c561934e089\System.resources.dll MOD - [2011.05.16 15:03:17 | 000,032,768 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Runtime.Remoting.resources\2.0.0.0_de_b77a5c561934e089\System.Runtime.Remoting.resources.dll MOD - [2010.11.21 04:24:08 | 002,927,616 | ---- | M] () -- C:\Windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll MOD - [2010.11.13 01:08:41 | 000,315,392 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll MOD - [2010.08.03 23:39:38 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll MOD - [2010.08.03 23:39:32 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll ========== Services (SafeList) ========== SRV:64bit: - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater) SRV:64bit: - [2011.08.05 11:53:12 | 000,467,680 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\ZuneWlanCfgSvc.exe -- (ZuneWlanCfgSvc) SRV:64bit: - [2011.08.05 11:53:12 | 000,306,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\WMZuneComm.exe -- (WMZuneComm) SRV:64bit: - [2011.08.05 11:53:06 | 008,277,728 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Zune\ZuneNss.exe -- (ZuneNetworkSvc) SRV:64bit: - [2009.07.14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) SRV:64bit: - [2007.03.16 01:24:18 | 000,566,704 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxbccoms.exe -- (lxbc_device) SRV - [2013.03.12 22:37:33 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013.03.08 09:00:38 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013.02.22 15:30:32 | 003,818,776 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Tobit Radio.fx\Server\rfx-server.exe -- (Radio.fx) SRV - [2013.02.06 12:12:18 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.02.06 12:12:02 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.02.05 16:48:00 | 000,235,216 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe -- (McComponentHostService) SRV - [2012.12.18 06:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.10.10 21:21:32 | 001,923,136 | ---- | M] (Bandoo Media Inc.) [Auto | Running] -- C:\Program Files (x86)\Bandoo\Bandoo.exe -- (Bandoo Coordinator) SRV - [2012.10.10 02:22:26 | 000,277,024 | ---- | M] (Intel Corporation) [On_Demand | Stopped] -- C:\Windows\SysWOW64\IntelCpHeciSvc.exe -- (cphs) SRV - [2011.12.14 12:59:20 | 002,984,832 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7) SRV - [2011.10.01 08:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa) SRV - [2011.10.01 08:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist) SRV - [2011.05.20 18:10:26 | 000,013,592 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) SRV - [2011.03.11 13:08:32 | 002,656,280 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) SRV - [2011.03.11 13:08:31 | 000,326,168 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) SRV - [2010.03.18 21:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2007.03.16 01:24:02 | 000,537,520 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWOW64\lxbccoms.exe -- (lxbc_device) ========== Driver Services (SafeList) ========== DRV:64bit: - [2012.12.11 17:27:20 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2012.12.11 17:27:20 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2012.10.10 02:22:28 | 005,343,584 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2012.09.24 08:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2012.08.23 15:10:20 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rdpvideominiport.sys -- (RdpVideoMiniport) DRV:64bit: - [2012.08.23 15:08:26 | 000,030,208 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD) DRV:64bit: - [2012.08.23 15:07:35 | 000,057,856 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2012.08.21 13:01:20 | 000,033,240 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2011.11.11 15:24:56 | 000,035,112 | ---- | M] (TeamViewer GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\teamviewervpn.sys -- (teamviewervpn) DRV:64bit: - [2011.10.01 08:30:22 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftvollh.sys -- (Sftvol) DRV:64bit: - [2011.10.01 08:30:18 | 000,268,648 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftplaylh.sys -- (Sftplay) DRV:64bit: - [2011.10.01 08:30:18 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftredirlh.sys -- (Sftredir) DRV:64bit: - [2011.10.01 08:30:10 | 000,764,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Sftfslh.sys -- (Sftfs) DRV:64bit: - [2011.06.10 13:34:52 | 000,539,240 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2011.06.02 18:32:50 | 000,401,896 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmtxhci.sys -- (asmtxhci) DRV:64bit: - [2011.06.02 18:32:50 | 000,128,488 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmthub3.sys -- (asmthub3) DRV:64bit: - [2011.05.20 17:53:44 | 000,557,848 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2011.03.11 13:08:31 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64) DRV:64bit: - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.11.25 14:59:00 | 000,694,888 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\RTL8192su.sys -- (RTL8192su) DRV:64bit: - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.10.15 09:28:18 | 000,317,440 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud) DRV:64bit: - [2010.09.23 21:03:06 | 000,129,008 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\wsvd.sys -- (wsvd) DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.06.10 21:35:35 | 000,408,960 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\nvm62x64.sys -- (NVENETFD) DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431} IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms} IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com/?st=5&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38} IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431} IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&st=5&q={searchTerms}&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=MDNF&bmod=MDNF IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchnu.com/431 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213 IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2431} IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=addr&q={searchTerms}&t=a1213 IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_deDE463 IE - HKCU\..\SearchScopes\{952790B8-1E00-4B10-AB33-4F7DC24558A5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_deDE463 IE - HKCU\..\SearchScopes\{9B6103C1-F818-48a8-9683-314055BE6075}: "URL" = hxxp://mystart.hiyo.com/?search={searchTerms}&loc=ie_search&a=1eynX8MsEWa IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = hxxp://dts.search-results.com/sr?src=ieb&gct=ds&appid=384&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=7499470325214224&q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = hxxp://dts.search-results.com/web?src=ieb&gct=ds&appid=135&systemid=431&apn_dtid=BND431&apn_ptnrs=AGH&o=APN10656&apn_uid=0025940438964229&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&st=5&q={searchTerms}&barid={A3F45FFC-803F-4317-AB76-3D64FA071E38} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaulturl: "" FF - prefs.js..browser.search.selectedEngine: "Ecosia" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.wetter.de/deutschland/wetter-castrop-rauxel-18220807/wetterprognose.html" FF - prefs.js..extensions.enabledAddons: %7B5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6%7D:1.12 FF - prefs.js..extensions.enabledAddons: %7BE6C1199F-E687-42da-8C24-E7770CC3AE66%7D:1.8.0 FF - prefs.js..extensions.enabledAddons: personas%40christopher.beard:1.6.5 FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 FF - prefs.js..keyword.URL: "hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=b6a9431a-395f-4e39-b03f-cd3ea898246a&sp=faddr&t=a1213&q=" FF - prefs.js..network.proxy.autoconfig_url: "data:text/javascript,function%20FindProxyForURL(url%2C%20host)%20%7Bif%20(shExpMatch(url%2C%20'http%3A%2F%2Fgrooveshark.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fretro.grooveshark.com*')%20%7C%7C%20url.indexOf('vevo.com')%20!%3D%20-1%20%7C%7C%20(url.indexOf('turntable.fm')%20!%3D%20-1%20%26%26%20url.indexOf('static.turntable.fm')%20%3D%3D%20-1%20%26%26%20url.indexOf('s3.amazonaws.com')%20%3D%3D%20-1%20%26%26%20url.indexOf('ping.chartbeat.net')%20%3D%3D%20-1)%20%7C%7C%20url.indexOf('play.google.com')%20!%3D%20-1%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fwww.mtv.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fmedia.mtvnservices.com*')%20%7C%7C%20url.indexOf('southparkstudios.com')%20!%3D%20-1%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fwww.iheart.com*')%20%7C%7C%20host%20%3D%3D%20'www.pandora.com'%20%7C%7C%20(url.indexOf('proxmate%3Dactive')%20!%3D%20-1%20%26%26%20url.indexOf('amazonaws.com')%20%3D%3D%20-1)%20%7C%7C%20(url.indexOf('proxmate%3Dus')%20!%3D%20-1)%20%7C%7C%20host%20%3D%3D%20's.hulu.com'%20%7C%7C%20url.indexOf('discoverymedia.com')%20!%3D%20-1)%20%7B%20return%20'PROXY%20ab-us02.personalitycores.com%3A8000%3B%20PROXY%20ab-us08.personalitycores.com%3A8000%3B%20PROXY%20ab-us03.personalitycores.com%3A8000%3B%20PROXY%20ab-us07.personalitycores.com%3A8000%3B%20PROXY%20ab-us06.personalitycores.com%3A8000'%3B%7D%20%20else%20%7B%20return%20'DIRECT'%3B%20%7D%7D" FF - prefs.js..network.proxy.http: "178.218.224.3" FF - prefs.js..network.proxy.http_port: 3128 FF - prefs.js..network.proxy.type: 2 FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "MyStart Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.wetter.de/deutschland/wetter-castrop-rauxel-18220807.html" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=16.4.3505.0912: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\facebook.com/fbDesktopPlugin: C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\npFbDesktopPlugin.dll (Facebook, Inc.) 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2012.12.03 01:17:22 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012.12.03 01:17:22 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 09:00:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 09:00:34 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\ffox@bandoo.com: C:\Users\Kimba\AppData\Roaming\Mozilla\Firefox\Profiles\tqspir14.default\extensions\ffox@bandoo.com [2012.11.27 01:53:49 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2013.03.08 09:00:38 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013.03.08 09:00:34 | 000,000,000 | ---D | M] [2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Extensions [2013.03.17 21:28:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\gx4dm4p5.default-1344556330598\extensions [2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions [2013.03.16 00:03:21 | 000,000,000 | ---D | M] (Search-Results Toolbar) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\{52170494-4d34-4f69-8dac-f726dc0da9ac} [2012.12.19 19:56:11 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012.08.08 18:25:38 | 000,000,000 | ---D | M] ("PhotoMania") -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\crossriderapp13370@crossrider.com [2012.11.27 01:53:49 | 000,000,000 | ---D | M] (Bandoo for Firefox) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\ffox@bandoo.com [2012.05.18 12:45:18 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\ich@maltegoetz.de [2012.09.13 19:32:51 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\Firefox\Profiles\tqspir14.default\extensions\staged [2012.11.26 14:30:56 | 000,083,610 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\FirefoxToolbar@gutscheindoktor.de.xpi [2013.03.05 22:49:58 | 000,370,423 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\jid1-QpHD8URtZWJC2A@jetpack.xpi [2013.03.06 09:50:58 | 000,386,363 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\personas@christopher.beard.xpi [2012.08.10 00:54:04 | 000,058,374 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6}.xpi [2013.02.26 21:54:35 | 000,095,101 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{B2AB711D-5D6E-4DDF-AE15-479A93450D48}.xpi [2012.08.31 23:42:52 | 000,014,714 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\extensions\{E6C1199F-E687-42da-8C24-E7770CC3AE66}.xpi [2012.02.06 22:33:35 | 000,058,374 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\{5CEFD22F-9A9E-4544-9BFC-C4F2FBCA87D6}.xpi [2012.12.19 19:55:36 | 000,189,829 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012.09.13 19:32:50 | 000,169,792 | ---- | M] () (No name found) -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\tqspir14.default\extensions\staged\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012.12.17 23:54:48 | 000,002,422 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\babylon1.xml [2012.08.17 17:35:48 | 000,002,289 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\ecosia.xml [2012.11.27 00:15:32 | 000,000,948 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\hiyo-bar-customized-web-search.xml [2012.12.18 19:12:00 | 000,002,451 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\Messenger Plus Smartbar Search.xml [2012.11.27 00:19:19 | 000,002,167 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\MyStart Search.xml [2012.12.19 19:59:33 | 000,003,983 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\mozilla\firefox\profiles\gx4dm4p5.default-1344556330598\searchplugins\sweetim.xml [2013.03.16 00:03:32 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2013.03.08 09:00:38 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011.12.09 18:23:32 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll [2012.11.29 10:19:31 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.11.29 10:19:31 | 000,002,465 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2012.11.29 10:19:31 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2012.11.29 10:19:32 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2013.03.16 00:03:10 | 000,002,688 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml [2012.11.29 10:19:31 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2012.11.29 10:19:31 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml ========== Chrome ========== CHR - homepage: hxxp://www.searchnu.com/431 CHR - default_search_provider: () CHR - default_search_provider: search_url = CHR - default_search_provider: suggest_url = CHR - homepage: hxxp://www.searchnu.com/431 CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.550_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloejdefkancmfajekobpfoacecnhpgp\1.0.0.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\crossrider CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\maeijollgfmffkncnabiigmkoomhjnhf\3.2.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.550_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloejdefkancmfajekobpfoacecnhpgp\1.0.0.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\crossrider CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjdlbnelihabmidedpddnfhamfbcdpm\1.19.29_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\maeijollgfmffkncnabiigmkoomhjnhf\3.2.0_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\ CHR - Extension: No name found = C:\Users\Kimba\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension64.dll () O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\BROWSE~1.DLL (Bandoo Media, inc) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.) O2 - BHO: (PhotoMania) - {11111111-1111-1111-1111-110111331170} - C:\Program Files (x86)\PhotoMania\PhotoMania.dll (Trionity) O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files (x86)\PriceGong\2.6.9\PriceGongIE.dll (PriceGong) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll () O2 - BHO: (Search-Results Toolbar) - {52170494-4d34-4f69-8dac-f726dc0da9ac} - C:\PROGRA~2\WIA6EB~1\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\WIA6EB~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll File not found O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files (x86)\Bandoo\Plugins\IE\ieplugin.dll (Bandoo Media Inc.) O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {52170494-4d34-4f69-8dac-f726dc0da9ac} - C:\PROGRA~2\WIA6EB~1\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {B7CBCAC5-4CE2-4E50-9C6E-7D863A87AA96} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink) O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4:64bit: - HKLM..\Run: [Zune Launcher] C:\Program Files\Zune\ZuneLauncher.exe (Microsoft Corporation) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\WIA6EB~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc) O4 - HKLM..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation) O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.) O4 - HKLM..\Run: [zzzHPSETUP] E:\Setup.exe File not found O4 - HKCU..\Run: [DAT9947.tmp.exe] C:\Users\Kimba\AppData\Local\Temp\DAT9947.tmp.exe File not found O4 - HKCU..\Run: [Facebook Update] C:\Users\Kimba\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKCU..\Run: [fTalk] File not found O4 - HKCU..\Run: [Keilozalg] C:\Users\Kimba\AppData\Roaming\Mohiy\kacu.exe File not found O4 - HKCU..\Run: [rfxsrvtray] C:\Program Files (x86)\Tobit Radio.fx\Client\rfx-tray.exe (Tobit.Software) O4 - HKCU..\Run: [Spotify Web Helper] C:\Users\Kimba\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd) O4:64bit: - HKLM..\RunOnce: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink) O4 - Startup: C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk = C:\Users\Kimba\AppData\Local\Facebook\Messenger\2.1.4814.0\FacebookMessenger.exe (Facebook) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8:64bit: - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files (x86)\IncrediMail\bin\resources\WebMenuImg.htm () O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files (x86)\IncrediMail\bin\resources\WebMenuImg.htm () O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O18:64bit: - Protocol\Handler\livecall - No CLSID value found O18:64bit: - Protocol\Handler\msnim - No CLSID value found O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found O18:64bit: - Protocol\Handler\wlpg - No CLSID value found O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll () O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WIA6EB~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\datamngr.dll (Bandoo Media, inc) O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\WIA6EB~1\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\WIA6EB~1\Datamngr\x64\IEBHO.dll (Bandoo Media, inc) O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll () O20 - AppInit_DLLs: (c:\progra~2\wia6eb~1\datamngr\datamngr.dll) - c:\progra~2\wia6eb~1\datamngr\datamngr.dll (Bandoo Media, inc) O20 - AppInit_DLLs: (c:\progra~2\wia6eb~1\datamngr\iebho.dll) - c:\progra~2\wia6eb~1\datamngr\iebho.dll (Bandoo Media, inc) O20 - AppInit_DLLs: (c:\progra~2\bandoo\bndhook.dll) - c:\progra~2\bandoo\bndhook.dll (Discordia Limited) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation) O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2013.03.18 14:09:50 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe [2013.03.16 02:08:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager [2013.03.16 00:03:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Wincert [2013.03.16 00:03:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Windows Searchqu Toolbar [2013.03.09 13:06:09 | 000,000,000 | ---D | C] -- C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Facebook [2013.03.08 09:00:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mozilla Firefox [2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.03.18 14:16:36 | 000,000,000 | ---- | M] () -- C:\Users\Kimba\defogger_reenable [2013.03.18 14:11:01 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.03.18 14:10:40 | 000,377,856 | ---- | M] () -- C:\Users\Kimba\Desktop\gmer_2.1.19155.exe [2013.03.18 14:09:53 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Kimba\Desktop\OTL.exe [2013.03.18 14:09:18 | 000,050,477 | ---- | M] () -- C:\Users\Kimba\Desktop\Defogger.exe [2013.03.18 13:37:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2013.03.18 13:15:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.03.18 13:15:26 | 000,016,944 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.03.18 13:07:18 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.03.18 13:07:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.03.18 13:07:04 | 1515,958,272 | -HS- | M] () -- C:\hiberfil.sys [2013.03.17 22:05:08 | 000,000,928 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-551545580-3293208221-2752029744-1000UA.job [2013.03.16 13:05:01 | 000,000,906 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-551545580-3293208221-2752029744-1000Core.job [2013.03.09 13:06:24 | 000,001,282 | ---- | M] () -- C:\Users\Kimba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk [2013.02.19 17:45:42 | 003,325,720 | ---- | M] (Tobit.Software) -- C:\Windows\RXSUnins.exe [2013.02.19 17:45:42 | 003,325,720 | ---- | M] (Tobit.Software) -- C:\Windows\RXCUnins.exe [2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.03.18 14:16:36 | 000,000,000 | ---- | C] () -- C:\Users\Kimba\defogger_reenable [2013.03.18 14:10:39 | 000,377,856 | ---- | C] () -- C:\Users\Kimba\Desktop\gmer_2.1.19155.exe [2013.03.18 14:09:14 | 000,050,477 | ---- | C] () -- C:\Users\Kimba\Desktop\Defogger.exe [2012.11.26 16:19:36 | 000,000,150 | ---- | C] () -- C:\Windows\Lexstat.ini [2012.11.26 16:18:53 | 000,413,696 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcinpa.dll [2012.11.26 16:18:53 | 000,397,312 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbciesc.dll [2012.11.26 16:18:53 | 000,274,432 | ---- | C] () -- C:\Windows\SysWow64\LXBCinst.dll [2012.11.26 16:18:52 | 001,224,704 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcserv.dll [2012.11.26 16:18:52 | 000,995,328 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcusb1.dll [2012.11.26 16:18:52 | 000,643,072 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcpmui.dll [2012.11.26 16:18:52 | 000,585,728 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbclmpm.dll [2012.11.26 16:18:52 | 000,413,696 | ---- | C] () -- C:\Windows\SysWow64\lxbcutil.dll [2012.11.26 16:18:52 | 000,385,968 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcih.exe [2012.11.26 16:18:52 | 000,181,168 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcppls.exe [2012.11.26 16:18:52 | 000,163,840 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcprox.dll [2012.11.26 16:18:52 | 000,094,208 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbcpplc.dll [2012.11.26 16:18:51 | 000,696,320 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbchbn3.dll [2012.11.26 16:18:51 | 000,684,032 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccomc.dll [2012.11.26 16:18:51 | 000,537,520 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccoms.exe [2012.11.26 16:18:51 | 000,421,888 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccomm.dll [2012.11.26 16:18:51 | 000,381,872 | ---- | C] ( ) -- C:\Windows\SysWow64\lxbccfg.exe [2012.10.10 02:22:34 | 000,064,512 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll [2012.10.10 02:22:28 | 000,272,928 | ---- | C] () -- C:\Windows\SysWow64\igvpkrng600.bin [2012.10.10 02:22:20 | 000,963,452 | ---- | C] () -- C:\Windows\SysWow64\igcodeckrng600.bin [2012.08.07 00:37:16 | 000,004,608 | ---- | C] () -- C:\Users\Kimba\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.02.20 21:56:59 | 000,000,017 | ---- | C] () -- C:\Windows\SysWow64\shortcut_ex.dat [2011.12.28 16:38:44 | 002,681,344 | ---- | C] () -- C:\Windows\SysWow64\dvmsg.dll [2011.12.22 19:34:43 | 000,098,304 | ---- | C] () -- C:\Windows\SysWow64\redmonnt.dll [2011.12.20 20:47:31 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2011.08.31 20:51:16 | 000,963,116 | ---- | C] () -- C:\Windows\SysWow64\igkrng600.bin [2011.08.31 20:51:16 | 000,216,000 | ---- | C] () -- C:\Windows\SysWow64\igfcg600m.bin [2011.08.31 20:51:16 | 000,145,804 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng600.bin [2005.04.07 15:07:40 | 000,014,601 | ---- | C] () -- C:\Program Files\Installationsanleitung.html [2005.04.04 17:56:36 | 000,003,580 | ---- | C] () -- C:\Program Files\Bitte zuerst lesen.html [2005.03.24 15:28:56 | 000,383,996 | ---- | C] () -- C:\Program Files\Photoshop Neue Funktionen.pdf [2005.02.25 14:37:00 | 000,157,035 | ---- | C] () -- C:\Program Files\LegalNotices.pdf ========== ZeroAccess Check ========== [2011.11.17 07:41:18 | 000,002,048 | -HS- | M] () -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\@ [2011.11.17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\L [2013.03.17 22:12:19 | 000,000,000 | -HSD | M] -- C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\U [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "ThreadingModel" = Both "" = C:\Users\Kimba\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2}\n. [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2011.12.22 19:34:41 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Babylon [2012.11.27 01:54:07 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Bandoo [2013.03.16 12:18:28 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Etxouv [2012.04.25 02:02:39 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Igebz [2012.08.10 00:49:00 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Mohiy [2013.03.17 22:15:14 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Moipu [2012.08.09 16:44:44 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Puzu [2012.08.10 00:46:52 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Rekey [2013.02.26 00:08:50 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\SoftGrid Client [2013.03.10 15:49:44 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Spotify [2011.12.23 21:57:55 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\streamripper [2011.12.28 22:21:23 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\TeamViewer [2012.01.02 00:11:22 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Tobit [2011.12.20 20:48:15 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\TP [2012.05.13 17:01:39 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Urymyvl [2011.12.22 20:25:08 | 000,000,000 | ---D | M] -- C:\Users\Kimba\AppData\Roaming\Windows Live Writer ========== Purity Check ========== < End of report > |
| Themen zu Mehrere Trojaner-Funde, ein Backdoorprogramm BDS/ZAccess.T und Anderes über Antivir-Scan! |
| adware, antivir, babylontoolbar, defender, desktop, e-banking, flash player, icreinstall, mozilla, ntdll.dll, plug-in, programm, prozesse, realtek, recover, registry, s3.amazonaws.com, scan, security, services.exe, smartbar, software, spotify web helper, svchost.exe, taskhost.exe, warnung, win32:sirefef-btt, windows, wuauclt.exe |
Baum-Darstellung