Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
C:\WINDOWS\system32\dmwu.exe und weiterer Befall

C:\WINDOWS\system32\dmwu.exe und weiterer Befall


Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\system32\dmwu.exe und weiterer Befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.03.2013, 22:47   #1
Ifron
 
C:\WINDOWS\system32\dmwu.exe und weiterer Befall - Standard

C:\WINDOWS\system32\dmwu.exe und weiterer Befall


Einen schönen guten Tag.

Vor einiger Zeit habe ich bemerkt, dass mein Standartbrowser (Firefox) die "Incredibar" als Startseite und add-on in Firefox anzeigt. Da ich diese Toolbar bzw. das ganze add-on nie wissenlich heruntergeladen geschweige denn installiert habe, hat mich das etwas gewundert. Da ich nicht der einzige bin und mir nach einem Virenscan mit Malwarebytes Antimalware auch einige unschöne Funde angezeigt wurden, möchte ich mich hiermit erstmal an euch wenden.

Offensichtliche Beeinträchtigungen gab es bis dato keine (ausnahmen siehe: Anmerkung zu GMER) also der PC war nicht langsamer beim hochfahren, noch im normalen Betrieb. Auch sonst keine mir ersichtlichen einschränkungen.

Hier erstmal der MBAM logfile (ich habe die infizierten datein leider von MBAM löschen lassen, da ich erst später auf dieser Seite gesehen habe, dass das in die Quarantäne verschieben besser gewesen wäre) :

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.23.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Armageddon :: ANARCHIEONTOUR [Administrator]

23.03.2013 08:57:29
mbam-log-2013-03-23 (08-57-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 321389
Laufzeit: 2 Stunde(n), 21 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\WINDOWS\system32\dmwu.exe (PUP.InstallBrain) -> 1804 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
E:\Downloads\CS6\Adobe Photoshop CS6 Extended\DLL FILE\32bit\amtlib.dll (PUP.RiskwareTool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Downloads\CS6\Adobe Photoshop CS6 Extended\DLL FILE\64bit\amtlib.dll (PUP.RiskwareTool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\dmwu.exe (PUP.InstallBrain) -> Löschen bei Neustart.

(Ende)
Hier die OTL :

Code:
ATTFilter
OTL logfile created on: 23.03.2013 16:05:47 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Armageddon\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,17 Mb Total Physical Memory | 610,99 Mb Available Physical Memory | 60,19% Memory free
2,39 Gb Paging File | 1,97 Gb Available in Paging File | 82,52% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 1,25 Gb Free Space | 6,39% Space Free | Partition Type: NTFS
Drive E: | 124,58 Gb Total Space | 56,06 Gb Free Space | 45,00% Space Free | Partition Type: NTFS
 
Computer Name: ANARCHIEONTOUR | User Name: Armageddon | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.23 16:03:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Armageddon\Desktop\OTL.exe
PRC - [2013.03.21 19:54:45 | 001,103,768 | ---- | M] (Spotify Ltd) -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe
PRC - [2013.03.05 07:44:28 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.01.29 14:30:58 | 000,188,760 | ---- | M] () -- C:\Programme\IB Updater\ExtensionUpdaterService.exe
PRC - [2012.08.11 16:43:06 | 000,055,184 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2012.08.08 12:47:28 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.05.16 19:13:34 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.16 19:13:28 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.16 19:13:28 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- E:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.07.13 08:38:14 | 001,095,080 | ---- | M] (AsusTek Computer Inc.) -- C:\Programme\ASUS\LiveUpdate\LiveUpdate.exe
PRC - [2009.11.19 20:44:14 | 000,083,240 | R--- | M] (Synaptics Incorporated) -- C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe
PRC - [2009.03.25 09:43:40 | 000,376,832 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
PRC - [2008.09.02 06:26:16 | 000,604,776 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2008.08.19 16:45:32 | 000,593,920 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsAcpiSvr.exe
PRC - [2008.08.19 16:10:52 | 000,106,496 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsTray.exe
PRC - [2008.05.21 00:56:24 | 000,094,208 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\EeePC\ACPI\AsEPCMon.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.29 14:30:58 | 000,188,760 | ---- | M] () -- C:\Programme\IB Updater\ExtensionUpdaterService.exe
MOD - [2012.12.18 15:28:26 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2012.05.16 19:13:34 | 000,398,288 | ---- | M] () -- E:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.09.27 06:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 06:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2011.07.13 08:38:18 | 000,181,664 | ---- | M] () -- C:\Programme\ASUS\LiveUpdate\Parser.dll
MOD - [2011.05.28 21:04:56 | 000,140,288 | ---- | M] () -- E:\Programme\WinRAR\RarExt.dll
MOD - [2008.09.02 06:25:26 | 002,854,912 | ---- | M] () -- C:\WINDOWS\system32\btwicons.dll
MOD - [2008.09.02 06:23:22 | 000,040,960 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.03.07 15:29:15 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.03.05 07:44:28 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.01.29 14:30:58 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Programme\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV - [2012.08.11 16:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012.05.16 19:13:34 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.16 19:13:28 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- E:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.11.08 23:50:00 | 004,321,976 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\system32\GameMon.des -- (npggsvc)
SRV - [2011.10.12 20:32:22 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.01.14 13:07:34 | 000,242,240 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2012.05.16 19:13:34 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.16 19:13:34 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.11.22 14:20:32 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.02.09 14:03:00 | 000,011,832 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsUpIO.sys -- (AsUpIO)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.02.24 11:22:10 | 000,185,472 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2009.09.29 17:18:30 | 005,920,256 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2009.03.13 22:05:26 | 001,528,928 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2009.03.02 20:03:46 | 000,038,912 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\l1c51x86.sys -- (L1c)
DRV - [2008.11.19 16:21:28 | 000,039,040 | R--- | M] (GenesysLogic Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\uvclf.sys -- (uvclf)
DRV - [2008.08.19 21:16:36 | 000,991,656 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008.07.24 16:37:10 | 000,156,816 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2008.05.30 10:46:12 | 000,534,568 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2008.03.10 17:18:42 | 000,057,384 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid)
DRV - [2008.02.04 16:57:44 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2007.07.26 19:00:38 | 000,011,264 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS -- (AsusACPI)
DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://mystart.incredibar.com/mb201?a=6R8RiGKdHk&i=26
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "MyStart Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledAddons: DivXWebPlayer%40divx.com:2.0.2.039
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..keyword.URL: "hxxp://mystart.incredibar.com/mb201/?loc=IB_DS&a=6R8RiGKdHk&&i=26&search="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@logitech.com/HarmonyRemote,version=1.0.0: C:\Programme\Logitech\Harmony Remote Driver\NprtHarmonyPlugin.dll (Logitech Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60129.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Programme\Adobe\Acrobat\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Programme\IB Updater\Firefox [2013.02.28 11:30:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Programme\IB Updater\Firefox [2013.02.28 11:30:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: E:\Programme\Mozilla\components [2013.03.21 20:02:42 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: E:\Programme\Mozilla\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: E:\Programme\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: E:\Programme\plugins
 
[2011.10.08 18:05:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Extensions
[2013.02.14 12:56:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\extensions
[2012.11.23 13:43:58 | 000,550,833 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\extensions\DivXWebPlayer@divx.com.xpi
[2013.02.14 12:56:23 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.02.11 16:11:47 | 000,000,933 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\11-suche.xml
[2012.02.11 16:11:47 | 000,002,419 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\englische-ergebnisse.xml
[2012.02.11 16:11:47 | 000,010,525 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\gmx-suche.xml
[2012.02.11 16:11:47 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\lastminute.xml
[2013.03.23 08:17:52 | 000,002,130 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\MyStart Search.xml
[2012.02.11 16:11:46 | 000,005,508 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Profiles\mvjnns6d.default\searchplugins\webde-suche.xml
 
O1 HOSTS File: ([2011.10.12 20:00:53 | 000,001,335 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1				activate.adobe.com
O1 - Hosts: 127.0.0.1				practivate.adobe.com
O1 - Hosts: 127.0.0.1				ereg.adobe.com
O1 - Hosts: 127.0.0.1				activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1				wip3.adobe.com
O1 - Hosts: 127.0.0.1				3dns-3.adobe.com
O1 - Hosts: 127.0.0.1				3dns-2.adobe.com
O1 - Hosts: 127.0.0.1				adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1				adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1				adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1				ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1				activate-sea.adobe.com
O1 - Hosts: 127.0.0.1				wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1				activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1				adobe.activate.com
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\IB Updater\Extension32.dll ()
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Programme\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [avgnt] E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [LiveUpdate] C:\Programme\Asus\LiveUpdate\LiveUpdate.exe (AsusTek Computer Inc.)
O4 - HKLM..\Run: [RAM_DEFRAG]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe (Synaptics Incorporated)
O4 - HKCU..\Run: [CoolDesk XP] "E:\Programme\CoolDesk XP\cdxp_tray.exe" File not found
O4 - HKCU..\Run: [Spotify Web Helper] C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - E:\Games\Poker Stars\PokerStarsUpdate.exe (PokerStars)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D63484DD-D0E5-4924-A57F-4A1478ADE3EF}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.10.08 13:02:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{292cbfd8-e7a1-11e1-904e-0025d38c897e}\Shell - "" = AutoRun
O33 - MountPoints2\{292cbfd8-e7a1-11e1-904e-0025d38c897e}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{292cbfd8-e7a1-11e1-904e-0025d38c897e}\Shell\AutoRun\command - "" = D:\Setup.exe
O33 - MountPoints2\{ae3eab66-f1d8-11e0-8f96-0025d38c897e}\Shell - "" = AutoRun
O33 - MountPoints2\{ae3eab66-f1d8-11e0-8f96-0025d38c897e}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ae3eab66-f1d8-11e0-8f96-0025d38c897e}\Shell\AutoRun\command - "" = D:\SETUP.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.23 16:03:00 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Armageddon\Desktop\OTL.exe
[2013.03.21 20:02:44 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2013.03.21 19:54:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Incredibar.com
[2013.03.14 19:34:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Armageddon\Startmenü\Programme\Notepad++
[2013.03.14 19:34:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Notepad++
[2013.03.14 19:34:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Notepad++
[2013.03.11 20:47:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Armageddon\Startmenü\Programme\Apache Friends
[2013.03.07 14:05:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Armageddon\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.03.07 12:07:22 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\OpenOffice.org 3.4.1
[2013.03.05 07:45:16 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.23 16:03:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Armageddon\Desktop\OTL.exe
[2013.03.23 16:01:52 | 000,000,148 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\defogger_reenable
[2013.03.23 15:54:14 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\Defogger.exe
[2013.03.23 15:30:00 | 000,000,424 | ---- | M] () -- C:\WINDOWS\tasks\DGChrome10984 Watcher.job
[2013.03.23 14:59:07 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.23 14:58:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.21 20:02:46 | 000,000,544 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013.03.14 19:34:52 | 000,000,620 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\Notepad++.lnk
[2013.03.11 20:47:02 | 000,000,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\XAMPP Control Panel.lnk
[2013.03.07 14:00:36 | 003,451,792 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.03.07 12:07:23 | 000,000,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.4.1.lnk
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.23 16:01:51 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\Armageddon\defogger_reenable
[2013.03.23 15:54:13 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\Defogger.exe
[2013.03.21 20:02:46 | 000,000,544 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2013.03.14 19:34:52 | 000,000,620 | ---- | C] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\Notepad++.lnk
[2013.03.11 20:47:02 | 000,000,560 | ---- | C] () -- C:\Dokumente und Einstellungen\Armageddon\Desktop\XAMPP Control Panel.lnk
[2013.03.07 12:07:23 | 000,000,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.4.1.lnk
[2013.02.28 11:30:12 | 000,000,424 | ---- | C] () -- C:\WINDOWS\tasks\DGChrome10984 Watcher.job
[2013.01.14 13:08:05 | 000,028,160 | ---- | C] () -- C:\WINDOWS\System32\ImHttpComm.dll
[2012.11.22 13:33:58 | 000,137,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2012.11.22 13:33:52 | 000,268,952 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2012.11.22 13:33:43 | 000,075,136 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2012.07.31 22:04:43 | 000,019,172 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2012.04.15 19:46:23 | 000,028,709 | ---- | C] () -- C:\WINDOWS\scunin.dat
[2011.12.25 10:33:10 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2011.12.06 19:15:16 | 000,105,304 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.11.07 00:16:53 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2011.11.06 23:23:24 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2011.11.06 23:23:24 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2011.11.06 23:23:24 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2011.11.06 23:16:44 | 000,032,759 | ---- | C] () -- C:\WINDOWS\DIIUnin.dat
[2011.10.10 12:10:15 | 000,030,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Armageddon\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.10.09 10:26:05 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\GkSui20.EXE
[2011.10.08 17:13:23 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2011.10.08 17:00:47 | 000,001,746 | ---- | C] () -- C:\WINDOWS\Language_trs.ini
[2011.10.08 16:57:00 | 000,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini
[2011.10.08 16:56:36 | 000,011,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsUpIO.sys
[2011.10.08 13:42:29 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.10.08 13:41:15 | 003,451,792 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.10.08 13:07:06 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.10.08 12:58:03 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.10.07 18:58:49 | 000,449,044 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2011.10.07 18:58:49 | 000,432,690 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2011.10.07 18:58:48 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2011.10.07 18:58:48 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2011.10.07 18:58:48 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2011.10.07 18:58:48 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2011.10.07 18:58:47 | 000,080,306 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2011.10.07 18:58:47 | 000,067,646 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2011.10.07 18:54:20 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2011.10.07 18:54:15 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2011.10.07 18:53:06 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2011.10.07 18:52:51 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2011.10.07 18:51:39 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2011.10.07 18:51:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2011.10.07 18:50:49 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2011.10.07 18:49:58 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
 
========== ZeroAccess Check ==========
 
[2011.10.08 17:53:05 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 06:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2008.04.14 06:52:12 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.02.17 10:53:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2011.11.05 19:08:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ASUS WebStorage
[2013.01.01 20:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2012.09.07 08:50:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2011.10.09 19:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EBI
[2011.10.08 19:21:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
[2011.10.29 12:06:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2011.10.09 19:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RSMR
[2011.10.09 19:33:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.10.10 16:27:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\.minecraft
[2011.11.05 19:08:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\ASUS WebStorage
[2013.01.01 20:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Autodesk
[2011.10.29 17:17:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant
[2012.12.29 23:58:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\DAEMON Tools Lite
[2011.10.08 21:27:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\EeeStorageUploader
[2011.12.25 10:32:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\GetRightToGo
[2013.03.21 19:54:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Incredibar.com
[2012.02.17 12:27:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\LolClient
[2011.10.13 19:20:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\MAXON
[2013.03.14 21:06:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Notepad++
[2011.10.09 15:01:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\OpenOffice.org
[2012.09.02 10:19:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\pdfforge
[2011.10.24 10:12:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Plane9
[2011.10.08 19:20:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Propellerhead Software
[2011.12.06 19:03:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\ProtectDISC
[2012.11.12 13:30:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\runic games
[2013.03.23 16:01:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Spotify
[2011.11.05 17:37:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\VoiceCommand
[2011.10.09 14:50:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\xplugin
 
========== Purity Check ==========
 
 

< End of report >
die dazugehörige EXTRA:

Code:
ATTFilter
OTL Extras logfile created on: 23.03.2013 16:05:47 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Armageddon\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1015,17 Mb Total Physical Memory | 610,99 Mb Available Physical Memory | 60,19% Memory free
2,39 Gb Paging File | 1,97 Gb Available in Paging File | 82,52% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 1,25 Gb Free Space | 6,39% Space Free | Partition Type: NTFS
Drive E: | 124,58 Gb Total Space | 56,06 Gb Free Space | 45,00% Space Free | Partition Type: NTFS
 
Computer Name: ANARCHIEONTOUR | User Name: Armageddon | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- E:\Programme\Mozilla\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Bridge] -- E:\Programme\Adobe\Photoshop CS 5\Adobe Bridge CS5\Bridge.exe "%L" (Adobe Systems, Inc.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "E:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "E:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "E:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "E:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour" -- (Apple Inc.)
"E:\Programme\Winamp\winamp.exe" = E:\Programme\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft, Inc.)
"C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Spotify\spotify.exe" = C:\Dokumente und Einstellungen\Armageddon\Anwendungsdaten\Spotify\spotify.exe:*:Enabled:Spotify -- (Spotify Ltd)
"C:\WINDOWS\system32\dmwu.exe" = C:\WINDOWS\system32\dmwu.exe:*:Enabled:dmwu
"C:\WINDOWS\system32\ARFC\wrtc.exe" = C:\WINDOWS\system32\ARFC\wrtc.exe:*:Enabled:wrtc -- ()
"C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"E:\Programme\iTunes\iTunes.exe" = E:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"E:\Programme\xampp\apache\bin\httpd.exe" = E:\Programme\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"E:\Programme\xampp\mysql\bin\mysqld.exe" = E:\Programme\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"E:\Programme\xampp\FileZillaFTP\FileZillaServer.exe" = E:\Programme\xampp\FileZillaFTP\FileZillaServer.exe:*:Enabled:FileZilla Server -- (FileZilla Project)
"E:\Programme\xampp\MercuryMail\mercury.exe" = E:\Programme\xampp\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.62 -- (David Harris)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4
"{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}" = Adobe Community Help
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{15FEDA5F-141C-4127-8D7E-B962D1742728}" = Adobe Photoshop CS5
"{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4
"{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2303AEEA-0FA8-4AFD-80A9-8F86BA4B44D2}" = OpenOffice.org 3.4.1
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{336D0C35-8A85-403a-B9D2-65C292C39087}_is1" = IB Updater 2.0.0.578
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38E5A3B1-ADF1-47E0-8024-76310A30EB36}" = LiveUpdate
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4
"{3FB39BED-37C8-4E60-8E02-315B8C2B07E3}" = USB2.0 UVC Camera Device
"{411F3ABA-2AB5-4799-AA19-6ADF0A8F7424}" = Adobe Setup
"{43509E18-076E-40FE-AF38-CA5ED400A5A9}" = Pixel Bender Toolkit
"{44E240EC-2224-4078-A88B-2CEE0D3016EF}" = Adobe After Effects CS4 Presets
"{459699C3-9430-4381-964B-4248D87B49F9}" = Apple Mobile Device Support
"{45EC816C-0771-4C14-AE6D-72D1B578F4C8}" = Adobe After Effects CS4
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{60DB5894-B5A1-4B62-B0F3-669A22C0EE5D}" = Adobe Dynamiclink Support
"{6333FC29-BFE5-4024-AC78-958A1A7555D1}" = EeeSplendid
"{634F79E1-2A41-4C40-9E8D-89EC740AC9D6}" = Logitech Harmony Remote Software
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{67F0E67A-8E93-4C2C-B29D-47C48262738A}" = Adobe Device Central CS4
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4
"{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4
"{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A78FE97A-C0C8-49CE-89D0-EDD524A17392}" = PDF Settings CS5
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{ACEB2BAF-96DF-48FD-ADD5-43842D4C443D}" = Adobe AIR
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{B0261E53-B6F1-474A-864B-E7C3CBF468E0}" = iTunes
"{B05DE7B7-0B40-4411-BD4B-222CAE2D8F15}" = Adobe MotionPicture Color Files CS4
"{B15381DD-FF97-4FCD-A881-ED4DB0975500}" = Adobe Color Video Profiles AE CS4
"{B9BDA46B-2E17-4F43-9D7A-9B1E09A0A4D8}" = Data Sync
"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module
"{BE9CEAAA-F069-4331-BF2F-8D350F6504F4}" = Adobe Media Encoder CS4 Additional Exporter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4
"{C72CA49A-9237-4810-8449-45DA3BD26D64}" = EzMessenger
"{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw
"{CCE825DB-347A-4004-A186-5F4A6FDD8547}" = Apple Application Support
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DEB90B8E-0DCB-48CE-B90E-8842A2BD643E}" = Adobe Media Encoder CS4
"{E1845F1C-068C-F8F4-D31D-D3540D47C453}" = Adobe Download Assistant
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3D2DEDC-4732-4188-8A3A-1A3FFBD4D6C8}" = ebi.BookReader3J
"{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4
"{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4
"{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_3dcb365ab9e01871fb8c6f27b0ea079" = Adobe After Effects CS4
"Avira AntiVir Desktop" = Avira Free Antivirus
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"com.adobe.downloadassistant.AdobeDownloadAssistant" = Adobe Download Assistant
"DAEMON Tools Lite" = DAEMON Tools Lite
"Diablo II" = Diablo II
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"incredibar" = Incredibar Toolbar  on IE
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"MAXONCD420C73" = CINEMA 4D 13.016
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Notepad++" = Notepad++
"Plane9" = Plane9 v1.7
"PokerStars.net" = PokerStars.net
"Port Royale_is1" = Port Royale
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"Runic Games Torchlight" = Torchlight
"Starcraft" = Starcraft
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"WMFDist11" = Windows Media Format 11 runtime
"WNLT" = IB Updater Service
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xampp" = XAMPP 1.8.1
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Advanced Archive Password Recovery" = Advanced Archive Password Recovery
"Spotify" = Spotify
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 19.09.2012 15:05:44 | Computer Name = ANARCHIEONTOUR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung mbam.exe, Version 1.51.0.1118, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x4c4b4a49.
 
Error - 19.09.2012 15:06:08 | Computer Name = ANARCHIEONTOUR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 19.09.2012 15:06:50 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mbam.exe, Version 1.51.0.1118, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 01.10.2012 08:53:01 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 15.0.1.4631, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.10.2012 06:37:16 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Photoshop.exe, Version 12.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.10.2012 06:38:39 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.4.38, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.10.2012 06:39:38 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Photoshop.exe, Version 12.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.10.2012 06:39:42 | Computer Name = ANARCHIEONTOUR | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.4.38, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.10.2012 18:47:36 | Computer Name = ANARCHIEONTOUR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gildegold.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul gildegold.exe, Version 0.0.0.0, Fehleradresse 0x0002af3d.
 
Error - 22.11.2012 10:46:48 | Computer Name = ANARCHIEONTOUR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung gildegold.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul gildegold.exe, Version 0.0.0.0, Fehleradresse 0x0002af3d.
 
[ System Events ]
Error - 20.11.2012 06:22:33 | Computer Name = ANARCHIEONTOUR | Source = DCOM | ID = 10010
Description = Der Server "{063D34A4-BF84-4B8D-B699-E8CA06504DDE}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 28.12.2012 14:41:31 | Computer Name = ANARCHIEONTOUR | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 24.01.2013 11:43:41 | Computer Name = ANARCHIEONTOUR | Source = Service Control Manager | ID = 7023
Description = Der Dienst "iPod-Dienst" wurde mit folgendem Fehler beendet:   %%2147549465
 
Error - 24.01.2013 11:44:09 | Computer Name = ANARCHIEONTOUR | Source = DCOM | ID = 10010
Description = Der Server "{063D34A4-BF84-4B8D-B699-E8CA06504DDE}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 15.02.2013 06:22:39 | Computer Name = ANARCHIEONTOUR | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "gm.dls.new" auf Volume "HarddiskVolume1"
 ist im Wiederherstellungsfilter der unerwartete Fehler "0xC0000056" aufgetreten.
 Die Volumeüberwachung wurde angehalten.
 
Error - 04.03.2013 02:10:36 | Computer Name = ANARCHIEONTOUR | Source = Service Control Manager | ID = 7023
Description = Der Dienst "iPod-Dienst" wurde mit folgendem Fehler beendet:   %%2147549465
 
Error - 04.03.2013 02:11:00 | Computer Name = ANARCHIEONTOUR | Source = DCOM | ID = 10010
Description = Der Server "{063D34A4-BF84-4B8D-B699-E8CA06504DDE}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 13.03.2013 13:54:20 | Computer Name = ANARCHIEONTOUR | Source = Service Control Manager | ID = 7023
Description = Der Dienst "iPod-Dienst" wurde mit folgendem Fehler beendet:   %%2147549465
 
Error - 13.03.2013 13:54:46 | Computer Name = ANARCHIEONTOUR | Source = DCOM | ID = 10010
Description = Der Server "{063D34A4-BF84-4B8D-B699-E8CA06504DDE}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 23.03.2013 08:59:31 | Computer Name = ANARCHIEONTOUR | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >
und natürlich die GMER logfiles:

Code:
ATTFilter
GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-24 22:05:57
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS543216L9SA00 rev.FB2OC40C 149,05GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\ARMAGE~1\LOKALE~1\Temp\agtcypob.sys


---- System - GMER 2.1 ----

SSDT            F7C1B4BC                                  ZwClose
SSDT            F7C1B476                                  ZwCreateKey
SSDT            F7C1B4C6                                  ZwCreateSection
SSDT            F7C1B46C                                  ZwCreateThread
SSDT            F7C1B47B                                  ZwDeleteKey
SSDT            F7C1B485                                  ZwDeleteValueKey
SSDT            F7C1B4B7                                  ZwDuplicateObject
SSDT            F7C1B48A                                  ZwLoadKey
SSDT            F7C1B458                                  ZwOpenProcess
SSDT            F7C1B45D                                  ZwOpenThread
SSDT            F7C1B4DF                                  ZwQueryValueKey
SSDT            F7C1B494                                  ZwReplaceKey
SSDT            F7C1B4D0                                  ZwRequestWaitReplyPort
SSDT            F7C1B48F                                  ZwRestoreKey
SSDT            F7C1B4CB                                  ZwSetContextThread
SSDT            F7C1B4D5                                  ZwSetSecurityObject
SSDT            F7C1B480                                  ZwSetValueKey
SSDT            F7C1B4DA                                  ZwSystemDebugControl
SSDT            F7C1B467                                  ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.vmp2           C:\WINDOWS\system32\drivers\acedrv11.sys  entry point in ".vmp2" section [0xA983069D]

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   wdf01000.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   wdf01000.sys

Device          \FileSystem\Fastfat \Fat                  A8728D20

AttachedDevice  \FileSystem\Fastfat \Fat                  fltmgr.sys

---- EOF - GMER 2.1 ----
Anmerkung zu GMER: Ich habe den GMER Scan über Nacht laufen lassen und am nächsten Morgen den Logfile gespeichert und den PC neu gestartet. Das Hochfahren sowie andere ganz normale Vorgänge (öffnen des Browsers oder einer Textdatei, öffnen von Programmen oder Ordnern etc) dauert quälend lange. Und ich rede hier wirklich von teilweise 3-5 Minuten bis sich ein Programm wie MBAM geöffnet hat. Ich weiß nicht ob das für euch wichtig ist, ich wollt's aber trotzdem gesagt haben.

Ansonsten sag ich schonmal danke.

Grüße

Ifron

Alt 25.03.2013, 08:39   #2
Undertaker
/// Helfer-Team
 
C:\WINDOWS\system32\dmwu.exe und weiterer Befall - Standard

C:\WINDOWS\system32\dmwu.exe und weiterer Befall


moin Ifron,

Du scheinst bei der Installation von Software schnelle Finger zu haben und auch ganz bewußt Code aus dubiosen Quellen auf dem Rechner auszuführen.

Code:
ATTFilter
E:\Downloads\CS6\Adobe Photoshop CS6 Extended\DLL FILE\32bit\amtlib.dll (PUP.RiskwareTool.CK)
In Verbindung mit:

Code:
ATTFilter
O1 - Hosts: 127.0.0.1                activate.adobe.com
O1 - Hosts: 127.0.0.1                practivate.adobe.com
O1 - Hosts: 127.0.0.1                ereg.adobe.com
O1 - Hosts: 127.0.0.1                activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1                wip3.adobe.com
O1 - Hosts: 127.0.0.1                3dns-3.adobe.com
O1 - Hosts: 127.0.0.1                3dns-2.adobe.com
O1 - Hosts: 127.0.0.1                adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1                adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1                adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1                ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1                activate-sea.adobe.com
O1 - Hosts: 127.0.0.1                wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1                activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1                adobe.activate.com
ist die erkannte amtlib.dll eine gepatchte Datei, die den Trialcheck für CS6 umgeht und das Programm aktiviert.

Bei illegal genutzter Software mußt Du damit rechnen, Dir die "Seuche" auf den Rechner zu holen.
Insofern bist Du für Dein Tun und handeln selbst verantwortlich und mußt auch selbst mit den Folgen klar kommen.

Hier wird Dir sicher keiner bei der Bereinigung Deines Systems helfen.
__________________

__________________
Alt 25.03.2013, 09:10   #3
Ifron
 
C:\WINDOWS\system32\dmwu.exe und weiterer Befall - Standard

C:\WINDOWS\system32\dmwu.exe und weiterer Befall


Guten Morgen Undertaker,

vielen dank für deine schnelle Antwort und deine Einschätzung zum Thema. Ich bin zwar etwas überrascht über den Ausgang, wenigstens hab ich jetzt aber ne Ahnung wo das alles herkommen könnte. Das hilft mir zwar mit meinem Virenproblem leider nicht weiter, ich werde aber mal meinen Sohn fragen, was er so die letzten male an meinem Rechner gemacht hat. Da wird sich sicherlich einiges herausstellen...

Schade ist das zwar schon, aber wie du schon sagtest bin ich selbst dafür verantwortlich auch wenn ich besagtes Programm weder jemals genutzt habe noch bezweifle, dass der befallene PC überhaupt dafür ausreichend Hardwarekapazitäten bereitstellt, bin ich für die Dinge die (auch durch andere) an meinem PC geschehen verantwortlich.

Trotzdem bedanke ich mich nochmals für deine Zeit und Einschätzung der Situation.

Grüße

Ifron
__________________
Alt 25.03.2013, 12:08   #4
Undertaker
/// Helfer-Team
 
C:\WINDOWS\system32\dmwu.exe und weiterer Befall - Standard

C:\WINDOWS\system32\dmwu.exe und weiterer Befall


Zitat:
Zitat von Ifron Beitrag anzeigen
... wenigstens hab ich jetzt aber ne Ahnung wo das alles herkommen könnte.
Ich bezweifle zwar, dass die Incredibar direkt mit dem Adobepatch zu tun hat, aber das ist auch irrelevant.

Ein Rat noch:

Installiere Software möglichst benutzerdefiniert und nicht automatisch.
Toolbars und sonstiger Browsermüll werden oft aus Geschäftsinteresse als Bundle mit anderer Software installiert, siehe Javaupdate.

Undertaker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Antwort

Themen zu C:\WINDOWS\system32\dmwu.exe und weiterer Befall
0xc0000001, adobe after effects, antivir, avira, bho, bonjour, browser, eeepc, error, firefox, flash player, fontcache, format, installation, logfile, mozilla, object, pixel, plug-in, realtek, registry, rundll, scan, security, senden, software, spotify web helper, super, system, usb, windows


« Spyhunter4 und Snap.do entfernen | Claro Search loswerden »


Ähnliche Themen: C:\WINDOWS\system32\dmwu.exe und weiterer Befall


  1. Systemüberprüfung nach Befall durch MyStartSearch und weiterer Adware
    Log-Analyse und Auswertung - 24.01.2015 (12)
  2. Kasperski meldet c:\windows\system32\fsvk.exe.exe, Wartungscenter Befall Win32/Small.CA Virus
    Log-Analyse und Auswertung - 04.11.2013 (7)
  3. Windows 7: Trojan.Dropper.SP + weiterer Fund
    Plagegeister aller Art und deren Bekämpfung - 03.09.2013 (13)
  4. ein weiterer GVU Trojaner! :( plz help
    Log-Analyse und Auswertung - 24.12.2012 (23)
  5. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  6. Ein weiterer Fall: 50 € Virus - Windows gesperrt
    Log-Analyse und Auswertung - 11.04.2012 (22)
  7. Weiterer 50€ Trojaner...
    Log-Analyse und Auswertung - 27.02.2012 (2)
  8. Ein weiterer 50 € Virus
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (5)
  9. Ein weiterer BKA-Trojaner
    Log-Analyse und Auswertung - 02.05.2011 (18)
  10. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  11. Fehlermeldung bei System Start nach Trojaner Befall: Error loading C:\WINDOWS\System32\disktcfg.dll
    Plagegeister aller Art und deren Bekämpfung - 24.11.2010 (6)
  12. Browser lassen sich nach Troj.-Befall nicht öffnen windows\system32\svchost.exe Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (30)
  13. ein weiterer msn virus
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (4)
  14. atapi.sys-Rootkit (TDSS) und weiterer Befall
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (3)
  15. Trojaner-Befall Windows/system32/nvsvc32.exe - Problem gelöst?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (14)
  16. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  17. Ein weiterer gefraggter PC
    Log-Analyse und Auswertung - 18.12.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema C:\WINDOWS\system32\dmwu.exe und weiterer Befall - Einen schönen guten Tag. Vor einiger Zeit habe ich bemerkt, dass mein Standartbrowser (Firefox) die "Incredibar" als Startseite und add-on in Firefox anzeigt. Da ich diese Toolbar bzw. das ganze - C:\WINDOWS\system32\dmwu.exe und weiterer Befall...
Archiv
Du betrachtest: C:\WINDOWS\system32\dmwu.exe und weiterer Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131