| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) )Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.03.2013, 17:04
| #1 |
 |  Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo, ich bitte um Hilfe, da ich mir Schadsoftware eingefangen habe. Kein AV war installiert gewesen. Danke im Voraus. Werde ans Forum spenden, und werde am Thread dranbleiben und nicht mittendrin abhauen, wie manche hier. :-) Ich habe in Eigenregie bereits herumgebastelt (evtl. ein Fehler. Sorry). Es existieren Macrium Images von 3 Tage vor und 3 Tage nach dem GVU-Trojaner-Befall. Ggf. war der PC aber auch schon davor kompromittiert durch anderes. System: Win 7 Prof 32bit OEM. 1. Mit Kaspersky Rescue CD PC entsperrt, d.h. u.A. die unter hxxp://forum.tuts4you.com/topic/31087-reversing-malware-questions/ genannten Modifikationen rückgängig gemacht: - runctf.lnk gelöscht - Registrierungsschlüssel korrigiert bzgl. der modifizierten IE Sicherheitszonen. bzw die internet sicherheits optionen (erweitert + zonen) alle auf maximal sicher gestellt (nutze nun eh neueste opera version, bitte alte browser ignorieren). - o.g. reversing thread deckt aber offensichtlich nicht alle probleme ab (sicherheitscenter) - hinweis zur symptomatik: der gvu-screen mit webcam (deren hardwaretreiber bei mir deaktiviert war, wobei es wohl aber eh nur der Einschüchterung dient) 2. Mit Kaspersky Internet Security 2013 gescannt (mittlere heuristikstufe, alle dateien und partitionen) HEUR:Trojan.Win32.Generic HEUR:Exploit.Java.CVE-2012-1723.gen Exploit.Java.CVE-2012-1723.hz Trojan-Downloader.JS.DarDuk.lb Exploit.Win32.CVE-2011-3402.b HEUR:Trojan.Win32.Generic <- fehlalarm, war legitimes programm Trojan.Win32.Agent.hwml Trojan-Ransom.Win32.Foreign.atza Trojan-PSW.Win32.Tepfer.hhvu (ich weiß, daten/passwort-diebstahl; weiß nicht, ob das separat ist oder ein teil des gvu-trojaners) Die entsprechenden Dateien existieren alle in der Quarantäne und ich kann sie euch ggf. zusenden. Ich kann auch die ggf. exakteren bezeichnungen bei virustotal rausfinden. E-Mail- und Finanz-Passwörter habe ich geändert und ich verwende zur eingabe von Passwörtern derzeit die Maus-On-Screen-Eingabetastatur von Kaspersky. **HAUPTPROBLEM**: das Sicherheitscenter lässt sich nicht aktivieren. Ich habe herumgesucht aber keine klare lösung gefunden für diesen Fall. Ich möchte das System trotz des Restrisikos nach einer Bereinigung weiterverwenden und bitte um Hilfe bei der Reaktivierung der (vermutlich via Registry?) zerschossenen Dienste (?). Der Dienst steht auf "automatisch", ist aber nicht gestartet. -> Wenn man Start klickt: "Der Dienst "sicherheitscenter" auf lokaler computer konnte nicht gestartet werden. fehler 1068: der Abhängigkeitsdienst oder die abhängigkeitsgruppe konnte nicht gestartet werden. bei "abhängigkeiten" erscheinen aber keine einträge..! auch z.B. bei "verwaltungsinstrumentation" (vermutlich ist das die hauptursache?): (...konnte nicht gestartet werden...) fehler 126: das angegebene modul wurde nicht gefunden. ich habe über den cmd eine integritätsprüfung der windowsinstallation durchgeführt (erinnere mich nicht mehr an den befehl). dieser schloss erfolgreich ab. ich weiß nicht, ob das hier weiterhilft: - hxxp://support.microsoft.com/kb/2519899/de - hxxp://www.techsupportforum.com/forums/f217/solved-cant-start-security-center-error-1068-a-681588.html - Oder ob das gvu-trojaner-entfern-tool von bitlocker das problem behebt. kaspersky BEMERKT ja noch nicht mal, dass das sicherheitscenter deaktiviert ist, geschweige denn wird es repariert. generell scheinen die konfiguration der services auf dem system überprüft werden zu müssen. komischerweise erscheint die windows firewall als gestartet. und das, obwohl ja das sicherheitscenter nicht funktioniert. vielleicht führt das fehlende sicherheitscenter dazu, dass nicht erkannt wird, dass auch die kasperspy firewall läuft. tdsskiller.exe, aswMBR.exe, und Malwarebytes habe ich auch schon drüberlaufen lassen und es wurde jetzt nichts mehr gefunden. ausführliche logs muss ich erst noch sichten vorm posten. bitte auffordern, was gewünscht. ich habe auch mal das wmi diagnosis utility installiert, kann aber nix anfangen (weil vbs): hxxp://www.tomshardware.co.uk/forum/252102-44-security-center-service-working ---------------------------- 1. defogger defogger_disable by jpshortstuff (23.02.10.1) Log created at 13:41 on 28/03/2013 (<username>) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- 2. oldtimer: http://www.trojaner-board.de/85104-o...-oldtimer.html da ein fehler in eurer anleitung ist (http://www.trojaner-board.de/69886-a...-beachten.html), und extras.txt nicht erstellt wird, habe ich noch einen durchlauf nicht mit quick scan, sondern mit scan gemacht: - scan (nicht quick) - benutze safelist (6x) - minimal-ausgabe - alle benutzer - 30 tage - nein: herstellerwhitelist, nein: überspringe microsoft, ja: use nocompany whitelist - LOP ja, purity ja. ((ärgerlich: abbrechen lässt sich ein (fehlkonfigurierter) otl-scan nur durch killen des otl prozesses. und: ausgegebene otl.txt-files überschreiben vorhergehende, statt sich neu zu benennen. so gehen dem usre ggf. editierte texte verloren.)) 3. gmer heute GMER mit der von trojanerboard empfohlen konfiguration durchgeführt: ohne haken: iat/eat drives: haken nur bei c:\ ads: haken show all: kein haken 3rd party: kein haken ergebnis (ACHTUNG: alle logs wurden von mir geringfügig editiert (username, löschung einiger definitiv sicherer einträge (pfade von von mir installierten (einwandfreien) programmen, die nicht jeder wissen muss): Code:
ATTFilter GMER Logfile: OTL Logfile: Code:
ATTFilter OTL logfile created on: 28.03.2013 16:36:53 - Run 3
OTL by OldTimer - Version 3.2.69.0 Folder = ...
Professional (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 0,43 Gb Available Physical Memory | 21,76% Memory free
3,98 Gb Paging File | 1,70 Gb Available in Paging File | 42,70% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 190,43 Gb Total Space | 144,11 Gb Free Space | 75,68% Space Free | Partition Type: NTFS
Drive D: | 30,01 Gb Total Space | 15,92 Gb Free Space | 53,05% Space Free | Partition Type: exFAT
Drive E: | 119,05 Gb Total Space | 81,49 Gb Free Space | 68,45% Space Free | Partition Type: exFAT
Drive S: | 100,00 Mb Total Space | 67,05 Mb Free Space | 67,05% Space Free | Partition Type: NTFS
Drive Z: | 41,16 Gb Total Space | 18,96 Gb Free Space | 46,06% Space Free | Partition Type: NTFS
Computer Name: alöksdjflajfd | User Name: alkdjflasfdd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Processes (SafeList) ==========
################### unspezifierte prozesse gehören i.d.r. zu den legitimen parental control
################### programmen "child weg guardian" und "computertime"
PRC - C:\Program Files\Macrium\Reflect\ReflectService.exe ()
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\wtwatch.exe ()
PRC - C:\Windows\System32\wstw.exe ()
PRC - C:\Windows\System32\fltw.exe ()
PRC - C:\Program Files\ChildWebGuardian PRO\CwAgent.exe ()
PRC - C:\Program Files\ChildWebGuardian PRO\ContentWasher.exe (Zimin IP)
PRC - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe (Kaspersky Lab ZAO)
PRC - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe (Kaspersky Lab ZAO)
PRC - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\wmi32.exe (Kaspersky Lab ZAO)
PRC - C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
PRC - C:\Program Files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe (Symantec Corporation)
PRC - C:\Program Files\SoftwareTime\ComputerTime\bin\ctmn32.exe (SoftwareTime, LLC)
PRC - C:\Program Files\SoftwareTime\ComputerTime\bin\stka32.exe (SoftwareTime, LLC)
PRC - C:\Program Files\SoftwareTime\ComputerTime\bin\STProxy.exe (SoftwareTime, LLC)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\SoftwareTime\ComputerTime\bin\fbserver.exe (Firebird Project)
PRC - C:\Program Files\GPSoftware\Directory Opus\dopus.exe (GP Software)
PRC - C:\Program Files\Sony\VAIO Smart Network\VSNClient.exe (Sony Corporation)
PRC - C:\Program Files\Sony\VAIO Smart Network\VSNService.exe (Sony Corporation)
PRC - C:\Program Files\Canon\MyPrinter\BJMYPRT.EXe (CANON INC.)
PRC - C:\Program Files\Apoint2K\HidFind.exe (Alps Electric Co., Ltd.)
PRC - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
PRC - C:\Program Files\CyberLink\Shared Files\brs.exe (cyberlink)
PRC - C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (Sony Corporation)
PRC - C:\Program Files\Sony\VAIO Power Management\SPMService.exe (Sony Corporation)
PRC - C:\Program Files\OneClickInternet\WTGService.exe ()
PRC - C:\Program Files\QUALCOMM\QDLService2k\QDLService2kSony.exe (QUALCOMM, Inc.)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\mmc.exe (Microsoft Corporation)
PRC - C:\Windows\System32\mblctr.exe (Microsoft Corporation)
PRC - C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe (Sony Corporation)
PRC - C:\Program Files\Sony\ISB Utility\ISBMgr.exe (Sony Corporation)
========== Modules (No Company Name) ==========
MOD - C:\Program Files\Java\jre7\bin\jp2native.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\a97f4e39d47dc3d5098150a8b14a9662\Microsoft.VisualBasic.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web.Services\9e64c6dea847aec2685eec4da29ea9b0\System.Web.Services.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\a00aab40bdf5aed84b4d4294965cf20d\System.Web.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\05682429807d34d6ff05a77ea153935f\System.Windows.Forms.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Management\ee4683cbfd60ee35d95e2e6d32fc3981\System.Management.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.IdentityMode#\2d8c2161957e5003fd15a7c0acb97928\System.IdentityModel.Selectors.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\bc5e4099db0d68c2d4da4749e4b8d127\System.ServiceModel.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\428143857fa1c250d50ec55132dd8a2f\System.Runtime.Serialization.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\fbe1fc6847e7ddff51482f2b779c168f\System.IdentityModel.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\5f9559fafc4b40e11e429d67152746be\SMDiagnostics.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Remo#\01b47a246b4ec7bfec31bf4503aceda1\System.Runtime.Remoting.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\e2ee5d77ebe0bd025e7a7a317a43d677\System.Drawing.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\Accessibility\612bad9f3a4f378c9c09cbb7460e3a93\Accessibility.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\10aba2c167cc1119b80159fd9ac71ca8\System.Xml.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\96a3b737db1e72adaf32d2b350e50c23\System.Configuration.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\c54750e64ba10d0fb7b6a636fb3695ca\System.ni.dll ()
MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\b0b8554c05f194f546a8ed531320760b\mscorlib.ni.dll ()
MOD - C:\Program Files\ChildWebGuardian PRO\CwAgent.exe ()
MOD - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\QtWebKit\qmlwebkitplugin4.dll ()
MOD - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\dblite.dll ()
MOD - C:\Program Files\Opera\gstreamer\gstreamer.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstoggdec.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstwebmdec.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstffmpegcolorspace.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstcoreplugins.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstaudioresample.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstaudioconvert.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstwavparse.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstdirectsound.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstdecodebin2.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstautodetect.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gstwaveform.dll ()
MOD - C:\Program Files\Opera\gstreamer\plugins\gsttypefindfunctions.dll ()
MOD - C:\Windows\System32\tw_libeay32.dll ()
MOD - C:\Windows\System32\tw_libssl32.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\System.ServiceModel.resources\3.0.0.0_de_b77a5c561934e089\System.ServiceModel.resources.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\SPMCommon\4.0.0.4200__e3c7096ba83f9295\SPMCommon.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\SPMDam\4.0.0.4200__1b3c579b6925895f\SPMDam.dll ()
MOD - C:\Windows\System32\pcrelib.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\System.resources\2.0.0.0_de_b77a5c561934e089\System.resources.dll ()
MOD - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
========== Services (SafeList) ==========
SRV - (Winmgmt) -- c:\_me\system\temp\2pszi2ki80.dll File not found <- das war ein virus
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe File not found (hat cpu probleme verursacht)
SRV - (ReflectService.exe) -- C:\Program Files\Macrium\Reflect\ReflectService.exe ()
SRV - (MozillaMaintenance) -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (watchtw) -- C:\Windows\System32\wtwatch.exe ()
SRV - (WebServTw) -- C:\Windows\System32\wstw.exe ()
SRV - (wtflserv) -- C:\Windows\System32\fltw.exe ()
SRV - (AVP) -- c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe (Kaspersky Lab ZAO)
SRV - (TeamViewer7) -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (VUAgent) -- C:\Program Files\Sony\VAIO Update Common\VUAgent.exe (Sony Corporation)
SRV - (BBSvc) -- C:\Program Files\Microsoft\BingBar\BBSvc.EXE (Microsoft Corporation.)
SRV - (BBUpdate) -- C:\Program Files\Microsoft\BingBar\SeaPort.EXE (Microsoft Corporation)
SRV - (NSL) -- C:\Program Files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe (Symantec Corporation)
SRV - (STProxy) -- C:\Program Files\SoftwareTime\ComputerTime\bin\STProxy.exe (SoftwareTime, LLC)
SRV - (afcdpsrv) -- C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe (Acronis)
SRV - (AcrSch2Svc) -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (ComputerTimeServer) -- C:\Program Files\SoftwareTime\ComputerTime\bin\fbserver.exe (Firebird Project)
SRV - (VSNService) -- C:\Program Files\Sony\VAIO Smart Network\VSNService.exe (Sony Corporation)
SRV - (VAIO Event Service) -- C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation)
SRV - (VAIO Power Management) -- C:\Program Files\Sony\VAIO Power Management\SPMService.exe (Sony Corporation)
SRV - (WTGService) -- C:\Program Files\OneClickInternet\WTGService.exe ()
SRV - (QDLService2kSony) -- C:\Program Files\QUALCOMM\QDLService2k\QDLService2kSony.exe (QUALCOMM, Inc.)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SRV - (btwdins) -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (YahooAUService) -- C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (Yahoo! Inc.)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
========== Driver Services (SafeList) ==========
DRV - (uxldipow) -- c:\_me\system\temp\uxldipow.sys File not found <- ?
DRV - (NLNdisPT) -- system32\DRIVERS\nlndis.sys File not found <- überbleibsel von parental control, offenbar
DRV - (NLNdisMP) -- system32\DRIVERS\nlndis.sys File not found
DRV - (MpKsl81823dad) -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D0AD13EE-C89E-4863-B5A4-80CB82F4D01C}\MpKsl81823dad.sys File not found
DRV - (cpuz130) -- c:\_me\system\temp\cpuz130\cpuz_x32.sys File not found <- ?
DRV - (PSVolAcc) -- C:\Windows\System32\drivers\PSVolAcc.sys (Paramount Software UK Ltd)
DRV - (pssnap) -- C:\Windows\System32\drivers\pssnap.sys (Macrium Software)
DRV - (KLIF) -- C:\Windows\System32\drivers\klif.sys (Kaspersky Lab)
DRV - (kltdi) -- C:\Windows\System32\drivers\kltdi.sys (Kaspersky Lab)
DRV - (klmouflt) -- C:\Windows\System32\drivers\klmouflt.sys (Kaspersky Lab)
DRV - (klkbdflt) -- C:\Windows\System32\drivers\klkbdflt.sys (Kaspersky Lab)
DRV - (wtfilter) -- C:\Windows\System32\drivers\wtfilter.sys (NetFilterSDK.com)
DRV - (PSMounterEx) -- C:\Windows\System32\drivers\psmounterex.sys ()
DRV - (kneps) -- C:\Windows\System32\drivers\kneps.sys (Kaspersky Lab)
DRV - (Uim_IM) -- C:\Windows\System32\drivers\Uim_IM.sys (Paragon)
DRV - (UimBus) -- C:\Windows\System32\drivers\UimBus.sys (Windows (R) 2000 DDK provider)
DRV - (hotcore3) -- C:\Windows\System32\drivers\hotcore3.sys (Paragon Software Group)
DRV - (KLIM6) -- C:\Windows\System32\drivers\klim6.sys (Kaspersky Lab ZAO)
DRV - (kl1) -- C:\Windows\System32\drivers\kl1.sys (Kaspersky Lab ZAO)
DRV - (PSMounter) -- C:\Windows\System32\drivers\psmounter.sys (Macrium Software)
DRV - (pwdrvio) -- C:\Windows\System32\pwdrvio.sys () <- wohl minitool?
DRV - (pwdspio) -- C:\Windows\System32\pwdspio.sys ()
DRV - (ccSet_NST) -- C:\Windows\System32\drivers\NST\0200000.010\ccSetx86.sys (Symantec Corporation)
DRV - (nhcDriverDevice) -- C:\Windows\System32\drivers\nhcDriver.sys (Notebook Hardware Control)
DRV - (teamviewervpn) -- C:\Windows\System32\drivers\teamviewervpn.sys (TeamViewer GmbH)
DRV - (afcdp) -- C:\Windows\System32\drivers\afcdp.sys (Acronis)
DRV - (tdrpman273) -- C:\Windows\System32\drivers\tdrpm273.sys (Acronis)
DRV - (timounter) -- C:\Windows\System32\drivers\timntr.sys (Acronis)
DRV - (snapman) -- C:\Windows\System32\drivers\snapman.sys (Acronis)
DRV - (rspUndeluxe) -- C:\Windows\System32\drivers\rspUnd32.sys (Resplendence Software Projects Sp.)
DRV - (FARMNTIO) -- C:\Windows\System32\drivers\FarMntIo.sys ()
DRV - (ivusb) -- C:\Windows\System32\drivers\ivusb.sys (Initio Corporation)
DRV - (phylock) -- C:\Windows\System32\drivers\phylock.sys (TeraByte, Inc.)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - ({B154377D-700F-42cc-9474-23858FBDF4BD}) -- c:\Program Files\CyberLink\PowerDVD9\000.fcl (CyberLink Corp.)
DRV - (qcusbnetsny2k) -- C:\Windows\System32\drivers\qcusbnetsny2k.sys (QUALCOMM Incorporated)
DRV - (qcusbsersny2k) -- C:\Windows\System32\drivers\qcusbserSny2k.sys (QUALCOMM Incorporated)
DRV - (qcfilterSny2k) -- C:\Windows\System32\drivers\qcfilterSny2k.sys (QUALCOMM Incorporated)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (SPI) -- C:\Windows\System32\drivers\SonyPI.sys (Sony Corporation)
DRV - (SFEP) -- C:\Windows\System32\drivers\SFEP.sys (Sony Corporation)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (WDC_SAM) -- C:\Windows\System32\drivers\wdcsam.sys (Western Digital Technologies)
DRV - (giveio) -- C:\Windows\System32\giveio.sys ()
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://home.live.com
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = hxxp://search.searchcompletion.com/?si=10211&home=1
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{02D08EFA-C55A-4D57-95CB-6408A701ECE8}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=AVB3DF&pc=AVBR
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = hxxp://isearch.avg.com/search?cid={F9DF2862-BD70-4B34-BBCB-AA2D9D1CB299}&mid=9e3f806d935f47d0b910d154fc5ae2de-73174264ed9c2878b3f27495b9aba94c1325d8cb&lang=en&ds=AVG&pr=fr&d=2012-05-13 23:41:05&v=11.0.0.9&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}: "URL" = hxxp://int.search-results.com/web?q={SEARCHTERMS}&o=15527&l=dis&prt=SWL&chn=&geo=DE&ver=2
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = hxxp://www.ask.com/web?o=15710&l=dis&q={searchTerms}
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\SearchScopes\{CBC39FF2-842D-45F7-B212-6ED603EBE510}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=QBLH&filt=all
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
========== FireFox ==========
FF - prefs.js..browser.search.defaultengine: "Complitly"
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.order.1: "Complitly"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
FF - prefs.js..browser.search.useDBForOrder: false
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}:6.0.35
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}:6.0.37
FF - prefs.js..extensions.enabledAddons: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.2.145
FF - prefs.js..extensions.enabledAddons: stealthyextension@gmail.com:2.5
FF - prefs.js..keyword.URL: "hxxp://search.searchcompletion.com/?bs=1&si=10211&q="
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co"
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKLM\Software\MozillaPlugins\LSNPAPI: C:\Program Files\nplightshot\3.2.0.0\npLightshot.dll (Skillbrains)
FF - HKCU\Software\MozillaPlugins\@sun.com/npsopluginmi;version=1.0: C:\Program Files\OpenOffice.org 3\program [2010.02.19 22:36:35 | 000,000,000 | ---D | M]
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\users\alkdjflasfdd\AppData\Local\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\users\alkdjflasfdd\AppData\Local\Google\Update\1.3.21.129\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}: C:\ProgramData\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.2.0.26\coFFFw\
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{4F3D26C8-9907-48ff-BC74-B8C572D317BF}: C:\Program Files\AusweisApp\mozilla\AusweisApp_FFxx_Win [2011.09.14 16:49:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{203FB6B2-2E1E-4474-863B-4C483ECCE78E}: C:\ProgramData\Norton\{92622AAD-05E8-4459-B256-765CE1E929FB}\NST_2.0.0.16\coFFNST\ [2013.03.28 01:41:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.11.21 16:48:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\url_advisor@kaspersky.com: c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\url_advisor@kaspersky.com [2013.03.19 22:27:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtual_keyboard@kaspersky.com: c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\virtual_keyboard@kaspersky.com [2013.03.19 22:27:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\content_blocker@kaspersky.com: c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\content_blocker@kaspersky.com [2013.03.19 22:27:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\anti_banner@kaspersky.com: c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\anti_banner@kaspersky.com [2013.03.19 22:27:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\online_banking@kaspersky.com: c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\FFExt\online_banking@kaspersky.com [2013.03.19 22:27:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.18 14:51:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.11.21 16:48:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0b2\extensions\\Components: C:\Program Files\Mozilla Firefox 4.0 Beta 2\components [2012.09.08 23:44:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0b2\extensions\\Plugins: C:\Program Files\Mozilla Firefox 4.0 Beta 2\plugins [2012.11.21 16:48:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: Z:\Program Files\Mozilla Firefox 5\components [2012.09.08 23:44:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: Z:\Program Files\Mozilla Firefox 5\plugins [2012.11.21 16:48:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012.12.25 14:35:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{22119944-ED35-4ab1-910B-E619EA06A115}: C:\Program Files\Siber Systems\AI RoboForm\Firefox [2012.02.01 23:43:43 | 000,000,000 | ---D | M]
[2010.12.22 11:27:52 | 000,000,000 | ---D | M] (No name found) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Extensions
[2010.11.28 10:38:52 | 000,000,000 | ---D | M] (No name found) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Extensions\home2@tomtom.com
[2010.01.07 14:51:46 | 000,000,000 | ---D | M] (No name found) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Firefox\extensions
[2010.01.07 14:51:46 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2013.02.24 16:19:08 | 000,000,000 | ---D | M] (No name found) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Firefox\Profiles\txesgi80.default\extensions
[2011.05.06 16:02:04 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\Firefox\Profiles\txesgi80.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
[2013.02.24 16:19:07 | 000,185,839 | ---- | M] () (No name found) -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\firefox\profiles\txesgi80.default\extensions\stealthyextension@gmail.com.xpi
[2011.08.04 00:24:31 | 000,002,449 | ---- | M] () -- C:\users\alkdjflasfdd\AppData\Roaming\mozilla\firefox\profiles\txesgi80.default\searchplugins\safesearch.xml
[2013.03.10 22:58:27 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2012.09.03 18:48:26 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2012.11.02 12:29:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2012.11.21 16:48:32 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 <video>) -- C:\PROGRAM FILES\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5
[2012.12.18 14:51:45 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.05.13 22:40:57 | 000,003,747 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012.12.18 14:51:39 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.05.06 16:02:03 | 000,003,195 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Complitly.xml
[2012.12.18 14:51:39 | 000,002,040 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\twitter.xml
========== Chrome ==========
CHR - homepage: about:blank
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR - homepage: about:blank
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\24.0.1312.52\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\24.0.1312.52\gcswf32.dll
CHR - plugin: Shockwave Flash (Disabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll
CHR - plugin: Screen Capture Plugin (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\alelhddbbhepgpmgidjdcjakblofbmce\3.3.4_0\plugins/screen_capture.dll
CHR - plugin: IE Tab Multi (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnfnbeppfinmnjnjhedifcfllpcfgeea\1.0.0.1_0\plugin/npietab.dll
CHR - plugin: IE Tab Multi (SPA) (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnfnbeppfinmnjnjhedifcfllpcfgeea\1.0.0.1_0\plugin/npietabspa.dll
CHR - plugin: Chrome IE Tab (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\hehijbfgiekmjfkfjpbkbammjbdenadd\3.5.9.1_0\plugin/blackfishietab.dll
CHR - plugin: RoboForm Plugin for Google Chrome/Opera/etc. (Enabled) = C:\Program Files\Siber Systems\AI RoboForm\Chrome\plugin/rf-np-plugin.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.6.6 (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\Application\plugins\npqtplugin6.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Windows Live\u00AE Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
CHR - plugin: Lightshot (Enabled) = C:\Program Files\nplightshot\1.7.0.25\npLightshot.dll
CHR - plugin: Facebook Desktop (Enabled) = C:\users\alkdjflasfdd\AppData\Local\Facebook\Messenger\2.1.4520.0\npFbDesktopPlugin.dll
CHR - plugin: Shockwave for Director (Enabled) = C:\Windows\system32\Adobe\Director\np32dsw.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll
CHR - Extension: Google-Suche = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: Modul zur Link-Untersuchung = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\13.0.1.4190_0\
CHR - Extension: Complitly plugin for chrome = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.1_0\
CHR - Extension: IE Tab Multi (Enhance) = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnfnbeppfinmnjnjhedifcfllpcfgeea\1.0.1.2_0\
CHR - Extension: AdBlock = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.5.61_0\
CHR - Extension: Sicherer Zahlungsverkehr = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\hakdifolhalapjijoafobooafbilfakh\13.0.1.4190_0\
CHR - Extension: IE Tab = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\hehijbfgiekmjfkfjpbkbammjbdenadd\4.2.22.2_0\
CHR - Extension: Modul f\u00FCr das Blockieren gef\u00E4hrlicher Webseiten = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\hghkgaeecgjhjkannahfamoehjmkjail\13.0.1.4190_0\
CHR - Extension: Stealthy = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieaebnkibonmpbhdaanjkmedikadnoje\3.0.1_0\
CHR - Extension: Virtuelle Tastatur = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\13.0.1.4190_0\
CHR - Extension: Downloads = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfchnphgogjhineanplmfkofljiagjfb\1_1\
CHR - Extension: Shortcut Manager = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\mgjjeipcdnnjhgodgjpfkffcejoljijf\0.7.9_0\
CHR - Extension: Mehr Leistung und Videoformate f\u00FCr dein HTML5 \u003Cvideo\u003E = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.145_0\
CHR - Extension: Keyconfig = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\okneonigbfnolfkmfgjmaeniipdjkgkl\1.13.1_0\
CHR - Extension: Google Mail = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
CHR - Extension: Anti-Banner = C:\users\alkdjflasfdd\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\13.0.1.4190_0\
###nicht wundern, auch im folgenden habe ich ein paar einträge rausgelöscht, die *definitiv* sicher sind (legitime harmlose programme wie notepad replacements etc)
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Content Blocker Plugin) - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll (Kaspersky Lab ZAO)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (RoboForm Toolbar Helper) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O2 - BHO: (Virtual Keyboard Plugin) - {73455575-E40C-433C-9784-C78DC7761455} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll (Kaspersky Lab ZAO)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (no name) - {95D9ECF5-2A4D-4550-BE49-70D42F71296E} - No CLSID value found.
O2 - BHO: (Safe Money Plugin) - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll (Kaspersky Lab ZAO)
O2 - BHO: (eCard Client Initiator) - {C9EE92B7-EDD5-4ad9-8029-2EC6818E653A} - C:\Program Files\AusweisApp\siqeCardClient.ols (OpenLimit SignCubes AG)
O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\users\alkdjflasfdd\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (URL Advisor Plugin) - {E33CF602-D945-461A-83F0-819F76A199F8} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll (Kaspersky Lab ZAO)
O2 - BHO: (Norton Safe Web Lite BHO) - {F0DA78E9-6B60-42fb-BC26-EF2CFB8C8FF3} - C:\Program Files\Norton Safe Web Lite\Engine\2.0.0.16\coIEPlg.dll (Symantec Corporation)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Norton Safe Web Lite) - {30CEEEA2-3742-40e4-85DD-812BF1CBB83D} - C:\Program Files\Norton Safe Web Lite\Engine\2.0.0.16\coIEPlg.dll (Symantec Corporation)
O3 - HKLM\..\Toolbar: (&RoboForm Toolbar) - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (no name) - {9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\Toolbar\WebBrowser: (Norton Safe Web Lite) - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - C:\Program Files\Norton Safe Web Lite\Engine\2.0.0.16\coIEPlg.dll (Symantec Corporation)
O3 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..\Toolbar\WebBrowser: (&RoboForm Toolbar) - {724D43A0-0D85-11D4-9908-00400523E39A} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O4 - HKLM..\Run: [*ctmn32] C:\Program Files\SoftwareTime\ComputerTime\bin\ctmn32.exe (SoftwareTime, LLC)
O4 - HKLM..\Run: [APC] C:\Program Files\Advanced Parental Control\BackProcessAPC.exe File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AVP] c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe (Kaspersky Lab ZAO)
O4 - HKLM..\Run: [BDRegion] c:\Program Files\Cyberlink\Shared Files\brs.exe (cyberlink)
O4 - HKLM..\Run: [ChicoSys] C:\Windows\system32\cc32\webtmr.exe File not found <- das ist ein überbleibsel von einer partental control software
O4 - HKLM..\Run: [ChildWebGuardian PRO Agent] C:\Program Files\ChildWebGuardian PRO\CwAgent.exe ()
O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe ()
O4 - HKLM..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW File not found
O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe (Sony Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [Helper] C:\Windows\System32\config\systemprofile\AppData\Local\PackSetup.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [jia] C:\Windows\System32\config\systemprofile\AppData\Local\yps.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [Helper] C:\Windows\System32\config\systemprofile\AppData\Local\PackSetup.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [jia] C:\Windows\System32\config\systemprofile\AppData\Local\yps.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003..\RunOnce: [*ctmn32] C:\Program Files\SoftwareTime\ComputerTime\bin\ctmn32.exe (SoftwareTime, LLC)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Privacy present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 65010687
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunLogonScriptSync = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideShutdownScripts = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MaxRecentDocs = 24
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: RestrictRun = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108863
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoNetworkConnections = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoChangeStartMenu = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyGames = 1
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: TaskbarNoNotification = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunLogonScriptSync = 1
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableClock = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: WRP = 0
O7 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O8 - Extra context menu item: Clear Fields - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComClearFields.html ()
O8 - Extra context menu item: Download by FlashGet3 - C:\users\alkdjflasfdd\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Fill Forms - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm ()
O8 - Extra context menu item: Reset Fields - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComResetFields.html ()
O8 - Extra context menu item: RoboForm Options - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComOptions.html ()
O8 - Extra context menu item: RoboForm TaskBar Icon - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComTaskBarIcon.html ()
O8 - Extra context menu item: Save Forms - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O9 - Extra Button: Virtuelle Tastatur - {0C4CC089-D306-440D-9772-464E226F6539} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll (Kaspersky Lab ZAO)
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O9 - Extra 'Tools' menuitem : Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O9 - Extra Button: LastPass - {43699cd0-e34f-11de-8a39-0800200c9a66} - Reg Error: Key error. File not found
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: Links untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll (Kaspersky Lab ZAO)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..Trusted Domains: ebay.de ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..Trusted Domains: facebook.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-467424403-2663338904-3135116938-1003\..Trusted Domains: facebook.de ([]* in Vertrauenswürdige Sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab (DLM Control)
O16 - DPF: {503F5F92-794F-4273-824E-A3EDF65BFAA4} hxxp://downloads.reiner-sct.de/owok/plugins/rsct_owok_ie-2004.cab (OWOK)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab (EPUImageControl Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{02510786-FD86-46E9-AAB5-D608272861E1}: NameServer = 139.7.30.126 139.7.30.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9280B973-8F6E-421B-A41A-C9927DAD6993}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\belarc {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - C:\Program Files\Belarc\Advisor\System\BAVoilaX.dll (Belarc, Inc.)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - Winlogon\Notify\VESWinlogon: DllName - (VESWinlogon.dll) - C:\Windows\System32\VESWinlogon.dll (Sony Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE} - C:\Program Files\GPSoftware\Directory Opus\dopuslib.dll (GP Software)
O32 - Unable to read "AutoRun" value or value not present!
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{58da06e0-090d-11df-a2b5-001dbabdcad9}\Shell - "" = AutoRun
O33 - MountPoints2\{58da06e0-090d-11df-a2b5-001dbabdcad9}\Shell\AutoRun\command - "" = F:\autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
========== Files/Folders - Created Within 30 Days ==========
[2013.03.20 23:40:56 | 000,015,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\usb8023.sys
[2013.03.19 22:02:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security 2013
[2013.03.19 22:01:02 | 000,000,000 | ---D | C] -- C:\Windows\ELAMBKUP
[2013.03.19 22:00:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2013.03.19 22:00:50 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab
[2013.03.19 21:59:14 | 000,589,144 | ---- | C] (Kaspersky Lab) -- C:\Windows\System32\drivers\klif.sys
[2013.03.19 21:59:14 | 000,075,096 | ---- | C] (Kaspersky Lab) -- C:\Windows\System32\drivers\klflt.sys
[2013.03.19 03:22:57 | 000,000,000 | ---D | C] -- C:\users\alkdjflasfdd\AppData\Roaming\QuickScan
[2013.03.15 15:24:40 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.03.15 15:24:37 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.03.15 15:24:36 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.03.15 15:24:36 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.03.15 15:24:35 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.03.15 15:24:32 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.03.15 15:24:31 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.03.15 15:24:28 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.03.10 23:05:30 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2013.03.10 22:59:52 | 000,262,560 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2013.03.10 22:59:28 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2013.03.10 22:59:28 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2013.03.10 22:59:28 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
(senstive, aber ungefaehrliche informationen im untenstenden gelöscht)
[2013.03.28 17:13:05 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.03.28 16:54:01 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\update-sys.job
[2013.03.28 16:53:02 | 000,013,936 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.03.28 16:53:02 | 000,013,936 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.03.28 16:29:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003UA.job
[2013.03.28 16:23:00 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.28 16:11:00 | 000,000,916 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003UA.job
[2013.03.28 15:45:00 | 000,000,370 | ---- | M] () -- C:\Windows\tasks\update-S-1-5-21-467424403-2663338904-3135116938-1003.job
[2013.03.28 15:00:55 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.03.28 13:41:08 | 000,000,000 | ---- | M] () -- C:\users\alkdjflasfdd\defogger_reenable
[2013.03.28 01:41:19 | 000,001,086 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.28 01:40:56 | 2136,928,256 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.27 22:11:00 | 000,000,894 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003Core.job
[2013.03.27 19:55:08 | 000,000,430 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for me.job
[2013.03.27 19:29:00 | 000,001,056 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003Core.job
[2013.03.19 11:32:04 | 000,123,366 | ---- | M] () -- C:\ProgramData\1363688951.492.bin
[2013.03.19 11:32:04 | 000,038,517 | ---- | M] () -- C:\ProgramData\1363688951.5172.bin
[2013.03.19 11:31:10 | 000,008,946 | ---- | M] () -- C:\ProgramData\1363688951.5324.bin
[2013.03.19 11:30:14 | 000,009,322 | ---- | M] () -- C:\ProgramData\1363688951.3744.bin
[2013.03.19 11:29:56 | 000,004,717 | ---- | M] () -- C:\ProgramData\1363688951.3984.bin
[2013.03.19 11:29:38 | 000,001,090 | ---- | M] () -- C:\ProgramData\1363688951.5540.bin
[2013.03.19 11:29:38 | 000,001,090 | ---- | M] () -- C:\ProgramData\1363688951.5236.bin
[2013.03.19 11:29:34 | 000,013,837 | ---- | M] () -- C:\ProgramData\1363688951.3960.bin
[2013.03.19 11:29:34 | 000,000,783 | ---- | M] () -- C:\ProgramData\1363688951.2744.bin
[2013.03.19 11:29:28 | 000,002,276 | ---- | M] () -- C:\ProgramData\1363688951.2124.bin
[2013.03.19 03:23:41 | 000,109,352 | ---- | M] () -- C:\ProgramData\1363659262.7388.bin
[2013.03.19 03:23:41 | 000,059,640 | ---- | M] () -- C:\ProgramData\1363659262.2828.bin
[2013.03.19 03:23:11 | 000,010,418 | ---- | M] () -- C:\ProgramData\1363659262.7724.bin
[2013.03.19 03:23:11 | 000,004,718 | ---- | M] () -- C:\ProgramData\1363659262.10224.bin
[2013.03.19 03:22:53 | 000,001,091 | ---- | M] () -- C:\ProgramData\1363659262.10228.bin
[2013.03.19 03:22:41 | 000,001,091 | ---- | M] () -- C:\ProgramData\1363659262.10232.bin
[2013.03.19 03:20:09 | 000,008,927 | ---- | M] () -- C:\ProgramData\1363659262.7564.bin
[2013.03.19 03:19:35 | 000,014,774 | ---- | M] () -- C:\ProgramData\1363659262.10220.bin
[2013.03.19 03:19:35 | 000,000,783 | ---- | M] () -- C:\ProgramData\1363659262.8224.bin
[2013.03.19 03:19:17 | 000,002,277 | ---- | M] () -- C:\ProgramData\1363659262.10148.bin
[2013.03.18 18:43:51 | 095,023,320 | ---- | M] () -- C:\ProgramData\(zufallsstring).pad <----- das gehört zum gvu trojaner, 90 mb datei, ist jetzt nicht mehr schädlich / umbenannt/quarantäne)
[2013.03.18 14:26:39 | 000,629,594 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.03.18 14:26:39 | 000,595,198 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.03.18 14:26:39 | 000,120,434 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.03.18 14:26:39 | 000,099,568 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.03.10 22:59:06 | 000,094,112 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\WindowsAccessBridge.dll
[2013.03.10 22:59:05 | 000,861,088 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\npdeployJava1.dll
[2013.03.10 22:59:05 | 000,782,240 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\deployJava1.dll
[2013.03.10 22:59:05 | 000,262,560 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaws.exe
[2013.03.10 22:59:05 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\javaw.exe
[2013.03.10 22:59:05 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\Windows\System32\java.exe
[2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
========== Files Created - No Company Name ==========
(senstive, aber ungefaehrliche informationen im untenstenden gelöscht)
[2013.03.28 13:41:08 | 000,000,000 | ---- | C] () -- C:\users\alkdjflasfdd\defogger_reenable
[2013.03.19 11:29:33 | 000,008,946 | ---- | C] () -- C:\ProgramData\1363688951.5324.bin
[2013.03.19 11:29:33 | 000,000,783 | ---- | C] () -- C:\ProgramData\1363688951.2744.bin
[2013.03.19 11:29:32 | 000,013,837 | ---- | C] () -- C:\ProgramData\1363688951.3960.bin
[2013.03.19 11:29:32 | 000,004,717 | ---- | C] () -- C:\ProgramData\1363688951.3984.bin
[2013.03.19 11:29:32 | 000,001,090 | ---- | C] () -- C:\ProgramData\1363688951.5540.bin
[2013.03.19 11:29:32 | 000,001,090 | ---- | C] () -- C:\ProgramData\1363688951.5236.bin
[2013.03.19 11:29:27 | 000,002,276 | ---- | C] () -- C:\ProgramData\1363688951.2124.bin
[2013.03.19 11:29:15 | 000,038,517 | ---- | C] () -- C:\ProgramData\1363688951.5172.bin
[2013.03.19 11:29:14 | 000,009,322 | ---- | C] () -- C:\ProgramData\1363688951.3744.bin
[2013.03.19 11:29:11 | 000,123,366 | ---- | C] () -- C:\ProgramData\1363688951.492.bin
[2013.03.19 03:19:32 | 000,008,927 | ---- | C] () -- C:\ProgramData\1363659262.7564.bin
[2013.03.19 03:19:32 | 000,000,783 | ---- | C] () -- C:\ProgramData\1363659262.8224.bin
[2013.03.19 03:19:31 | 000,014,774 | ---- | C] () -- C:\ProgramData\1363659262.10220.bin
[2013.03.19 03:19:31 | 000,004,718 | ---- | C] () -- C:\ProgramData\1363659262.10224.bin
[2013.03.19 03:19:31 | 000,001,091 | ---- | C] () -- C:\ProgramData\1363659262.10232.bin
[2013.03.19 03:19:31 | 000,001,091 | ---- | C] () -- C:\ProgramData\1363659262.10228.bin
[2013.03.19 03:19:16 | 000,002,277 | ---- | C] () -- C:\ProgramData\1363659262.10148.bin
[2013.03.19 03:14:27 | 000,059,640 | ---- | C] () -- C:\ProgramData\1363659262.2828.bin
[2013.03.19 03:14:25 | 000,010,418 | ---- | C] () -- C:\ProgramData\1363659262.7724.bin
[2013.03.19 03:14:22 | 000,109,352 | ---- | C] () -- C:\ProgramData\1363659262.7388.bin
[2013.03.18 18:31:28 | 095,023,320 | ---- | C] () -- C:\ProgramData\(zufallsstring).pad <-----------s.o.
[2013.01.11 20:28:20 | 000,150,276 | -H-- | C] () -- C:\Windows\System32\mlfcache.dat
[2012.10.10 12:38:48 | 001,743,870 | ---- | C] () -- C:\Windows\System32\tw_libeay32.dll
[2012.10.10 12:38:48 | 000,379,675 | ---- | C] () -- C:\Windows\System32\tw_libssl32.dll
[2012.10.10 12:38:46 | 001,963,416 | ---- | C] () -- C:\Windows\System32\cwcom.dll
[2012.10.10 12:38:46 | 001,076,632 | ---- | C] () -- C:\Windows\System32\wtwatch.exe
[2012.10.10 12:38:44 | 001,743,256 | ---- | C] () -- C:\Windows\System32\wstw.exe
[2012.09.25 15:31:50 | 000,054,464 | ---- | C] () -- C:\Windows\System32\drivers\psmounterex.sys
[2012.09.10 15:02:46 | 000,355,328 | ---- | C] () -- C:\Windows\System32\wlsppc.dll
[2012.07.23 00:26:57 | 000,221,184 | ---- | C] () -- C:\Windows\System32\pcrelib.dll
[2012.07.23 00:26:56 | 000,100,272 | ---- | C] () -- C:\Windows\System32\nfapi.dll
[2012.07.23 00:26:52 | 001,446,808 | ---- | C] () -- C:\Windows\System32\fltw.exe
[2012.07.22 22:43:01 | 000,124,416 | ---- | C] () -- C:\Windows\System32\dXCtrls.dll
[2012.07.22 22:43:00 | 000,544,256 | ---- | C] () -- C:\Windows\System32\janGraphics.dll
[2012.07.19 15:18:41 | 000,000,056 | RHS- | C] () -- C:\ProgramData\{F473AA6F-9069-4CB7-MB39-1493E6C46CAB}
[2012.07.06 21:57:48 | 000,079,360 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2012.03.20 00:49:10 | 000,000,711 | ---- | C] () -- C:\Windows\asfbinwin.INI
[2012.02.27 16:08:07 | 000,296,944 | ---- | C] () -- C:\users\alkdjflasfdd\AppData\Local\census.cache
[2012.02.27 16:07:46 | 000,171,238 | ---- | C] () -- C:\users\alkdjflasfdd\AppData\Local\ars.cache
[2012.02.27 15:48:40 | 000,000,036 | ---- | C] () -- C:\users\alkdjflasfdd\AppData\Local\housecall.guid.cache
[2012.01.27 15:08:26 | 000,000,022 | ---- | C] () -- C:\Windows\cmm.dat
[2012.01.02 01:13:41 | 000,074,240 | ---- | C] () -- C:\Windows\System32\zlibwapi.dll
[2011.12.12 17:00:42 | 000,002,952 | ---- | C] () -- C:\Windows\System32\STProxy.ini
[2011.12.12 17:00:42 | 000,001,664 | ---- | C] () -- C:\Windows\System32\STProxyOff.ini
[2011.12.11 01:35:13 | 000,000,221 | ---- | C] () -- C:\ProgramData\MusicStation.xml
[2011.11.21 22:40:24 | 000,037,888 | RHS- | C] () -- C:\Program Files\Common Files\{4510A67B-004C-D2M7-1196-BCF980168200}
[2011.07.11 18:32:34 | 000,000,163 | ---- | C] () -- C:\Windows\System32\StartClock.ini
[2011.06.27 12:39:39 | 000,000,193 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
[2011.06.07 00:41:00 | 000,175,616 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2011.05.27 15:32:21 | 000,001,280 | ---- | C] () -- C:\Windows\System32\excltmp~.dat
[2011.05.20 14:05:59 | 000,000,038 | ---- | C] () -- C:\Windows\osAviSplitter.INI
[2011.05.14 17:07:26 | 000,000,040 | ---- | C] () -- C:\ProgramData\STAnalyzer.ini
[2011.05.14 17:07:18 | 000,266,240 | ---- | C] () -- C:\ProgramData\STServer.mdb
[2011.05.14 17:07:18 | 000,002,832 | ---- | C] () -- C:\users\alkdjflasfdd\AppData\Roaming\D000A8E2.DAT
[2011.05.14 17:04:39 | 000,000,140 | ---- | C] () -- C:\ProgramData\95016.G06
[2011.05.14 16:07:11 | 000,000,169 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc
[2011.05.06 16:49:16 | 000,000,176 | ---- | C] () -- C:\Windows\System32\SWCTL.DLL
[2011.05.06 16:49:16 | 000,000,141 | -H-- | C] () -- C:\Windows\System32\ctlsw.ini
[2011.04.27 23:51:04 | 000,922,184 | ---- | C] () -- C:\Windows\System32\pwNative.exe
[2011.04.27 23:51:04 | 000,016,472 | ---- | C] () -- C:\Windows\System32\pwdrvio.sys
[2011.04.27 23:51:03 | 000,011,104 | ---- | C] () -- C:\Windows\System32\pwdspio.sys
[2011.04.25 21:49:26 | 000,084,480 | ---- | C] () -- C:\Windows\tbicd2hd.exe <-terabyte
[2011.02.20 16:12:54 | 000,000,232 | ---- | C] () -- C:\users\alkdjflasfdd\powerpad.conf
[2010.04.18 01:36:21 | 000,001,948 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2010.01.06 03:46:40 | 000,000,676 | RHS- | C] () -- C:\users\alkdjflasfdd\ntuser.pol
[2009.12.21 14:20:47 | 000,007,640 | ---- | C] () -- C:\users\alkdjflasfdd\AppData\Local\resmon.resmoncfg
[2003.10.06 09:21:31 | 000,000,000 | -H-- | C] () -- C:\ProgramData\sdpsenv.dat
========== ZeroAccess Check ==========
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:46:56 | 012,868,608 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
========== LOP Check ==========
(ein paar definitiv legitime programme wurden von mir der übersicht halber rausgelöscht)
[2009.12.21 15:23:52 | 000,000,000 | -HSD | M] -- C:\users\alkdjflasfdd\AppData\Roaming\.#
[2011.03.27 09:44:09 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\0AAFBEAB-806A-4CB2-91ED-5B06F11BDC01
[2011.03.29 15:46:34 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\23824715-F1D8-413E-A842-23DB1B743056
[2011.03.27 09:43:38 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\2CCFC51D-ABFA-4CEE-81D1-F0CF4F89D6FD
[2011.03.29 16:05:56 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\2D6E7029-FB78-496D-8D6C-4C5E9BE468F0
[2011.03.25 13:41:49 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\3A30ED3B-F6BB-46A1-BECF-21D7D6B0AF2D
[2011.03.29 15:46:35 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\40DCE393-547D-4A3C-8A2B-701C21058180
[2011.03.27 10:08:41 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\517A32DC-2FC9-4699-B88F-3FD3E52E2D45
[2011.03.25 13:41:53 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\57CD4456-A8BD-472C-96D5-0378F0EA7691
[2011.03.29 14:48:02 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\64CBEA9A-AF3D-4E1A-9FFB-745CABBCBFE7
[2011.03.26 22:18:43 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\68690F77-3C16-4C37-ABBB-2B2DE37C3851
[2011.03.29 16:06:10 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\6C3A9949-C2EF-476E-A7BE-80B310A28001
[2011.03.29 15:46:19 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\7991C204-B839-4F91-A1A0-DED062A123B0
[2011.03.29 16:06:36 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\7AA7CF54-B9D5-4779-97E5-E9E21635CB2D
[2011.03.29 14:50:03 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\7B2F5210-797C-4085-9FB4-C6BE67FAF64D
[2011.03.25 14:02:57 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\7D31E6A3-E6BA-4F5D-83E4-BCC7DE840E36
[2011.03.27 10:08:58 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\8EF34282-138A-4146-924B-BAF1C4157DE6
[2011.03.25 14:02:57 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\97092951-9D48-49DC-AA49-5E29FC7AF5C3
[2011.03.29 14:49:35 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\AA0E6BB3-9286-470C-A974-032542C2EDAD
[2010.05.17 15:42:08 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Acronis
[2012.12.14 00:01:24 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\BITS
[2011.06.23 19:58:36 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Canneverbe Limited
[2010.12.25 13:00:37 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Chrome
[2011.03.26 22:18:43 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\D0F4A3CB-6F66-4381-B579-D00EF59B4CF5
[2011.03.27 10:08:58 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\DED3B6FB-54C1-4B32-8A35-4B0F32E6564A
[2012.12.12 23:12:24 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Downloaded Installations
[2011.02.18 11:41:07 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Echo Software
[2012.07.19 19:42:17 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Ethervane
[2012.07.02 23:31:45 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\EurekaLog
[2011.03.27 09:44:09 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\FB5D50EE-9B7D-4B6C-8B48-457FFB113AF8
[2011.11.28 14:26:54 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\FMA
[2011.06.16 22:27:18 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Leadertech
[2011.06.26 14:29:55 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Notebook Hardware Control
[2012.11.21 01:47:30 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Opera
[2013.03.19 03:22:57 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\QuickScan
[2011.03.01 13:32:05 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\SoftGrid Client
[2012.03.18 03:13:25 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Softplicity
[2012.10.19 12:56:58 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\TeamViewer
[2012.10.19 14:39:42 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\temp
[2012.04.12 12:25:32 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Tencent
[2011.05.14 17:04:39 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\tfw
[2011.03.25 12:44:49 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\TheWorld
[2011.07.11 13:46:33 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Thunderbird
[2011.08.14 23:21:28 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\Tific
[2011.02.28 20:56:24 | 000,000,000 | ---D | M] -- C:\users\alkdjflasfdd\AppData\Roaming\TP
========== Purity Check ==========
========== Files - Unicode (All) ==========
[2011.03.24 16:13:28 | 000,000,986 | ---- | M] ()(C:\Users\Public\Desktop\???? 3.lnk) -- C:\Users\Public\Desktop\世界之窗 3.lnk <- theworld browser, legitime software
[2011.03.24 16:13:28 | 000,000,986 | ---- | C] ()(C:\Users\Public\Desktop\???? 3.lnk) -- C:\Users\Public\Desktop\世界之窗 3.lnk
(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\???????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\世界之窗浏览器
========== Alternate Data Streams ==========
@Alternate Data Stream - 4800 bytes -> C:\ProgramData\sdpsenv.dat:naughtypirates <- directory opus, soweit ich weiß. legitimer eintrag.
@Alternate Data Stream - 218 bytes -> C:\ProgramData\TEMP:5294C449
@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:424C5130
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:25D885FA
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:0A8E2C33
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:63238B95
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D3A96964
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:F8D65F32
< End of report >
[/CODE] OTL extras log: ->Als Anhang wegen zeichenbeschränkung des beitrags. An alle, die weiterhelfen: DANKE!!! Wenn ihr eine Anleitung irgendwo findet zum Reaktivieren der Verwaltungsintrumentation/Security Center -> bitte posten... |
|
29.03.2013, 17:31
| #2 |
| /// TB-Ausbilder  | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) )!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Ich möchte gerne nicht frisierte Logfiles sehen. Danke  Schritt 2: Windows Dienst reparieren (winmgmt)
Schritt 3: Scan mit Combofix
__________________ |
|
30.03.2013, 02:15
| #3 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) hallo ryder,
__________________danke, dass du dich des falls annimmst...! 1. das sicherheitscenter funktioniert wieder. tausend dank!!! (!!!) 2. zum frisieren von logfiles: du hast natürlich recht, dass logfiles, in denen halbwissende user (wie ich) rumgepfuscht haben, grundsätzlich problematisch sind. bitte aber um verständnis, dass ich dazu dennoch was sagen möchte: ihr fordert hier laien auf, im erstposting OTL-logs anzufügen. diese können aber hochsensitive daten enthalten, z.b. "liebesbrief-an-eva-mustermann.doc" als recent file. wenn das jetzt die geliebte von xy ist, und dessen ehefrau den namen googlet, dann gibt es schnell ärger, und das war noch ein sehr harmloses beispiel. ich hab den log nicht frisiert. ich hab jede einzelne zeile überprüft, damit keine zu privaten daten rausgehen. ich habe nur ein paar wenige (!!!) sachen rausgelöscht, die definitiv 100% ok sind rauszulöschen, sonst nichts. wenn du mir ein erneutes durchsehen (denn v.a. die recent files WERDE ich - und sollte jeder - aus datenschutzgründen z.t. löschen) von logfiles ersparen könntest, wäre ich sehr dankbar...... bittebittebitte.. 3. combofix: auch hier hab ich im logfile ein paar anmerkungen (###) gemacht, weil ich doch recht entsetzt war teilweise, was da abging... Combofix Logfile: Code:
ATTFilter ComboFix 13-03-28.01 - username 29.03.2013 19:23:23.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.2038.522 [GMT 1:00]
ausgeführt von:: C:\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
FW: Kaspersky Internet Security *Disabled* {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}
SP: Kaspersky Internet Security *Disabled/Updated* {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
### ob das wahr ist? ich habe vss und systemwiederherstellung stets deaktiviert, weil anderer backupplan.
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
### dass complitly entfernt wird ist ja ok,
### aber löschen eines von mir erstellten (leeren) text.txt in c:\?
### löschen von pcrelib.dll ? konnte auf anhieb nicht herausfinden, was das ist. löschen ohne erläuterung?
### löschen von aimemb.dll ? gehört meines wissens zur legitimen software actual window manager, ist aber im temp ordner wohl überflüssig gewesen.
### auch bei einigen der anderen löschungen (in roaming) fehlt mir die erläuterung.
c:\_me\system\temp\aimemb.dll
c:\program files\Complitly
c:\program files\Complitly\chrome\ComplitlyChrome.crx
c:\program files\Complitly\ChromeSetSearchInBrowser.exe
c:\program files\Complitly\FireFoxExtension.exe
c:\program files\Complitly\InstTracker.exe
c:\program files\Complitly\support@Complitly.com\chrome.manifest
c:\program files\Complitly\support@Complitly.com\chrome\content\appIcon.png
c:\program files\Complitly\support@Complitly.com\chrome\content\browserOverlay.xul
c:\program files\Complitly\support@Complitly.com\chrome\content\options.js
c:\program files\Complitly\support@Complitly.com\chrome\content\options.xul
c:\program files\Complitly\support@Complitly.com\chrome\content\utils.js
c:\program files\Complitly\support@Complitly.com\defaults\preferences\predictad.js
c:\program files\Complitly\support@Complitly.com\install.rdf
c:\program files\Complitly\unins000.dat
c:\program files\Complitly\unins000.exe
c:\programdata\1363659262.10148.bin
c:\programdata\1363659262.10220.bin
c:\programdata\1363659262.10224.bin
c:\programdata\1363659262.10228.bin
c:\programdata\1363659262.10232.bin
c:\programdata\1363659262.2828.bin
c:\programdata\1363659262.7388.bin
c:\programdata\1363659262.7564.bin
c:\programdata\1363659262.7724.bin
c:\programdata\1363659262.8224.bin
c:\programdata\1363688951.2124.bin
c:\programdata\1363688951.2744.bin
c:\programdata\1363688951.3744.bin
c:\programdata\1363688951.3960.bin
c:\programdata\1363688951.3984.bin
c:\programdata\1363688951.492.bin
c:\programdata\1363688951.5172.bin
c:\programdata\1363688951.5236.bin
c:\programdata\1363688951.5324.bin
c:\programdata\1363688951.5540.bin
C:\text.txt
c:\users\me\AppData\Roaming\.#
c:\users\me\AppData\Roaming\23824715-F1D8-413E-A842-23DB1B743056
c:\users\me\AppData\Roaming\97092951-9D48-49DC-AA49-5E29FC7AF5C3
c:\users\me\AppData\Roaming\Complitly\CoMPlitly.dll
c:\users\me\AppData\Roaming\D000A8E2.DAT
c:\windows\system32\pcrelib.dll
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AFPANSI
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-28 bis 2013-03-29 ))))))))))))))))))))))))))))))
.
.
2013-03-29 18:55 . 2013-03-29 18:55 -------- d-----w- c:\users\me\AppData\Local\temp
2013-03-29 16:38 . 2013-03-29 16:38 2634 ----a-w- C:\Winmgmt.reg
2013-03-20 22:40 . 2013-02-12 13:51 15872 ----a-w- c:\windows\system32\drivers\usb8023x.sys
2013-03-20 22:40 . 2013-02-12 13:51 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-03-19 21:01 . 2013-03-19 21:01 -------- d-----w- c:\windows\ELAMBKUP
2013-03-19 21:00 . 2013-03-29 19:11 -------- d-----w- c:\programdata\Kaspersky Lab
2013-03-19 21:00 . 2013-03-19 21:00 -------- d-----w- c:\program files\Kaspersky Lab
2013-03-19 20:59 . 2012-08-13 17:24 75096 ----a-w- c:\windows\system32\drivers\klflt.sys
2013-03-19 02:22 . 2013-03-19 02:22 -------- d-----w- c:\users\me\AppData\Roaming\QuickScan
2013-03-10 22:05 . 2013-03-10 22:05 -------- d-----w- c:\program files\Common Files\Java
2013-03-10 21:59 . 2013-03-10 21:59 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
### selbst erstellte dokument-dateien aus liste entfernt
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-29 16:18 . 2013-03-29 16:18 3491323 ----a-w- C:\tweaking.com_windows_repair_aio.zip
###(obiges programm wurde nicht von mir angewendet)
2013-03-29 15:14 . 2012-04-03 09:20 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-29 15:14 . 2011-05-20 12:45 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-10 21:59 . 2012-09-03 17:48 861088 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-03-10 21:59 . 2011-02-23 16:40 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-01-31 12:55 . 2013-01-31 14:16 13432 ----a-w- c:\windows\system32\drivers\PSVolAcc.sys
2013-01-31 12:54 . 2013-01-31 14:16 16504 ----a-w- c:\windows\system32\drivers\pssnap.sys
2013-01-05 05:02 . 2013-02-15 16:19 3957608 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-05 05:02 . 2013-02-15 16:19 3902312 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 04:55 . 2013-02-15 16:20 1287528 ----a-w- c:\windows\system32\drivers\tcpip.sys
2013-01-04 04:55 . 2013-02-15 16:20 187240 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2013-01-04 04:50 . 2013-02-15 16:19 169984 ----a-w- c:\windows\system32\winsrv.dll
2013-01-04 04:46 . 2013-02-15 16:19 293376 ----a-w- c:\windows\system32\KernelBase.dll
2013-01-04 04:43 . 2013-02-15 16:19 4608 ---ha-w- c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 5120 ---ha-w- c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2013-01-04 03:00 . 2013-02-15 16:20 2345984 ----a-w- c:\windows\system32\win32k.sys
2013-01-04 02:59 . 2013-02-15 16:19 271360 ----a-w- c:\windows\system32\conhost.exe
2013-01-04 02:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 6144 ---ha-w- c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 4608 ---ha-w- c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2012-12-18 13:51 . 2011-04-02 21:23 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-03-10 09:02 2840904 --sha-w- c:\windows\winshll.exe
2006-05-03 10:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{C9EE92B7-EDD5-4ad9-8029-2EC6818E653A}]
2011-06-24 07:05 3075520 ----a-w- c:\program files\AusweisApp\siqeCardClient.ols
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShowBatteryBar"="c:\program files\BatteryBar\ShowBatteryBar.exe" [2009-05-28 90624]
"Second Copy"="c:\program files\Second Copy 8\SecCopy.exe" [2012-11-20 3128616]
"Actual Window Manager"="c:\program files\Actual Window Manager\ActualWindowManagerCenter.exe" [2012-12-19 1913280]
"7 Taskbar Tweaker"="c:\users\me\AppData\Roaming\7 Taskbar Tweaker\7+ Taskbar Tweaker.exe" [2012-10-17 202752]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*ctmn32"="c:\program files\SoftwareTime\ComputerTime\bin\ctmn32.exe" [2011-06-13 4620800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"*ctmn32"="c:\program files\SoftwareTime\ComputerTime\bin\ctmn32.exe" [2011-06-13 4620800]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-06-29 7547424]
"POWER PLAN ASSISTANT"="c:\program files\PowerPlanAssistant\PowerPlanAssistantLauncher.exe" [2011-12-09 25600]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-07-26 2569616]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-01 75048]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2011-12-20 468856]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-27 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-27 350744]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"ChildWebGuardian PRO Agent"="c:\program files\ChildWebGuardian PRO\CwAgent.exe" [2012-12-17 2026904]
"DivXMediaServer"="c:\program files\DivX\DivX Media Server\DivXMediaServer.exe" [2012-11-13 450560]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2012-12-14 356376]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"jia"="c:\windows\system32\config\systemprofile\AppData\Local\yps.exe" [2012-06-13 13453664]
"Helper"="c:\windows\system32\config\systemprofile\AppData\Local\PackSetup.exe" [2012-07-12 3463560]
.
c:\_me\system\start menu\startup\
ArsClip.lnk - c:\program files\ArsClip\ArsClip.exe [2009-12-11 1212928]
BatteryBar_show.lnk - c:\program files\BatteryBar\ShowBatteryBar.exe [2009-5-28 90624]
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 795936]
Core Temp 1.0 RC3.lnk - c:\program files\Core Temp\CoreTemp.exe [2012-1-16 758224]
Launchy.lnk - c:\program files\Launchy\Launchy.exe [2010-1-5 380928]
MemInfo.lnk - c:\program files\MemInfo\meminfo.exe [2012-10-14 882176]
WDDMStatus.lnk - c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe [N/A]
WDSmartWare.lnk - c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe [N/A]
Windows Mobility Center.lnk - c:\windows\System32\mblctr.exe [2009-7-14 941568]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 795936]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
"HideFastUserSwitching"= 0 (0x0)
"HideShutdownScripts"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)
"WRP"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"MaxRecentDocs"= 24 (0x18)
"NoCommonGroups"= 0 (0x0)
"NoStartMenuMyGames"= 1 (0x1)
"TaskbarNoNotification"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\program files\GPSoftware\Directory Opus\dopuslib.dll" [2010-10-12 837592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-06-26 21:31 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\epl_aUACService]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ksupmgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 MpKsl81823dad;MpKsl81823dad;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{D0AD13EE-C89E-4863-B5A4-80CB82F4D01C}\MpKsl81823dad.sys [x]
R2 wtflserv;WtFilterServ;c:\windows\system32\fltw.exe [x]
R3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [x]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 cpuz130;cpuz130;c:\_me\system\temp\cpuz130\cpuz_x32.sys [x]
R3 FARMNTIO;FARMNTIO;c:\windows\system32\drivers\farmntio.sys [x]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [x]
R3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\Drivers\LEqdUsb.Sys [x]
R3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\Drivers\LHidEqd.Sys [x]
R3 mschedsvc;Macro Scheduler Service;c:\program files\Macro Scheduler 12\msschedsvc.exe [x]
R3 NLNdisMP;NLNdisMP;c:\windows\system32\DRIVERS\nlndis.sys [x]
R3 NLNdisPT;NetLimiter Ndis Protocol Service;c:\windows\system32\DRIVERS\nlndis.sys [x]
R3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [x]
R3 PSMounterEx;Macrium Reflect Image Explorer Driver;c:\windows\system32\drivers\psmounterex.sys [x]
R3 PSVolAcc;PSVolAcc; [x]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [x]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [x]
R3 qcfilterSny2k;Gobi 2000 USB Composite Device Filter Driver(05C6-9225);c:\windows\system32\DRIVERS\qcfilterSny2k.sys [x]
R3 qcusbnetsny2k;Gobi 2000 USB-NDIS miniport(05C6-9225);c:\windows\system32\DRIVERS\qcusbnetsny2k.sys [x]
R3 qcusbsersny2k;Gobi 2000 USB Device for Legacy Serial Communication(05C6-9225);c:\windows\system32\DRIVERS\qcusbserSny2k.sys [x]
R3 rspUndeluxe;rspUndeluxe;c:\windows\system32\DRIVERS\rspUnd32.sys [x]
R3 TBIMount;TBIMount;c:\windows\System32\drivers\tbimount.sys [x]
R3 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [x]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
R4 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [x]
R4 SCVSSService;Second Copy VSS Service;c:\program files\Second Copy 8\SCVSSSvc.exe [x]
R4 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [x]
R4 VUAgent;VUAgent;c:\program files\Sony\VAIO Update Common\VUAgent.exe [x]
S0 hotcore3;hc3ServiceName;c:\windows\system32\DRIVERS\hotcore3.sys [x]
S0 phylock;phylock;c:\windows\system32\drivers\phylock.sys [x]
S0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\DRIVERS\pssnap.sys [x]
S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [x]
S1 ccSet_NST;Norton Safe Web Lite Settings Manager;c:\windows\system32\drivers\NST\0200000.010\ccSetx86.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 kltdi;kltdi;c:\windows\system32\DRIVERS\kltdi.sys [x]
S1 kneps;kneps;c:\windows\system32\DRIVERS\kneps.sys [x]
S1 wtfilter;wtfilter;c:\windows\system32\drivers\wtfilter.sys [x]
S2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/01/18 23:35];c:\program files\CyberLink\PowerDVD9\000.fcl [x]
S2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 ComputerTimeServer;ComputerTime Server;c:\program files\SoftwareTime\ComputerTime\bin\fbserver.exe [x]
S2 NitroReaderDriverReadSpool2;NitroPDFReaderDriverCreatorReadSpool2;c:\program files\Nitro PDF\Reader 2\NitroPDFReaderDriverService2.exe [x]
S2 NSL;Norton Safe Web Lite;c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe [x]
S2 QDLService2kSony;Qualcomm Gobi 2000 Download Service (Sony);c:\program files\QUALCOMM\QDLService2k\QDLService2kSony.exe [x]
S2 ReflectService.exe;Macrium Reflect Image Mounting Service;c:\program files\Macrium\Reflect\ReflectService.exe [x]
S2 STProxy;STProxy;c:\program files\SoftwareTime\ComputerTime\bin\STProxy.exe [x]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [x]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [x]
S2 watchtw;watchtw;c:\windows\system32\wtwatch.exe [x]
S2 WebServTw;Internet filter server;c:\windows\system32\wstw.exe [x]
S2 WTGService;WTGService;c:\program files\OneClickInternet\WTGService.exe [x]
S3 ALSysIO;ALSysIO;c:\_me\system\temp\ALSysIO.sys [x]
S3 igd;igd;c:\windows\system32\DRIVERS\igdkmd32.sys [x]
S3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\DRIVERS\klkbdflt.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\DRIVERS\SonyPI.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-29 15:14]
.
2013-03-28 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003Core.job
- c:\users\me\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-16 20:06]
.
2013-03-29 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003UA.job
- c:\users\me\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-16 20:06]
.
2013-03-29 c:\windows\Tasks\update-S-1-5-21-467424403-2663338904-3135116938-1003.job
- c:\program files\Skillbrains\Updater\Updater.exe [2011-09-24 20:34]
.
2013-03-29 c:\windows\Tasks\update-sys.job
- c:\program files\Skillbrains\Updater\Updater.exe [2011-09-24 20:34]
.
.
------- Zusätzlicher Suchlauf -------
.
###weiß nicht, wo combofix die searchcompletion URL herhat. im IE ist in internet optionen als "suchanbieter" nichts dergleichen vorhanden.
uStart Page = about:blank
uDefault_Search_URL = hxxp://search.searchcompletion.com/?si=10211&home=1
uInternet Settings,ProxyOverride = *.local
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Clear Fields - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComClearFields.html
IE: Download all by FlashGet3 - c:\users\me\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
IE: Download by FlashGet3 - c:\users\me\AppData\Roaming\FlashGetBHO\GetUrl.htm
IE: Fill Forms - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Hinzufügen zu Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm
IE: LastPass Ausfüllformulare - file://c:\users\me\AppData\Roaming\LastPass\context.html?cmd=fillforms
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Reset Fields - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComResetFields.html
IE: RoboForm Options - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComOptions.html
IE: RoboForm TaskBar Icon - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComTaskBarIcon.html
IE: Save Forms - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{02510786-FD86-46E9-AAB5-D608272861E1}: NameServer = 139.7.30.126 139.7.30.125
DPF: {503F5F92-794F-4273-824E-A3EDF65BFAA4} - hxxp://downloads.reiner-sct.de/owok/plugins/rsct_owok_ie-2004.cab
.
.
------- Dateityp-Verknüpfung -------
.
.txt=txtFileHandler
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKCU-Run-Alt-Tab Thingy - c:\windows\system32\attmain.exe
HKCU-Run-Volume2 - c:\volume2\Volume2\Volume2.exe
HKCU-Run-APC - c:\program files\Advanced Parental Control\BackProcessAPC.exe
HKCU-Run-Screen OCR - (no file)
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
HKLM-Run-APC - c:\program files\Advanced Parental Control\BackProcessAPC.exe
HKLM-Run-ChicoSys - c:\windows\system32\cc32\webtmr.exe
HKLM-Run-DivXUpdate - c:\program files\DivX\DivX Update\DivXUpdate.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-SolutoService
MSConfigStartUp-Google Update - c:\users\me\AppData\Local\Google\Update\GoogleUpdate.exe
AddRemove-Complitly_is1 - c:\program files\Complitly\unins000.exe
AddRemove-NSS - c:\program files\Norton Security Scan\Engine\3.7.2.5\InstWrap.exe
AddRemove-SmEdit - c:\program files\Common Files\InstallerA\Setup.exe \SMED
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NSL]
"ImagePath"="\"c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe\" /s \"NSL\" /m \"c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(8848)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
c:\windows\Microsoft.NET\Framework\v2.0.50727\WMINet_Utils.dll
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\windows\system32\DllHost.exe
c:\program files\Sony\VAIO Event Service\VESMgrSub.exe
c:\program files\Sony\VAIO Smart Network\VSNClient.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\conhost.exe
c:\program files\SoftwareTime\ComputerTime\bin\stka32.exe
c:\windows\System32\WUDFHost.exe
c:\program files\PowerPlanAssistant\PowerPlanAssistant.exe
c:\program files\Actual Window Manager\ActualWindowManagerShellCenter.exe
c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe
c:\windows\system32\sppsvc.exe
c:\program files\Sony\VAIO Power Management\SPMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-29 20:18:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-03-29 19:18
.
Vor Suchlauf: 12 Verzeichnis(se), 154.572.853.248 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 157.239.234.560 Bytes frei
### toll, bei 14 verzeichnissen unnötigerweise das von mir gesetzte hidden attribut entfernt, und 3 GB gelöscht? wäre es für den user nicht schön zu wissen, was da gelöscht wurde...? mir macht so was angst.
.
- - End Of File - - 620675D8A4C205BB5313071B32E78EC1
--- --- ---
Geändert von e11even (30.03.2013 um 02:47 Uhr) |
|
30.03.2013, 10:57
| #4 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) So jetzt ist Schuss. Ich will ein unkommentiertes Logfile. Punkt.
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
30.03.2013, 16:54
| #5 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo Ryder, ich mach jetzt nur noch exakt alles, was du sagst. Untenstehend das unkommentierte Combofix Log. Es wurde hierin nichts von mir geändert oder dazugeschrieben außer der Entfernung von DREI Einträgen unter "Dateien erstellt" (selbst erstellte private Dokumentnamen). Ich hoffe wirklich sehr, dass das nun OK ist so. Ich Idiot habe außerdem Combofix im Root statt auf dem Desktop ausgeführt. Wie gesagt, ab sofort halte ich mich 100% und akribisch an alle Anweisungen. Bitte um Gnade. Combofix Logfile: Code:
ATTFilter ComboFix 13-03-28.01 - me 29.03.2013 19:23:23.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.2038.522 [GMT 1:00]
ausgeführt von:: C:\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
FW: Kaspersky Internet Security *Disabled* {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}
SP: Kaspersky Internet Security *Disabled/Updated* {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\_me\system\start menu\programs\3RVX.lnk
c:\_me\system\temp\aimemb.dll
c:\program files\Complitly
c:\program files\Complitly\chrome\ComplitlyChrome.crx
c:\program files\Complitly\ChromeSetSearchInBrowser.exe
c:\program files\Complitly\FireFoxExtension.exe
c:\program files\Complitly\InstTracker.exe
c:\program files\Complitly\support@Complitly.com\chrome.manifest
c:\program files\Complitly\support@Complitly.com\chrome\content\appIcon.png
c:\program files\Complitly\support@Complitly.com\chrome\content\browserOverlay.xul
c:\program files\Complitly\support@Complitly.com\chrome\content\options.js
c:\program files\Complitly\support@Complitly.com\chrome\content\options.xul
c:\program files\Complitly\support@Complitly.com\chrome\content\utils.js
c:\program files\Complitly\support@Complitly.com\defaults\preferences\predictad.js
c:\program files\Complitly\support@Complitly.com\install.rdf
c:\program files\Complitly\unins000.dat
c:\program files\Complitly\unins000.exe
c:\programdata\1363659262.10148.bin
c:\programdata\1363659262.10220.bin
c:\programdata\1363659262.10224.bin
c:\programdata\1363659262.10228.bin
c:\programdata\1363659262.10232.bin
c:\programdata\1363659262.2828.bin
c:\programdata\1363659262.7388.bin
c:\programdata\1363659262.7564.bin
c:\programdata\1363659262.7724.bin
c:\programdata\1363659262.8224.bin
c:\programdata\1363688951.2124.bin
c:\programdata\1363688951.2744.bin
c:\programdata\1363688951.3744.bin
c:\programdata\1363688951.3960.bin
c:\programdata\1363688951.3984.bin
c:\programdata\1363688951.492.bin
c:\programdata\1363688951.5172.bin
c:\programdata\1363688951.5236.bin
c:\programdata\1363688951.5324.bin
c:\programdata\1363688951.5540.bin
C:\text.txt
c:\users\me\AppData\Roaming\.#
c:\users\me\AppData\Roaming\23824715-F1D8-413E-A842-23DB1B743056
c:\users\me\AppData\Roaming\97092951-9D48-49DC-AA49-5E29FC7AF5C3
c:\users\me\AppData\Roaming\Complitly\CoMPlitly.dll
c:\users\me\AppData\Roaming\D000A8E2.DAT
c:\windows\system32\pcrelib.dll
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AFPANSI
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-28 bis 2013-03-29 ))))))))))))))))))))))))))))))
.
.
2013-03-29 18:55 . 2013-03-29 18:55 -------- d-----w- c:\users\me\AppData\Local\temp
2013-03-29 16:38 . 2013-03-29 16:38 2634 ----a-w- C:\Winmgmt.reg
2013-03-29 16:19 . 2013-03-29 16:19 -------- d-----w- C:\tweaking.com_windows_repair_aio
2013-03-28 21:20 . 2013-03-28 21:20 -------- d-----w- c:\users\me\AppData\Local\Secunia PSI
2013-03-28 21:20 . 2013-03-28 21:20 -------- d-----w- c:\program files\Secunia
2013-03-28 18:57 . 2013-03-28 18:57 -------- d-----w- C:\wmidiag
2013-03-20 22:40 . 2013-02-12 13:51 15872 ----a-w- c:\windows\system32\drivers\usb8023x.sys
2013-03-20 22:40 . 2013-02-12 13:51 15872 ----a-w- c:\windows\system32\drivers\usb8023.sys
2013-03-19 21:01 . 2013-03-19 21:01 -------- d-----w- c:\windows\ELAMBKUP
2013-03-19 21:00 . 2013-03-29 19:11 -------- d-----w- c:\programdata\Kaspersky Lab
2013-03-19 21:00 . 2013-03-19 21:00 -------- d-----w- c:\program files\Kaspersky Lab
2013-03-19 20:59 . 2012-08-13 17:24 75096 ----a-w- c:\windows\system32\drivers\klflt.sys
2013-03-19 02:22 . 2013-03-19 02:22 -------- d-----w- c:\users\me\AppData\Roaming\QuickScan
2013-03-10 22:05 . 2013-03-10 22:05 -------- d-----w- c:\program files\Common Files\Java
2013-03-10 21:59 . 2013-03-10 21:59 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-29 16:18 . 2013-03-29 16:18 3491323 ----a-w- C:\tweaking.com_windows_repair_aio.zip
2013-03-29 15:14 . 2012-04-03 09:20 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-03-29 15:14 . 2011-05-20 12:45 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-10 21:59 . 2012-09-03 17:48 861088 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-03-10 21:59 . 2011-02-23 16:40 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-01-31 12:55 . 2013-01-31 14:16 13432 ----a-w- c:\windows\system32\drivers\PSVolAcc.sys
2013-01-31 12:54 . 2013-01-31 14:16 16504 ----a-w- c:\windows\system32\drivers\pssnap.sys
2013-01-05 05:02 . 2013-02-15 16:19 3957608 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-05 05:02 . 2013-02-15 16:19 3902312 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-04 04:55 . 2013-02-15 16:20 1287528 ----a-w- c:\windows\system32\drivers\tcpip.sys
2013-01-04 04:55 . 2013-02-15 16:20 187240 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2013-01-04 04:50 . 2013-02-15 16:19 169984 ----a-w- c:\windows\system32\winsrv.dll
2013-01-04 04:46 . 2013-02-15 16:19 293376 ----a-w- c:\windows\system32\KernelBase.dll
2013-01-04 04:43 . 2013-02-15 16:19 4608 ---ha-w- c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 4096 ---ha-w- c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 5120 ---ha-w- c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2013-01-04 04:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2013-01-04 03:00 . 2013-02-15 16:20 2345984 ----a-w- c:\windows\system32\win32k.sys
2013-01-04 02:59 . 2013-02-15 16:19 271360 ----a-w- c:\windows\system32\conhost.exe
2013-01-04 02:43 . 2013-02-15 16:19 3584 ---ha-w- c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 6144 ---ha-w- c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 4608 ---ha-w- c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-04 02:43 . 2013-02-15 16:19 3072 ---ha-w- c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2012-12-18 13:51 . 2011-04-02 21:23 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-03-10 09:02 2840904 --sha-w- c:\windows\winshll.exe
2006-05-03 10:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{C9EE92B7-EDD5-4ad9-8029-2EC6818E653A}]
2011-06-24 07:05 3075520 ----a-w- c:\program files\AusweisApp\siqeCardClient.ols
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShowBatteryBar"="c:\program files\BatteryBar\ShowBatteryBar.exe" [2009-05-28 90624]
"Second Copy"="c:\program files\Second Copy 8\SecCopy.exe" [2012-11-20 3128616]
"Actual Window Manager"="c:\program files\Actual Window Manager\ActualWindowManagerCenter.exe" [2012-12-19 1913280]
"7 Taskbar Tweaker"="c:\users\me\AppData\Roaming\7 Taskbar Tweaker\7+ Taskbar Tweaker.exe" [2012-10-17 202752]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*ctmn32"="c:\program files\SoftwareTime\ComputerTime\bin\ctmn32.exe" [2011-06-13 4620800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"*ctmn32"="c:\program files\SoftwareTime\ComputerTime\bin\ctmn32.exe" [2011-06-13 4620800]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-06-29 7547424]
"POWER PLAN ASSISTANT"="c:\program files\PowerPlanAssistant\PowerPlanAssistantLauncher.exe" [2011-12-09 25600]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-07-26 2569616]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-09-01 75048]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2011-12-20 468856]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-27 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-27 350744]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"ChildWebGuardian PRO Agent"="c:\program files\ChildWebGuardian PRO\CwAgent.exe" [2012-12-17 2026904]
"DivXMediaServer"="c:\program files\DivX\DivX Media Server\DivXMediaServer.exe" [2012-11-13 450560]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2012-12-14 356376]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"jia"="c:\windows\system32\config\systemprofile\AppData\Local\yps.exe" [2012-06-13 13453664]
"Helper"="c:\windows\system32\config\systemprofile\AppData\Local\PackSetup.exe" [2012-07-12 3463560]
.
c:\_me\system\start menu\startup\
ArsClip.lnk - c:\program files\ArsClip\ArsClip.exe [2009-12-11 1212928]
BatteryBar_show.lnk - c:\program files\BatteryBar\ShowBatteryBar.exe [2009-5-28 90624]
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 795936]
Core Temp 1.0 RC3.lnk - c:\program files\Core Temp\CoreTemp.exe [2012-1-16 758224]
Launchy.lnk - c:\program files\Launchy\Launchy.exe [2010-1-5 380928]
MemInfo.lnk - c:\program files\MemInfo\meminfo.exe [2012-10-14 882176]
WDDMStatus.lnk - c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe [N/A]
WDSmartWare.lnk - c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe [N/A]
Windows Mobility Center.lnk - c:\windows\System32\mblctr.exe [2009-7-14 941568]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 795936]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
"HideFastUserSwitching"= 0 (0x0)
"HideShutdownScripts"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)
"WRP"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"MaxRecentDocs"= 24 (0x18)
"NoCommonGroups"= 0 (0x0)
"NoStartMenuMyGames"= 1 (0x1)
"TaskbarNoNotification"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{3CF9ECE0-1A9F-11D2-8C73-00C06C2005DE}"= "c:\program files\GPSoftware\Directory Opus\dopuslib.dll" [2010-10-12 837592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-06-26 21:31 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\epl_aUACService]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ksupmgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 MpKsl81823dad;MpKsl81823dad;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{D0AD13EE-C89E-4863-B5A4-80CB82F4D01C}\MpKsl81823dad.sys [x]
R2 wtflserv;WtFilterServ;c:\windows\system32\fltw.exe [x]
R3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [x]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 cpuz130;cpuz130;c:\_me\system\temp\cpuz130\cpuz_x32.sys [x]
R3 FARMNTIO;FARMNTIO;c:\windows\system32\drivers\farmntio.sys [x]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [x]
R3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\Drivers\LEqdUsb.Sys [x]
R3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\Drivers\LHidEqd.Sys [x]
R3 mschedsvc;Macro Scheduler Service;c:\program files\Macro Scheduler 12\msschedsvc.exe [x]
R3 NLNdisMP;NLNdisMP;c:\windows\system32\DRIVERS\nlndis.sys [x]
R3 NLNdisPT;NetLimiter Ndis Protocol Service;c:\windows\system32\DRIVERS\nlndis.sys [x]
R3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [x]
R3 PSMounterEx;Macrium Reflect Image Explorer Driver;c:\windows\system32\drivers\psmounterex.sys [x]
R3 PSVolAcc;PSVolAcc; [x]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [x]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [x]
R3 qcfilterSny2k;Gobi 2000 USB Composite Device Filter Driver(05C6-9225);c:\windows\system32\DRIVERS\qcfilterSny2k.sys [x]
R3 qcusbnetsny2k;Gobi 2000 USB-NDIS miniport(05C6-9225);c:\windows\system32\DRIVERS\qcusbnetsny2k.sys [x]
R3 qcusbsersny2k;Gobi 2000 USB Device for Legacy Serial Communication(05C6-9225);c:\windows\system32\DRIVERS\qcusbserSny2k.sys [x]
R3 rspUndeluxe;rspUndeluxe;c:\windows\system32\DRIVERS\rspUnd32.sys [x]
R3 TBIMount;TBIMount;c:\windows\System32\drivers\tbimount.sys [x]
R3 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [x]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
R4 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [x]
R4 SCVSSService;Second Copy VSS Service;c:\program files\Second Copy 8\SCVSSSvc.exe [x]
R4 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [x]
R4 VUAgent;VUAgent;c:\program files\Sony\VAIO Update Common\VUAgent.exe [x]
S0 hotcore3;hc3ServiceName;c:\windows\system32\DRIVERS\hotcore3.sys [x]
S0 phylock;phylock;c:\windows\system32\drivers\phylock.sys [x]
S0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\DRIVERS\pssnap.sys [x]
S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [x]
S1 ccSet_NST;Norton Safe Web Lite Settings Manager;c:\windows\system32\drivers\NST\0200000.010\ccSetx86.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 kltdi;kltdi;c:\windows\system32\DRIVERS\kltdi.sys [x]
S1 kneps;kneps;c:\windows\system32\DRIVERS\kneps.sys [x]
S1 wtfilter;wtfilter;c:\windows\system32\drivers\wtfilter.sys [x]
S2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/01/18 23:35];c:\program files\CyberLink\PowerDVD9\000.fcl [x]
S2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 ComputerTimeServer;ComputerTime Server;c:\program files\SoftwareTime\ComputerTime\bin\fbserver.exe [x]
S2 NitroReaderDriverReadSpool2;NitroPDFReaderDriverCreatorReadSpool2;c:\program files\Nitro PDF\Reader 2\NitroPDFReaderDriverService2.exe [x]
S2 NSL;Norton Safe Web Lite;c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe [x]
S2 QDLService2kSony;Qualcomm Gobi 2000 Download Service (Sony);c:\program files\QUALCOMM\QDLService2k\QDLService2kSony.exe [x]
S2 ReflectService.exe;Macrium Reflect Image Mounting Service;c:\program files\Macrium\Reflect\ReflectService.exe [x]
S2 STProxy;STProxy;c:\program files\SoftwareTime\ComputerTime\bin\STProxy.exe [x]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [x]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [x]
S2 watchtw;watchtw;c:\windows\system32\wtwatch.exe [x]
S2 WebServTw;Internet filter server;c:\windows\system32\wstw.exe [x]
S2 WTGService;WTGService;c:\program files\OneClickInternet\WTGService.exe [x]
S3 ALSysIO;ALSysIO;c:\_me\system\temp\ALSysIO.sys [x]
S3 igd;igd;c:\windows\system32\DRIVERS\igdkmd32.sys [x]
S3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\DRIVERS\klkbdflt.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\DRIVERS\SonyPI.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-29 15:14]
.
2013-03-28 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003Core.job
- c:\users\me\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-16 20:06]
.
2013-03-29 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-467424403-2663338904-3135116938-1003UA.job
- c:\users\me\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-16 20:06]
.
2013-03-29 c:\windows\Tasks\update-S-1-5-21-467424403-2663338904-3135116938-1003.job
- c:\program files\Skillbrains\Updater\Updater.exe [2011-09-24 20:34]
.
2013-03-29 c:\windows\Tasks\update-sys.job
- c:\program files\Skillbrains\Updater\Updater.exe [2011-09-24 20:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://search.searchcompletion.com/?si=10211&home=1
uInternet Settings,ProxyOverride = *.local
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Clear Fields - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComClearFields.html
IE: Download all by FlashGet3 - c:\users\me\AppData\Roaming\FlashGetBHO\GetAllUrl.htm
IE: Download by FlashGet3 - c:\users\me\AppData\Roaming\FlashGetBHO\GetUrl.htm
IE: Fill Forms - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Hinzufügen zu Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm
IE: LastPass Ausfüllformulare - file://c:\users\me\AppData\Roaming\LastPass\context.html?cmd=fillforms
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Reset Fields - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComResetFields.html
IE: RoboForm Options - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComOptions.html
IE: RoboForm TaskBar Icon - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComTaskBarIcon.html
IE: Save Forms - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{02510786-FD86-46E9-AAB5-D608272861E1}: NameServer = 139.7.30.126 139.7.30.125
DPF: {503F5F92-794F-4273-824E-A3EDF65BFAA4} - hxxp://downloads.reiner-sct.de/owok/plugins/rsct_owok_ie-2004.cab
.
.
------- Dateityp-Verknüpfung -------
.
.txt=txtFileHandler
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKCU-Run-Alt-Tab Thingy - c:\windows\system32\attmain.exe
HKCU-Run-Volume2 - c:\volume2\Volume2\Volume2.exe
HKCU-Run-APC - c:\program files\Advanced Parental Control\BackProcessAPC.exe
HKCU-Run-Screen OCR - (no file)
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
HKLM-Run-APC - c:\program files\Advanced Parental Control\BackProcessAPC.exe
HKLM-Run-ChicoSys - c:\windows\system32\cc32\webtmr.exe
HKLM-Run-DivXUpdate - c:\program files\DivX\DivX Update\DivXUpdate.exe
SafeBoot-mcmscsvc
SafeBoot-MCODS
SafeBoot-SolutoService
MSConfigStartUp-Google Update - c:\users\me\AppData\Local\Google\Update\GoogleUpdate.exe
AddRemove-Complitly_is1 - c:\program files\Complitly\unins000.exe
AddRemove-NSS - c:\program files\Norton Security Scan\Engine\3.7.2.5\InstWrap.exe
AddRemove-SmEdit - c:\program files\Common Files\InstallerA\Setup.exe \SMED
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NSL]
"ImagePath"="\"c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\ccSvcHst.exe\" /s \"NSL\" /m \"c:\program files\Norton Safe Web Lite\Engine\2.0.0.16\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(8848)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
c:\windows\Microsoft.NET\Framework\v2.0.50727\WMINet_Utils.dll
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\windows\system32\DllHost.exe
c:\program files\Sony\VAIO Event Service\VESMgrSub.exe
c:\program files\Sony\VAIO Smart Network\VSNClient.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\conhost.exe
c:\program files\SoftwareTime\ComputerTime\bin\stka32.exe
c:\windows\System32\WUDFHost.exe
c:\program files\PowerPlanAssistant\PowerPlanAssistant.exe
c:\program files\Actual Window Manager\ActualWindowManagerShellCenter.exe
c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe
c:\windows\system32\sppsvc.exe
c:\program files\Sony\VAIO Power Management\SPMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-29 20:18:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-03-29 19:18
.
Vor Suchlauf: 12 Verzeichnis(se), 154.572.853.248 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 157.239.234.560 Bytes frei
.
- - End Of File - - 620675D8A4C205BB5313071B32E78EC1
|
|
30.03.2013, 17:06
| #6 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Meine Güte, da ist ja ein Durcheinander drauf. Zur Sicherheit möchte ich gerne noch dies hier sehen: Scan mit MBAR Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ --> Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) |
|
30.03.2013, 18:31
| #7 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) hallo, malwarebytes anti-rootkit beta hat nichts weiteres gefunden. dennoch untenstehend der log. danke dir, dass du trotz meiner fehler weiterhilfst. ps. der von dir verlinkte file bei filepony ist übrigens veraltet. darauf wurde ich beim start des programms hingewiesen. ich habe die betaversion .1022 wie vom programm aufgefordert bei Malwarebytes hxxp://www.malwarebytes.org/products/mbar/ direkt heruntergeladen (und die datenbanken danach geupdatet). Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1022
www.malwarebytes.org
Database version: v2013.03.30.05
Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
me :: X11 [administrator]
30.03.2013 18:25:09
mbar-log-2013-03-30 (18-25-09).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 29988
Time elapsed: 24 minute(s), 23 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
(end)
|
|
30.03.2013, 21:05
| #8 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) So auf den ersten Blick sieht man erstmal nichts mehr. Bevor es weiter geht: Besteht das Problem noch?
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
30.03.2013, 21:35
| #9 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo, rein von den Symptomen ist nichts mehr vorhanden, wie gesagt: Kein Sperrbildschirm, Windows Sicherheitscenter funktioniert wieder. |
|
30.03.2013, 21:36
| #10 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Gut, noch 2 Checks: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 2: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
01.04.2013, 10:35
| #11 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
01.04.2013, 13:34
| #12 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo, ging nicht schneller, und ESET dauerte lange. Ich glaube, die weiteren "Funde" sind nicht so problematisch (Kaspersky hatte ja nichts weiteres gefunden): Unfrisiert: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=6f563372c2b1514cb8a1ef4a6c5b1e54
# engine=13523
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-01 10:04:55
# local_time=2013-04-01 12:04:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1286 16777213 100 99 221037 19577017 0 0
# compatibility_mode=5893 16776574 100 94 23025233 116441886 0 0
# scanned=464798
# found=38
# cleaned=0
# scan_time=27225
sh=58B1E9DA121DF10DC80C08BC8B9EC56DA73E513C ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0066e1"
sh=47437BDDD40325AE633A03C025485F0B9F44D929 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a0d"
sh=2EF11FB965C16A1AE8948D832BFC337C48672351 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a1c"
sh=077C7F02E9096967AE5CB0C8BFEAC35191A25C1F ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a1e"
sh=713B639B847FA5220EF3CA7D49AF6AF7DF0B21F3 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a20"
sh=DE16A2292FA06312C0C58E06B4D4DC0EAB3CCCAF ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a32"
sh=C8EA3EA5428FE6D14A7C6987DBC8BE3A70CDFFFB ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002a22"
sh=390DD531F1F874D100166FF9CDECD73B6EC806FE ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002a34"
sh=FA6F622845D893ABFD5F907ED675F7CDCF71B0CA ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d7e"
sh=EFD9B6BB0E8D80246A32A4647F363A265300121D ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d7f"
sh=AFA7ABD6DAA7D3D3B1F10615727067619C0AAF43 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d80"
sh=944D575667E253910C97BAC13705B585587A4BA4 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d81"
sh=E3A180C3D8FB7EC2BD5FBE183C0D31FDC0E83A66 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d82"
sh=5920210734E4F6EBC962D51C65827FD83DA4CA31 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d83"
sh=63E9A4A68D5B07CC702C4A3701B9E5C4C39F4BA5 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d84"
sh=4C6F4550AFEC468C8B9C84C48449EA28980B4E04 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d85"
sh=5EC714A5AC0D116AB80FFEE362C16D9141517CD6 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d86"
sh=4B028205B22A86D5A6F7282E1810F5CB79DC62FA ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\me\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\53a6b886-7ef16010"
sh=58B1E9DA121DF10DC80C08BC8B9EC56DA73E513C ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0066e1"
sh=47437BDDD40325AE633A03C025485F0B9F44D929 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a0d"
sh=2EF11FB965C16A1AE8948D832BFC337C48672351 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a1c"
sh=077C7F02E9096967AE5CB0C8BFEAC35191A25C1F ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a1e"
sh=713B639B847FA5220EF3CA7D49AF6AF7DF0B21F3 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a20"
sh=DE16A2292FA06312C0C58E06B4D4DC0EAB3CCCAF ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\Google\Chrome\User Data\Default\Cache\f_006a32"
sh=C8EA3EA5428FE6D14A7C6987DBC8BE3A70CDFFFB ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002a22"
sh=390DD531F1F874D100166FF9CDECD73B6EC806FE ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002a34"
sh=FA6F622845D893ABFD5F907ED675F7CDCF71B0CA ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d7e"
sh=EFD9B6BB0E8D80246A32A4647F363A265300121D ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d7f"
sh=AFA7ABD6DAA7D3D3B1F10615727067619C0AAF43 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d80"
sh=944D575667E253910C97BAC13705B585587A4BA4 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d81"
sh=E3A180C3D8FB7EC2BD5FBE183C0D31FDC0E83A66 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d82"
sh=5920210734E4F6EBC962D51C65827FD83DA4CA31 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d83"
sh=63E9A4A68D5B07CC702C4A3701B9E5C4C39F4BA5 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d84"
sh=4C6F4550AFEC468C8B9C84C48449EA28980B4E04 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d85"
sh=5EC714A5AC0D116AB80FFEE362C16D9141517CD6 ft=0 fh=0000000000000000 vn="HTML/ScrInject.B.Gen virus" ac=I fn="C:\Users\me\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Cache\f_002d86"
sh=4B028205B22A86D5A6F7282E1810F5CB79DC62FA ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\me\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\53a6b886-7ef16010"
sh=8C5DC5BBADDAA1D28BE0956D298DBB08160022AE ft=1 fh=af0d4376285774ca vn="Win32/Adware.RegGenie application" ac=I fn="C:\_me\Downloads\d software\RegGenieSetup.exe"
Code:
ATTFilter Results of screen317's Security Check version 0.99.59 Windows 7 x86 (UAC is enabled) Out of date service pack!! Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Kaspersky Internet Security Antivirus out of date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware version 1.70.0.1100 CCleaner Java 7 Update 17 Java version out of Date! Adobe Flash Player 11.6.602.180 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 5.0 Firefox out of Date! Mozilla Thunderbird (17.0.) Google Chrome 22.0.1229.94 Google Chrome 24.0.1312.52 ````````Process Check: objlist.exe by Laurent```````` Norton ccSvcHst.exe Kaspersky Lab Kaspersky Internet Security 2013 avp.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` - Win 7 SP1 ist absichtlich nicht installiert (macht Probleme). Meines Wissens nicht sicherheitsrelevant, da alle Sicherheitsupdates dann dennoch einzeln eingespielt werden. - Java habe ich in der Java-Konfigruation in der Systemsteuerung für alle Browser komplett deaktivert. - Java 7 Update 17 sei laut Sec.Check angeblich out of Date -> Updatecheck in "Sys.Steuerung->Java" erbringt aber, es sei auf dem neuesten Stand: 1.7.0_17-b02. Merkwürdig. - Adobe Reader ist 9.5.4 und 100% aktuell: Auch hier stimmt die Meldung nicht. (Hat das einen Grund?) - (Für stets aktuelle Installationen von FF und Chrome sorge ich und deinstalliere alte Parallelinstallationen. Nutze Opera, teste derzeit außerdem Sandboxie.) Hinweis zu Combofix: Combofix hatte pcrelib.dll gelöscht (verschoben). Die Datei ist 0/46 virenfrei bei Virustotal und mein Parental Control Program hat gemeckert, weil sie fehlte. Ich habe sie daher wieder in system32 verschoben. -> Funktioniert wieder. Wie immer danke für die Hilfe.  |
|
01.04.2013, 16:14
| #13 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Lösche bitte den Cache deiner Internetbrowser. und diese Datei: C:\_me\Downloads\d software\RegGenieSetup.exe SCheck wird eben nicht so gepflegt wie wir das wollen. Der Support für Win7 ohne SP läuft ab. Daher empfehle ich das Update dringend. Prima!  Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
01.04.2013, 20:07
| #14 |
| | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) Hallo und erneut danke! Ich würde gern noch drei Fragen stellen: 1. Combofix hatte ich ja in c:\ statt auf dem desktop gestartet. welche uninstall-variante soll ich wählen und ist etwas zu beachten? 2. Hattest du die OTL/OTLExtras- und GMER-Logs durchgesehen und waren sie ok, sodass da nichts mehr gemacht werden muss? Oder soll ich alle drei Scans nochmal laufen lassen, weil ich reinkommentiert hatte? (Hoffe, du drückst ein Auge zu, war ja jetzt folgsam.  )3. Die gefundenen Viren hatte ich bei Virus Total hochgeladen, um mehr über sie zu erfahren mittels der Namen, die andere AVs ihnen geben. Welche Quellen empfiehlst du/Trojaner Board, um mehr über bestimmte Viren herauszufinden? Übrigens meckert Secure Banking und behauptet, es habe Malware gefunden (beim Start von IE): HttpQueryInfoA: JMP 0x05493600 . Es handelt sich aber m.E. um das legitime eCard-Plugin von Signcubes AG zum Auslesen von Personalausweis-Lesegeräten (Reiner). Ich habe es dennoch deaktiviert. Schon komisch, dass das nicht als verifiziert erscheint in IE. Ich bin mir aber ziemlich sicher, dass das "normal" (!) ist. Was will man schon vom elektronischen Ausweis erwarten - nicht zu gebrauchen. Gruß und nochmal danke. |
|
01.04.2013, 20:15
| #15 |
| /// TB-Ausbilder | Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) 1. In uninstall umbenennen 2. Brauchen wir nicht mehr. 3. Die Webseiten der Virenhersteller. Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu Windows Sicherheitscenter lässt sich nicht starten / GVU-Trojaner (unter anderem (?) ) |
| adblock, adobe, avg secure search, bho, bingbar, bonjour, browser, canon, cid, computer, cpu, defender, desktop, ebanking, ebay.de, fehlalarm, firefox, flash player, gvu-trojaner, helper, home, internet, internet security 2013, kaspersky, kaspersky internet security 2013, maximal, mmc.exe, ntdll.dll, plug-in, reaktivieren, registry, rückgängig, schadsoftware eingefangen, secure search, security, sicherheitscenter deaktiviert, starten, symantec, taskhost.exe, tcp, udp, verwaltungsinstrumentation, virus, windows |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
