| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-SeiteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.03.2013, 22:34
| #1 |
| |  Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Hallo zusammen, ich brauche Eure Hilfe. Hab mir am 30.03.2013 gegen 10:00 einen Trojaner eingefangen. Ich denke es handelt sich um einen Ransomware-Trojaner. Ich wurde immer wieder auf eine behördenähnliche Web-Seite gelinkt und der Rechner war dann blockiert. "Ihr Internet Service Provider blockiert - Die Funktion Ihres Computers wurde aus Gründen unbefugter Netzaktivitäten ausgesetzt." Das Booten im abgesicherten Modus war immer möglich. Der Echtzeit-Scanner von Avira war ausgeschaltet und es war auch nicht mehr möglich ihn zu aktivieren. Dann bin ich auf SpyHunter4 hereingefallen; hab sogar noch die Vollversion gekauft (ich Depp). Inzwischen ist mir klar, dass das grosser Blödsinn war. Sagt nichts: Lehrgeld gezahlt. Der SpyHunter hat mir neben zahllosen anderen Infektionen vor allem folgenden Trojaner angezeigt: Ransomware.Ukash Virus / FBI Moneypak. Dann habe ich Avira DE-Cleaner laufen lassen. Dazu gibt es ein Log-File (0). Aber gebracht hat das nichts. Dann bin ich auf das Trojaner Board gestossen und habe mich bei Euch angemeldet. Ich bin nach Eurer Checkliste vorgegangen und habe alles protokolliert. 1) Vollständiger Scann mit Malwarebytes Anti-Malware. Hier wurden zwei Trojaner-Files erkannt. Die Funde wurden gelöscht - Scan-Bericht liegt vor. An dieser Stelle war die Welt eigentlich schon wieder in Ordnung. Der Rechner lief wieder normal hoch. Keine behördenähnliche Web-Seite mehr. Der Echtzeit-Scanner konnte auch wieder aktiviert werden. Ich habe Eure Warnung verstanden, dass das nicht unbedingt bedeutet, dass der Rechner sauber ist. Daher habe ich mir Eurer Liste weitergemacht. 2) Defogger laufen lassen; Log-File liegt vor. 3) OTL-Scann; bei beiden Log-Dateien liegen vor. 4) Gmer laufen lassen; Log-File liegt vor. Jetzt habe ich an Euch die Bitte, dass Ihr Euch die Files mal anschaut, um zu beurteilen, ob mein Rechner jetzt nachhaltig sauber ist. Vielen Dank schon mal im Voraus für Eure Bemühungen. zu 0) Log von Avira DE-Cleaner Avira DE-Cleaner Erstellungsdatum der Reportdatei: Samstag, 30. März 2013 18:58 Es wird nach 3841495 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : DE-Cleaner Kit Seriennummer : 2223078146-DECLE-0000001 Plattform : Windows 7 x64 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Abgesicherter Modus mit Netzwerk Support Benutzername : User Computername : CERBERUS Versionsinformationen: BUILD.DAT : 10.0.0.41 12093 Bytes 04.10.2012 10:12:00 AVSCAN.EXE : 10.0.4.6 514216 Bytes 30.03.2013 17:58:10 AVSCAN.DLL : 10.0.4.0 56168 Bytes 30.03.2013 17:58:10 LUKE.DLL : 10.0.4.1 104296 Bytes 30.03.2013 17:58:12 LUKERES.DLL : Keine Information! VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 17:58:16 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 17:58:16 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 17:58:16 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 17:58:16 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 17:58:16 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 17:58:16 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 17:58:16 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 17:58:16 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 17:58:17 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 17:58:17 VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 17:58:17 VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 17:58:17 VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 17:58:17 VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 17:58:17 VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 17:58:17 VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 17:58:17 VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 17:58:17 VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 17:58:17 VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 17:58:17 VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 17:58:17 VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 17:58:17 VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 17:58:17 VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 17:58:17 VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 17:58:17 VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 17:58:18 VBASE031.VDF : 7.11.35.74 98816 Bytes 05.07.2012 17:58:18 Engineversion : 8.2.10.104 AEVDF.DLL : 8.1.2.8 106867 Bytes 30.03.2013 17:58:22 AESCRIPT.DLL : 8.1.4.32 455034 Bytes 30.03.2013 17:58:22 AESCN.DLL : 8.1.8.2 131444 Bytes 30.03.2013 17:58:22 AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06 AERDL.DLL : 8.1.9.15 639348 Bytes 30.03.2013 17:58:22 AEPACK.DLL : 8.2.16.22 807288 Bytes 30.03.2013 17:58:21 AEOFFICE.DLL : 8.1.2.40 201082 Bytes 30.03.2013 17:58:21 AEHEUR.DLL : 8.1.4.64 5009782 Bytes 30.03.2013 17:58:21 AEHELP.DLL : 8.1.23.2 258422 Bytes 30.03.2013 17:58:19 AEGEN.DLL : 8.1.5.30 422261 Bytes 30.03.2013 17:58:18 AEEXP.DLL : 8.1.0.60 86388 Bytes 30.03.2013 17:58:22 AEEMU.DLL : 8.1.3.0 393589 Bytes 30.03.2013 17:58:18 AECORE.DLL : 8.1.25.10 201080 Bytes 30.03.2013 17:58:18 AEBB.DLL : 8.1.1.0 53618 Bytes 30.03.2013 17:58:18 AVWINLL.DLL : 10.0.0.0 19304 Bytes 30.03.2013 17:58:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 30.03.2013 17:58:09 AVREP.DLL : 10.0.0.8 63848 Bytes 30.03.2013 17:58:09 AVREG.DLL : 10.0.3.2 53096 Bytes 30.03.2013 17:58:09 AVSCPLR.DLL : 10.0.4.1 84840 Bytes 30.03.2013 17:58:10 AVARKT.DLL : Keine Information! SQLITE3.DLL : 3.6.19.0 355688 Bytes 30.03.2013 17:58:16 AVSMTP.DLL : Keine Information! NETNT.DLL : Keine Information! RCIMAGE.DLL : 11.0.8.0 96616 Bytes 30.03.2013 17:58:15 RCTEXT.DLL : 11.0.7.0 403304 Bytes 30.03.2013 17:58:15 Konfiguration für den aktuellen Suchlauf: Job Name..............................: unknown Konfigurationsdatei...................: C:\Users\User\AppData\Local\Temp\decleaner\decleaner\setup\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: löschen Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Samstag, 30. März 2013 18:58 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'deCleaner.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebloader.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '119' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '94' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '215' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\Users\User\Documents\Daten-Archiv\Firmen\Mails_Firma\2001.pst [0] Archivtyp: MS Outlook Mailbox [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Drunken --> Höchste Ebene des Persönlichen Ordners\Manfred Ordner\Infineon Privat\[Subject:haha][From:Poehle Cornelia (CFE TC P)]2960\bier.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Drunken [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\Users\User\Documents\Diverse\Gags\Sonstiges\Hitze.zip [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Melter --> Hitze .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Melter C:\Users\User\Documents\Diverse\Outlook\archiv.pst [0] Archivtyp: MS Outlook Mailbox [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Moorhühner][From:Manfred Schreiner]175\moorhuhnjagd.exe [1] Archivtyp: ZIP SFX (self extracting) --> Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: 296826/35][From:Manfred Schreiner]5847\Original_Invoice.rar [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> O_Mahnung_Sign17174724535187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2 --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: Aktenzeichen: 418591/41][From:Manfred Schreiner]5876\Rechnung.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Rechnung_Sign177138535545553187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\Users\User\Documents\Outlook\Mails.pst [0] Archivtyp: MS Outlook Mailbox [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Herbert\[Subject:Kleine Ablenkung....][From:Herbert.Jell@RSD.rsd.de]7314\moorhuhnjagd.exe [1] Archivtyp: ZIP SFX (self extracting) --> Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Thomas G.\[Subject:WG: Da macht für einige das mausen gleich mehr spass.....][From:Goy Thomas]14469\NaoSejaCurioso.zip [1] Archivtyp: ZIP --> NaoSejaCurioso.com [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/EnterTheMouse --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Thomas G.\[Subject:WG: Hitze..][From:Goy Thomas]15624\Hitze.zip [1] Archivtyp: ZIP --> Hitze .exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Melter --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Thomas G.\[Subject:WG: Stellplatz][From:Goy Thomas]15700\Stellpla.ZIP [1] Archivtyp: ZIP --> Stellplatz fr Bier.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Bierhalter --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Thomas G.\[Subject  as ultimative Entspannungswerkzeug!][From:Goy Thomas]16203\stressreducers.exe[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer --> Oberste Ebene des Persönlichen Ordners\01-Freunde\Thomas G.\[Subject:Lohnerhöhung:][From:Goy Thomas]16221\gehalt.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Gehalt --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Moorhühner][From:Manfred Schreiner]28726\moorhuhnjagd.exe [1] Archivtyp: ZIP SFX (self extracting) --> Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: 296826/35][From:Manfred Schreiner]34398\Original_Invoice.rar [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> O_Mahnung_Sign17174724535187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2 --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: Aktenzeichen: 418591/41][From:Manfred Schreiner]34427\Rechnung.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Rechnung_Sign177138535545553187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\Users\User\Documents\Outlook\Send.pst [0] Archivtyp: MS Outlook Mailbox [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Moorhühner][From:Manfred Schreiner]159\moorhuhnjagd.exe [1] Archivtyp: ZIP SFX (self extracting) --> Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: 296826/35][From:Manfred Schreiner]5831\Original_Invoice.rar [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> O_Mahnung_Sign17174724535187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AT.2 --> Oberste Ebene des Persönlichen Ordners\Gesendete Objekte\[Subject:Fw: Aktenzeichen: 418591/41][From:Manfred Schreiner]5860\Rechnung.zip [FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Worm.Gen) --> Rechnung_Sign177138535545553187871.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht. C:\Users\User\Downloads\Programme\Unterhaltung\moorhuhnjagd.exe [0] Archivtyp: ZIP SFX (self extracting) [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn --> Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn Beginne mit der Desinfektion: Fehler beim Erzeugen des Systemwiederherstellungspunktes: Systemfehler [1084]: Der Dienst kann nicht im abgesicherten Modus gestartet werden. C:\Users\User\Downloads\Programme\Unterhaltung\moorhuhnjagd.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 52c12ec7.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Users\User\Documents\Outlook\Send.pst [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Die Datei wurde ignoriert. C:\Users\User\Documents\Outlook\Mails.pst [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Die Datei wurde ignoriert. C:\Users\User\Documents\Diverse\Outlook\archiv.pst [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.AK [WARNUNG] Die Datei wurde ignoriert. C:\Users\User\Documents\Diverse\Gags\Sonstiges\Hitze.zip [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Melter [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a5b016a.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Users\User\Documents\Daten-Archiv\Firmen\Mails_Firma\2001.pst [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Drunken [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Sonntag, 31. März 2013 01:57 Benötigte Zeit: 4:16:29 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 35812 Verzeichnisse wurden überprüft 2174669 Dateien wurden geprüft 12 Viren bzw. unerwünschte Programme wurden gefunden 12 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2174645 Dateien ohne Befall 5046 Archive wurden durchsucht 4 Warnungen zu 1) Log von Malwarebytes Anti-Malware: Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.31.01 Windows 7 Service Pack 1 x64 FAT (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 User :: CERBERUS [Administrator] Schutz: Deaktiviert 31.03.2013 12:36:43 MBAM-log-2013-03-31 (16-33-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 1564648 Laufzeit: 3 Stunde(n), 27 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Sysyem Cleaner (Trojan.Ransom) -> Daten: C:\Users\User\AppData\Local\Temp\~tmp7520424001367037926.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\User\AppData\Local\Temp\~tmp7520424001367037926.exe (Trojan.Ransom) -> Keine Aktion durchgeführt. (Ende) zu 2) Log von Defogger: defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:42 on 31/03/2013 (User) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. HKCU AEMON Tools Lite -> RemovedChecking for services/drivers... -=E.O.F=- zu 3) Log on OTLOTL Logfile: Code:
ATTFilter OTL logfile created on: 31.03.2013 16:43:16 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = J:\Antivierensoftware 64bit- Home Basic Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 8,00 Gb Total Physical Memory | 6,10 Gb Available Physical Memory | 76,26% Memory free 16,00 Gb Paging File | 13,94 Gb Available in Paging File | 87,14% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 931,41 Gb Total Space | 568,90 Gb Free Space | 61,08% Space Free | Partition Type: NTFS Drive J: | 994,72 Mb Total Space | 988,81 Mb Free Space | 99,41% Space Free | Partition Type: FAT Drive S: | 30,56 Gb Total Space | 17,83 Gb Free Space | 58,35% Space Free | Partition Type: NTFS Drive T: | 30,56 Gb Total Space | 17,83 Gb Free Space | 58,35% Space Free | Partition Type: NTFS Computer Name: CERBERUS | User Name: User | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.03.30 14:18:28 | 000,602,112 | ---- | M] (OldTimer Tools) -- J:\Antivierensoftware\OTL.exe PRC - [2013.03.28 00:45:46 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe PRC - [2013.03.28 00:45:35 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe PRC - [2013.03.28 00:45:35 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe PRC - [2013.01.08 10:41:08 | 003,674,320 | ---- | M] (DT Soft Ltd) -- C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe PRC - [2012.12.19 19:51:21 | 000,322,032 | ---- | M] (AVM Berlin) -- C:\Users\User\AppData\Local\Apps\2.0\N3HTJJ9H.KAJ\5OE0K6GR.7T4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe PRC - [2012.12.18 21:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2012.10.05 21:14:30 | 001,421,448 | ---- | M] (1und1 Mail und Media GmbH) -- C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck_Broker.exe PRC - [2012.03.19 21:58:12 | 000,514,128 | ---- | M] (REINER SCT) -- C:\Windows\SysWOW64\cjpcsc.exe PRC - [2011.09.27 13:59:28 | 000,076,288 | ---- | M] (AVM Berlin) -- C:\Program Files (x86)\FRITZ!Box-Kindersicherung\avmident.exe PRC - [2011.09.23 18:37:42 | 000,641,832 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Nero\Update\NASvc.exe PRC - [2010.12.23 11:41:36 | 003,304,768 | ---- | M] (devolo AG) -- C:\Program Files (x86)\devolo\dlan\devolonetsvc.exe PRC - [2010.01.19 11:19:29 | 000,618,496 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe PRC - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe PRC - [2008.04.17 14:14:00 | 000,102,712 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe PRC - [2008.04.17 14:14:00 | 000,098,616 | ---- | M] (ArcSoft Inc.) -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe PRC - [2007.08.23 15:05:00 | 000,045,056 | ---- | M] () -- C:\Program Files (x86)\MagicTune Premium\MagicTuneEngine.exe PRC - [2007.01.30 12:02:00 | 000,303,104 | ---- | M] (FUJIFILM Corporation) -- C:\Program Files (x86)\FinePixViewer\QuickDCF2.exe ========== Modules (No Company Name) ========== MOD - [2013.02.12 20:45:41 | 013,199,360 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\39f4c7717661667c68f9af8c4f6402b9\System.Windows.Forms.ni.dll MOD - [2013.01.10 20:55:08 | 001,801,728 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xaml\866894ebe5258bf9f45d6b063229e990\System.Xaml.ni.dll MOD - [2013.01.10 02:41:21 | 018,002,944 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\14f511c47523f19ca591eb207e9e2084\PresentationFramework.ni.dll MOD - [2013.01.10 02:41:11 | 011,451,904 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationCore\e10fd15441d278c04a03302880a3e231\PresentationCore.ni.dll MOD - [2013.01.10 02:41:03 | 003,858,944 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\WindowsBase\7a9ff5ce3a909d075179a2ac70d8f388\WindowsBase.ni.dll MOD - [2013.01.10 02:41:02 | 005,617,664 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\43cd41484df96d15df949eb17dd88152\System.Xml.ni.dll MOD - [2013.01.10 02:41:02 | 001,667,584 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\b573c6a62bb88df0ee2af59b6a8ca910\System.Drawing.ni.dll MOD - [2013.01.10 02:41:01 | 000,595,968 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\dfeff31ab1e7cd3480c8942290c92f5d\PresentationFramework.Aero.ni.dll MOD - [2013.01.10 02:41:00 | 000,982,528 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\5de5d8c1c02e33789e3cf7e3f54c0ec9\System.Configuration.ni.dll MOD - [2013.01.10 02:40:59 | 009,094,656 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\System\15872842e3e63ddf0f720f406706198e\System.ni.dll MOD - [2013.01.10 02:40:55 | 014,412,800 | ---- | M] () -- C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\3f95a6d480ed1ebe45cf27b770ba94ed\mscorlib.ni.dll MOD - [2011.06.24 22:56:36 | 000,087,328 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll MOD - [2011.06.24 22:56:14 | 001,241,888 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll MOD - [2010.01.19 11:19:29 | 000,618,496 | ---- | M] () -- C:\Windows\Samsung\PanelMgr\SSMMgr.exe MOD - [2007.02.16 20:01:00 | 000,081,920 | ---- | M] () -- C:\Program Files (x86)\FinePixViewer\wia_register_event.dll ========== Services (SafeList) ========== SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\REINER SCT\mateSuite\mscs.exe -- (mscs) SRV:64bit: - [2011.12.02 05:12:11 | 000,165,456 | ---- | M] (Samsung Electronics) [On_Demand | Stopped] -- C:\Windows\SysNative\SUPDSvc2.exe -- (Samsung UPD Service2) SRV:64bit: - [2011.01.13 04:56:56 | 000,203,776 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) SRV:64bit: - [2011.01.12 22:03:12 | 000,354,304 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service) SRV - [2013.03.28 00:45:46 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2013.03.28 00:45:35 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2013.03.14 21:45:29 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.12.18 21:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.03.19 21:58:12 | 000,514,128 | ---- | M] (REINER SCT) [Auto | Running] -- C:\Windows\SysWOW64\cjpcsc.exe -- (cjpcsc) SRV - [2011.09.27 13:59:28 | 000,076,288 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Program Files (x86)\FRITZ!Box-Kindersicherung\avmident.exe -- (avmident) SRV - [2011.09.23 18:37:42 | 000,641,832 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate) SRV - [2011.07.01 14:06:50 | 000,301,720 | ---- | M] () [Auto | Running] -- C:\Programme\Macrium\Reflect\ReflectService.exe -- (ReflectService) SRV - [2010.12.23 11:41:36 | 003,304,768 | ---- | M] (devolo AG) [Auto | Running] -- C:\Program Files (x86)\devolo\dlan\devolonetsvc.exe -- (DevoloNetworkService) SRV - [2010.06.17 05:23:36 | 000,194,496 | ---- | M] (Advanced Micro Devices) [Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe -- (AMD Reservation Manager) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe -- (Fabs) SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - [2008.04.17 14:14:00 | 000,102,712 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) SRV - [2007.08.23 15:05:00 | 000,045,056 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\MagicTune Premium\MagicTuneEngine.exe -- (MagicTuneEngine) ========== Driver Services (SafeList) ========== DRV:64bit: - [2013.03.28 00:45:49 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb) DRV:64bit: - [2013.03.28 00:45:49 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt) DRV:64bit: - [2013.03.28 00:45:49 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr) DRV:64bit: - [2013.01.14 19:55:54 | 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01) DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector) DRV:64bit: - [2012.12.13 14:50:36 | 000,054,784 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64) DRV:64bit: - [2012.08.21 13:01:20 | 000,033,240 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec) DRV:64bit: - [2011.11.20 22:59:44 | 000,116,096 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\avmaudio.sys -- (avmaudio) DRV:64bit: - [2011.07.13 13:59:54 | 000,072,240 | ---- | M] (Nero AG) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\NBVol.sys -- (NBVol) DRV:64bit: - [2011.07.13 13:59:54 | 000,015,920 | ---- | M] (Nero AG) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\NBVolUp.sys -- (NBVolUp) DRV:64bit: - [2011.07.01 14:07:19 | 000,013,464 | ---- | M] (Paramount Software UK Ltd) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\PSVolAcc.sys -- (PSVolAcc) DRV:64bit: - [2011.07.01 14:06:59 | 000,040,600 | ---- | M] (Macrium Software) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\psmounter.sys -- (PSMounter) DRV:64bit: - [2011.05.10 08:06:14 | 000,022,528 | ---- | M] (Apple Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\netaapl64.sys -- (Netaapl) DRV:64bit: - [2011.04.07 09:35:10 | 000,828,152 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\SmiUsbGrabber3C.sys -- (SMIGrabber3C) DRV:64bit: - [2011.03.29 12:50:26 | 000,034,672 | ---- | M] (REINER SCT) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\cjusb.sys -- (cjusb) DRV:64bit: - [2011.02.17 01:53:00 | 000,014,464 | ---- | M] (Western Digital Technologies) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\wdcsam64.sys -- (WDC_SAM) DRV:64bit: - [2011.01.19 11:06:31 | 000,412,776 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) DRV:64bit: - [2011.01.13 05:39:32 | 009,085,952 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag) DRV:64bit: - [2011.01.13 04:15:22 | 000,299,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap) DRV:64bit: - [2011.01.08 01:22:22 | 000,031,232 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\tap0901.sys -- (tap0901) DRV:64bit: - [2010.12.08 18:17:40 | 000,369,640 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmtxhci.sys -- (asmtxhci) DRV:64bit: - [2010.12.08 18:17:38 | 000,122,856 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\asmthub3.sys -- (asmthub3) DRV:64bit: - [2010.11.23 18:33:00 | 000,300,648 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\RtHDMIVX.sys -- (RTHDMIAzAudService) DRV:64bit: - [2010.11.21 05:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2010.11.21 05:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD) DRV:64bit: - [2010.11.21 05:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD) DRV:64bit: - [2010.05.27 08:40:22 | 001,550,848 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\athrx.sys -- (athr) DRV:64bit: - [2010.05.17 17:11:20 | 000,015,408 | ---- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\BS_I2c64.sys -- (BS_I2cIo) DRV:64bit: - [2010.03.09 08:54:54 | 000,028,728 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata) DRV:64bit: - [2010.03.09 08:54:53 | 000,070,200 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata) DRV:64bit: - [2010.03.09 08:54:37 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie) DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64) DRV:64bit: - [2009.12.22 02:26:36 | 000,038,456 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\usbfilter.sys -- (usbfilter) DRV:64bit: - [2009.08.10 13:07:40 | 000,119,680 | ---- | M] (Gemalto) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\GemCCID.sys -- (GemCCID) DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs) DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2) DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor) DRV:64bit: - [2009.07.14 02:39:20 | 000,023,040 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WSDPrint.sys -- (WSDPrintDevice) DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv) DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a) DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir) DRV:64bit: - [2009.06.10 15:10:47 | 000,014,136 | R--- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\BIOS64.sys -- (BIOS) DRV - [2010.06.10 12:32:14 | 000,034,048 | ---- | M] (CACE Technologies) [Kernel | Auto | Running] -- C:\Windows\SysWOW64\drivers\npf_devolo.sys -- (NPF_devolo) DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount) DRV - [2009.06.10 15:10:47 | 000,014,136 | R--- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\Windows\SysWOW64\drivers\BIOS64.sys -- (BIOS) DRV - [2009.04.24 04:02:20 | 000,011,576 | ---- | M] (Samsung Electronics) [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\SSPORT.SYS -- (SSPORT) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=82dbf365000000000000003067c26cbf IE - HKCU\..\SearchScopes\{8431F04B-ACB2-4A12-B83F-2CC5506E6652}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie IE - HKCU\..\SearchScopes\{92BEB58A-505F-477A-A6AE-A9BCB7F96E4C}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms} IE - HKCU\..\SearchScopes\{C6F12CD1-DD4E-4E31-A44C-340E4C3F1372}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms} IE - HKCU\..\SearchScopes\{D9C1DC17-07A3-41D7-A1F6-D4D0FE31C18D}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_6_602_180.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@Nero.com/KM: C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O2:64bit: - BHO: (GMX MailCheck BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2:64bit: - BHO: ([verify-U]_Add-on) - {F4552A56-119C-478E-AB3F-2C850F78B72E} - C:\Programme\[verify-U]_AVS_IE_Add-on\[verify-U]_AVS.dll (Cybits AG) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Samsung BHO Class) - {AA609D72-8482-4076-8991-8CDAE5B93BCB} - C:\Program Files (x86)\Samsung AnyWeb Print\W2PBrowser.dll () O2 - BHO: (GMX MailCheck BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O2 - BHO: (AusweisApp 1.7.0.0) - {C9EE92B7-EDD5-4ad9-8029-2EC6818E653A} - C:\Program Files (x86)\AusweisApp\siqeCardClient.ols (OpenLimit SignCubes AG) O2 - BHO: ([verify-U]_Add-on) - {F4552A56-119C-478E-AB3F-2C850F78B72E} - C:\Program Files (x86)\[verify-U]_AVS_IE_Add-on\[verify-U]_AVS.dll (Cybits AG) O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3:64bit: - HKLM\..\Toolbar: (GMX MailCheck) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM\..\Toolbar: (GMX MailCheck) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3:64bit: - HKCU\..\Toolbar\WebBrowser: (GMX MailCheck) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O3 - HKCU\..\Toolbar\WebBrowser: (GMX MailCheck) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BiosNotice] C:\Program Files (x86)\BIOSTAR\BiosNotice\BiosNotice.exe () O4 - HKLM..\Run: [MailCheck IE Broker] C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck_Broker.exe (1und1 Mail und Media GmbH) O4 - HKLM..\Run: [NBAgent] C:\Program Files (x86)\Nero\Nero 11\Nero BackItUp\NBAgent.exe (Nero AG) O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe () O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [TrayServer] C:\Program Files (x86)\MAGIX\Filme_auf_DVD_8_TerraTec_Edition\TrayServer.exe (MAGIX AG) O4 - HKCU..\Run: [AVMUSBFernanschluss] C:\Users\User\AppData\Local\Apps\2.0\N3HTJJ9H.KAJ\5OE0K6GR.7T4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\AVMAutoStart.exe (AVM Berlin) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8:64bit: - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found O9 - Extra Button: Samsung AnyWeb Print - {328ECD19-C167-40eb-A0C7-16FE7634105E} - C:\Program Files (x86)\Samsung AnyWeb Print\W2PBrowser.dll () O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O15 - HKCU\..Trusted Domains: apemap.com ([]http in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: ing-diba.de ([banking] https in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: samsungsetup.com ([www] http in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: sipgate.de ([www] http in Vertrauenswürdige Sites) O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 10.2.0) O16:64bit: - DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 1.7.0_02) O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 1.7.0_02) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {28B66320-9687-4B13-8757-36F901887AB5} hxxp://photoservice.fujicolor.eu/ips-opdata/layout/aspadmin/objects/canvasx.cab (CanvasX Class) O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} hxxp://fotoservice.mediamarkt.de/ips-opdata/objects/jordan.cab (JordanUploader Class) O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} https://www.linkedin.com/cab/LinkedInContactFinderControl.cab (LinkedIn ContactFinderControl) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BA10F8F5-CA54-4547-B48F-5920ABB0476E}: DhcpNameServer = 193.189.244.225 193.189.244.206 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CC80DBF4-B41F-4CF6-BD76-8831CA70B4D7}: DhcpNameServer = 192.168.178.1 O18:64bit: - Protocol\Handler\gmx {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O18:64bit: - Protocol\Handler\ipp - No CLSID value found O18:64bit: - Protocol\Handler\ipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18 - Protocol\Handler\gmx {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck.dll (1und1 Mail und Media GmbH) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{f999807a-6c4f-11f0-b06d-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{f999807a-6c4f-11f0-b06d-806e6f6e6963}\Shell\AutoRun\command - "" = D:\setup.exe O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2025.07.29 12:52:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Adobe [2025.07.29 12:16:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Futuremark Shared [2025.07.29 10:59:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Futuremark [2025.07.29 10:59:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Futuremark [2025.07.29 10:57:43 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Adobe [2025.07.29 10:57:43 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Adobe [2025.07.29 10:53:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Adobe [2025.07.29 10:44:46 | 000,000,000 | ---D | C] -- C:\Windows\Panther [2025.07.29 10:24:05 | 001,550,848 | ---- | C] (Atheros Communications, Inc.) -- C:\Windows\SysNative\drivers\athrx.sys [2025.07.29 10:24:05 | 001,550,848 | ---- | C] (Atheros Communications, Inc.) -- C:\Windows\SysNative\athrx.sys [2025.07.29 10:24:05 | 000,000,000 | ---D | C] -- C:\Windows\Options [2025.07.29 10:23:52 | 000,000,000 | ---D | C] -- C:\ProgramData\TP-LINK [2025.07.29 10:18:27 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\ATI [2025.07.29 10:18:27 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\ATI [2025.07.29 10:15:45 | 000,000,000 | ---D | C] -- C:\Program Files\DIFX [2025.07.29 10:15:44 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\DRVSTORE [2025.07.29 10:15:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AMD [2025.07.29 10:14:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ATI Technologies [2025.07.29 10:13:51 | 000,000,000 | ---D | C] -- C:\Program Files\ATI Technologies [2025.07.29 10:13:50 | 000,000,000 | ---D | C] -- C:\Program Files\ATI [2025.07.29 10:13:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asmedia Technology [2025.07.29 10:13:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ASM104xUSB3 [2025.07.29 10:12:59 | 000,000,000 | -HSD | C] -- C:\Windows\Installer [2025.07.29 10:07:10 | 000,412,776 | ---- | C] (Realtek ) -- C:\Windows\SysNative\drivers\Rt64win7.sys [2025.07.29 10:04:09 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\RTCOM [2025.07.29 10:04:05 | 002,601,816 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\WavesGUILib.dll [2025.07.29 10:04:05 | 000,155,888 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSWOW64.dll [2025.07.29 10:04:04 | 002,197,264 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioEQ.dll [2025.07.29 10:04:04 | 000,518,896 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSTSX64.dll [2025.07.29 10:04:04 | 000,372,936 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEP64A.dll [2025.07.29 10:04:04 | 000,338,336 | ---- | C] (Fortemedia Corporation) -- C:\Windows\SysNative\FMAPO64.dll [2025.07.29 10:04:04 | 000,318,808 | ---- | C] (Waves Audio Ltd.) -- C:\Windows\SysNative\MaxxAudioAPO20.dll [2025.07.29 10:04:04 | 000,307,920 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RP3DHT64.dll [2025.07.29 10:04:04 | 000,307,920 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RP3DAA64.dll [2025.07.29 10:04:04 | 000,211,184 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSTSH64.dll [2025.07.29 10:04:04 | 000,201,928 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEED64A.dll [2025.07.29 10:04:04 | 000,198,896 | ---- | C] (SRS Labs, Inc.) -- C:\Windows\SysNative\SRSHP64.dll [2025.07.29 10:04:04 | 000,099,016 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEL64A.dll [2025.07.29 10:04:04 | 000,076,488 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEG64A.dll [2025.07.29 10:04:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Realtek [2025.07.29 09:59:43 | 000,000,000 | ---D | C] -- C:\Program Files\Realtek [2025.07.29 09:59:41 | 000,372,056 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEP64H.dll [2025.07.29 09:59:41 | 000,310,104 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RH3DHT64.dll [2025.07.29 09:59:41 | 000,310,104 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RH3DAA64.dll [2025.07.29 09:59:41 | 000,204,120 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEED64H.dll [2025.07.29 09:59:41 | 000,097,624 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEL64H.dll [2025.07.29 09:59:41 | 000,078,680 | ---- | C] (Dolby Laboratories, Inc.) -- C:\Windows\SysNative\RTEEG64H.dll [2025.07.29 09:59:40 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\Temp [2025.07.29 09:59:32 | 000,015,408 | ---- | C] (BIOSTAR Group) -- C:\Windows\SysNative\drivers\BS_I2c64.sys [2025.07.29 09:59:32 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\InstallShield Installation Information [2025.07.29 09:59:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BIOSTAR [2025.07.29 09:59:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\InstallShield [2025.07.29 09:59:19 | 000,014,136 | R--- | C] (BIOSTAR Group) -- C:\Windows\SysWow64\drivers\BIOS64.sys [2025.07.29 09:48:20 | 000,000,000 | R--D | C] -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup [2025.07.29 09:48:20 | 000,000,000 | R--D | C] -- C:\Users\User\Searches [2025.07.29 09:48:20 | 000,000,000 | R--D | C] -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools [2025.07.29 09:48:15 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Identities [2025.07.29 09:48:13 | 000,000,000 | R--D | C] -- C:\Users\User\Contacts [2025.07.29 09:48:12 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\VirtualStore [2025.07.29 09:48:10 | 000,000,000 | --SD | C] -- C:\Users\User\AppData\Roaming\Microsoft [2025.07.29 09:48:10 | 000,000,000 | R--D | C] -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance [2025.07.29 09:48:10 | 000,000,000 | R--D | C] -- C:\Users\User\Desktop [2025.07.29 09:48:10 | 000,000,000 | R--D | C] -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Vorlagen [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\AppData\Local\Verlauf [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\AppData\Local\Temporary Internet Files [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Startmenü [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\SendTo [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Recent [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Netzwerkumgebung [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Lokale Einstellungen [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Documents\Eigene Videos [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Documents\Eigene Musik [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Eigene Dateien [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Documents\Eigene Bilder [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Druckumgebung [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Cookies [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\AppData\Local\Anwendungsdaten [2025.07.29 09:48:10 | 000,000,000 | -HSD | C] -- C:\Users\User\Anwendungsdaten [2025.07.29 09:48:10 | 000,000,000 | -H-D | C] -- C:\Users\User\AppData [2025.07.29 09:48:10 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Temp [2025.07.29 09:48:10 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Microsoft [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Videos [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Saved Games [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Pictures [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Music [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Links [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Favorites [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Downloads [2025.07.29 09:48:09 | 000,000,000 | R--D | C] -- C:\Users\User\Documents [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Recovery [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Programme [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente [2025.07.29 09:48:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten [2025.07.29 09:48:04 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution [2025.07.29 09:45:33 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch [2025.07.29 09:45:22 | 000,000,000 | -HSD | C] -- C:\System Volume Information [2013.03.31 12:34:14 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Malwarebytes [2013.03.31 12:34:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2013.03.31 12:34:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.03.31 12:34:00 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys [2013.03.31 12:34:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware [2013.03.31 12:33:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Programs [2013.03.30 19:43:43 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2013.03.30 16:19:17 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\SpeedMaxPc [2013.03.30 16:19:17 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\DriverCure [2013.03.30 16:19:10 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedMaxPc [2013.03.30 16:19:10 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc [2013.03.30 16:19:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedMaxPc [2013.03.30 16:19:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\SpeedMaxPc [2013.03.30 16:04:44 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2013.03.28 00:46:02 | 000,130,016 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.03.28 00:46:02 | 000,100,712 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.03.28 00:46:02 | 000,028,600 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.03.24 23:50:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Adobe [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2025.07.29 10:31:18 | 000,072,822 | ---- | M] () -- C:\Windows\SysWow64\ieuinit.inf [2025.07.29 10:31:17 | 000,072,822 | ---- | M] () -- C:\Windows\SysNative\ieuinit.inf [2025.07.29 10:18:20 | 000,000,000 | ---- | M] () -- C:\Windows\ativpsrm.bin [2025.07.29 09:59:32 | 000,000,169 | ---- | M] () -- C:\Windows\setup.iss [2025.07.29 09:47:03 | 000,205,096 | ---- | M] () -- C:\Windows\SysWow64\license.rtf [2025.07.29 09:47:03 | 000,205,096 | ---- | M] () -- C:\Windows\SysNative\license.rtf [2025.07.29 09:46:01 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf [2013.03.31 16:45:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2013.03.31 16:44:20 | 000,021,648 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2013.03.31 16:44:20 | 000,021,648 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2013.03.31 16:43:11 | 001,507,342 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2013.03.31 16:43:11 | 000,657,660 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2013.03.31 16:43:11 | 000,618,936 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2013.03.31 16:43:11 | 000,131,032 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2013.03.31 16:43:11 | 000,107,256 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2013.03.31 16:42:20 | 000,000,168 | ---- | M] () -- C:\Users\User\defogger_reenable [2013.03.31 16:37:16 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.03.31 16:36:07 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.03.31 16:35:24 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.03.31 16:35:07 | 2146,930,687 | -HS- | M] () -- C:\hiberfil.sys [2013.03.31 12:34:02 | 000,001,119 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.03.30 19:58:08 | 000,002,029 | ---- | M] () -- C:\Users\User\Desktop\Entfernen des Avira DE-Cleaners.lnk [2013.03.30 19:58:08 | 000,001,958 | ---- | M] () -- C:\Users\User\Desktop\Avira DE-Cleaner.lnk [2013.03.30 16:19:23 | 000,000,414 | ---- | M] () -- C:\Windows\tasks\SpeedMaxPc Registration3.job [2013.03.30 16:19:10 | 000,001,186 | ---- | M] () -- C:\Users\User\Desktop\SpeedMaxPc.lnk [2013.03.30 16:19:10 | 000,000,420 | ---- | M] () -- C:\Windows\tasks\SpeedMaxPc Update3.job [2013.03.30 16:19:10 | 000,000,398 | ---- | M] () -- C:\Windows\tasks\SpeedMaxPc.job [2013.03.28 00:45:49 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys [2013.03.28 00:45:49 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys [2013.03.28 00:45:49 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys [2013.03.24 23:50:56 | 000,002,025 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader XI.lnk [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2025.07.29 10:31:18 | 000,072,822 | ---- | C] () -- C:\Windows\SysWow64\ieuinit.inf [2025.07.29 10:31:17 | 000,072,822 | ---- | C] () -- C:\Windows\SysNative\ieuinit.inf [2025.07.29 10:24:05 | 000,271,996 | ---- | C] () -- C:\Windows\SysNative\netathrx.inf [2025.07.29 10:24:05 | 000,050,983 | ---- | C] () -- C:\Windows\SysNative\athrextx.cat [2025.07.29 10:18:20 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2025.07.29 10:07:10 | 000,074,272 | ---- | C] () -- C:\Windows\SysNative\RtNicProp64.dll [2025.07.29 09:59:32 | 000,000,169 | ---- | C] () -- C:\Windows\setup.iss [2025.07.29 09:48:23 | 000,001,415 | ---- | C] () -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [2025.07.29 09:48:21 | 000,001,449 | ---- | C] () -- C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [2025.07.29 09:46:01 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf [2025.07.29 09:45:23 | 2146,930,687 | -HS- | C] () -- C:\hiberfil.sys [2013.03.31 16:42:20 | 000,000,168 | ---- | C] () -- C:\Users\User\defogger_reenable [2013.03.31 12:34:02 | 000,001,119 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.03.30 19:58:08 | 000,002,029 | ---- | C] () -- C:\Users\User\Desktop\Entfernen des Avira DE-Cleaners.lnk [2013.03.30 19:58:08 | 000,001,958 | ---- | C] () -- C:\Users\User\Desktop\Avira DE-Cleaner.lnk [2013.03.30 16:19:23 | 000,000,414 | ---- | C] () -- C:\Windows\tasks\SpeedMaxPc Registration3.job [2013.03.30 16:19:10 | 000,001,186 | ---- | C] () -- C:\Users\User\Desktop\SpeedMaxPc.lnk [2013.03.30 16:19:10 | 000,000,420 | ---- | C] () -- C:\Windows\tasks\SpeedMaxPc Update3.job [2013.03.30 16:19:10 | 000,000,398 | ---- | C] () -- C:\Windows\tasks\SpeedMaxPc.job [2013.03.24 23:50:56 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk [2013.03.24 23:50:56 | 000,002,025 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader XI.lnk [2012.05.02 22:22:42 | 000,004,096 | -H-- | C] () -- C:\Users\User\AppData\Local\keyfile3.drm [2012.03.18 13:41:30 | 000,000,302 | ---- | C] () -- C:\Windows\{7497BB4F-CE23-47D4-B2CB-62548080F74F}_WiseFW.ini [2012.03.04 15:11:48 | 000,260,688 | ---- | C] () -- C:\Windows\SUPDRun.exe [2012.03.01 01:17:57 | 000,007,631 | ---- | C] () -- C:\Users\User\AppData\Local\Resmon.ResmonCfg [2012.01.20 21:18:49 | 000,167,936 | ---- | C] () -- C:\Windows\SysWow64\SerialXP.dll [2012.01.20 21:18:49 | 000,027,648 | ---- | C] () -- C:\Windows\SysWow64\win32com.dll [2012.01.14 16:32:19 | 000,000,396 | ---- | C] () -- C:\Windows\hbcikrnl.ini [2012.01.12 00:26:31 | 000,001,263 | ---- | C] () -- C:\Windows\isxdlge2.ini [2011.10.28 20:27:41 | 000,120,200 | ---- | C] () -- C:\Windows\SysWow64\DLLDEV32i.dll [2011.10.13 19:46:26 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2011.10.12 21:05:01 | 000,482,408 | ---- | C] () -- C:\Windows\ssndii.exe [2011.10.04 22:06:07 | 000,111,932 | ---- | C] () -- C:\Windows\SysWow64\EPPICPrinterDB.dat [2011.10.04 22:06:07 | 000,031,053 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern131.dat [2011.10.04 22:06:07 | 000,027,417 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern121.dat [2011.10.04 22:06:07 | 000,026,154 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern1.dat [2011.10.04 22:06:07 | 000,024,903 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern3.dat [2011.10.04 22:06:07 | 000,021,390 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern5.dat [2011.10.04 22:06:07 | 000,020,148 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern2.dat [2011.10.04 22:06:07 | 000,011,811 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern4.dat [2011.10.04 22:06:07 | 000,004,943 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern6.dat [2011.10.04 22:06:07 | 000,001,146 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_DU.dat [2011.10.04 22:06:07 | 000,001,139 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_PT.dat [2011.10.04 22:06:07 | 000,001,139 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_BP.dat [2011.10.04 22:06:07 | 000,001,136 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_ES.dat [2011.10.04 22:06:07 | 000,001,129 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_FR.dat [2011.10.04 22:06:07 | 000,001,129 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_CF.dat [2011.10.04 22:06:07 | 000,001,120 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_IT.dat [2011.10.04 22:06:07 | 000,001,107 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_GE.dat [2011.10.04 22:06:07 | 000,001,104 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_EN.dat [2011.10.04 22:06:07 | 000,000,097 | ---- | C] () -- C:\Windows\SysWow64\PICSDK.ini [2011.10.04 22:05:30 | 000,000,025 | ---- | C] () -- C:\Windows\CDE V30V300DEFGIPSRUk.ini [2011.09.28 00:13:03 | 000,000,012 | ---- | C] () -- C:\Windows\KFPPREFS.INI [2011.08.24 23:45:43 | 000,210,944 | ---- | C] () -- C:\Windows\SysWow64\Msvcrt10.dll [2011.08.24 23:32:45 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI [2011.08.24 23:32:44 | 000,001,471 | ---- | C] () -- C:\Windows\ODBCINST.INI [2011.08.18 13:52:00 | 000,003,113 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat ========== ZeroAccess Check ========== [2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 07:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 05:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] ========== LOP Check ========== [2012.01.02 00:38:27 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\.minecraft [2012.10.19 00:50:07 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\1&1 Mail & Media GmbH [2012.01.08 21:06:39 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Amazon [2011.10.22 14:09:06 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Babylon [2011.10.09 15:43:38 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\becker [2011.10.05 20:50:41 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Canneverbe Limited [2012.11.29 00:36:13 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Chipcardmaster [2012.09.19 00:25:42 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\DAEMON Tools Lite [2013.03.30 16:19:17 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\DriverCure [2011.10.06 21:42:55 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\DVDVideoSoft [2012.01.07 19:33:45 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\elsterformular [2011.10.04 22:41:49 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Epson [2011.10.08 21:20:56 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\EurekaLog [2011.11.20 21:23:10 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\FRITZ! [2011.11.20 21:08:52 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\FRITZ!fax für FRITZ!Box [2011.09.14 21:53:06 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\FUJIFILM [2011.09.16 21:46:22 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Haenlein-Software [2011.10.28 20:29:26 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\MAGIX [2011.10.10 22:49:44 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\NetDrive [2013.01.02 00:10:50 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\PhoneClean [2013.03.30 01:58:39 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Public Sync [2012.01.19 23:51:33 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\SmartLine [2011.08.25 00:17:56 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Softland [2011.10.08 21:19:36 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Softplicity [2013.03.30 16:19:17 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\SpeedMaxPc [2011.11.28 21:56:49 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\STRATO ========== Purity Check ========== < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 31.03.2013 16:43:16 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = J:\Antivierensoftware
64bit- Home Basic Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
8,00 Gb Total Physical Memory | 6,10 Gb Available Physical Memory | 76,26% Memory free
16,00 Gb Paging File | 13,94 Gb Available in Paging File | 87,14% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 931,41 Gb Total Space | 568,90 Gb Free Space | 61,08% Space Free | Partition Type: NTFS
Drive J: | 994,72 Mb Total Space | 988,81 Mb Free Space | 99,41% Space Free | Partition Type: FAT
Drive S: | 30,56 Gb Total Space | 17,83 Gb Free Space | 58,35% Space Free | Partition Type: NTFS
Drive T: | 30,56 Gb Total Space | 17,83 Gb Free Space | 58,35% Space Free | Partition Type: NTFS
Computer Name: CERBERUS | User Name: User | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
========== Shell Spawning ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [FinePix] -- "C:\Program Files (x86)\FinePixViewer\FinePixViewer.exe" "%1" (FUJIFILM Corporation)
Directory [Fotoschau] -- "C:\Program Files (x86)\Pixum\Pixum Fotobuch\Fotoschau.exe" -d "%1" ()
Directory [Pixum Fotobuch] -- "C:\Program Files (x86)\Pixum\Pixum Fotobuch\Pixum Fotobuch.exe" "%1" ()
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htafile [open] -- "%1" %*
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [FinePix] -- "C:\Program Files (x86)\FinePixViewer\FinePixViewer.exe" "%1" (FUJIFILM Corporation)
Directory [Fotoschau] -- "C:\Program Files (x86)\Pixum\Pixum Fotobuch\Fotoschau.exe" -d "%1" ()
Directory [Pixum Fotobuch] -- "C:\Program Files (x86)\Pixum\Pixum Fotobuch\Pixum Fotobuch.exe" "%1" ()
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
"DefaultOutboundAction" = 0
"DefaultInboundAction" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{069EADA8-FE65-408D-A343-8DFE6232C621}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\outlook.exe |
"{17B5F6D0-6165-4EC8-8DE7-79C197A9AE87}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{19A84BC3-1705-46B0-8D05-10C4D4372583}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{219C3BFE-8B7B-4344-A8A8-BA8391C47269}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{36C27E65-F33B-4BFB-8E5F-1A20A34B707A}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{436BCE11-F4BC-4ABF-8457-F630C8FB4547}" = rport=137 | protocol=17 | dir=out | app=system |
"{43E15AD5-B5E2-41E6-A922-4005DEB233A7}" = lport=19375 | protocol=17 | dir=in | app=c:\program files (x86)\devolo\dlan\devolonetsvc.exe |
"{5386131B-219C-424A-94F3-AF8F4B5BD088}" = lport=137 | protocol=17 | dir=in | app=system |
"{5979AD9B-1A5C-41B6-967B-C50926914583}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{5F329F6E-46AF-4241-9E24-73121B9A407B}" = lport=445 | protocol=6 | dir=in | app=system |
"{63C5A1FC-CE4C-48C6-9703-47180FBBB119}" = lport=138 | protocol=17 | dir=in | app=system |
"{652BD8F6-C8CF-4E07-9329-C19945DF8EC8}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{66F056C0-1592-4277-915D-CEF14AAA5143}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{6FC34198-9701-4285-807E-AAF1473F39CE}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{77A8521C-4C96-4621-A927-3108C0088AF8}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{A6A290D1-C506-42C6-A512-5839BE62ED1E}" = rport=139 | protocol=6 | dir=out | app=system |
"{B630223E-BB69-4C38-84A5-3FE57CF182EF}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe |
"{B76245C3-FE51-4276-929B-EAA3F7CA2682}" = lport=139 | protocol=6 | dir=in | app=system |
"{C1053401-F60D-4471-95C9-35074E5BBF5D}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{CB431DDD-E97B-4212-89B8-DF070D93EFD1}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{CD30C2CB-6BA6-4374-9B17-B686C926A979}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{EBE91FDD-1D70-4FD6-9D9E-FAA995C05370}" = lport=19376 | protocol=6 | dir=in | app=c:\program files (x86)\devolo\dlan\devolonetsvc.exe |
"{EEC647D0-1849-42D6-986F-CC2E3CD769C3}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{FA84EF0F-9401-4E10-9BB6-0879C60AF84C}" = rport=445 | protocol=6 | dir=out | app=system |
"{FFB9A637-FFFE-4D1F-8C28-7676EF5450C8}" = rport=138 | protocol=17 | dir=out | app=system |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{087EB07B-D3D3-4763-A255-0046D0B42BC4}" = protocol=17 | dir=in | app=c:\program files (x86)\fritz!box-kindersicherung\avmident.exe |
"{19260AE9-ED28-49FB-93BF-8A4B5A5C0FC0}" = protocol=6 | dir=in | app=c:\windows\system32\supdsvc2.exe |
"{1C111527-2D23-4FA1-8965-B743036B3A4E}" = protocol=6 | dir=in | app=c:\program files (x86)\fritz!\igd_finder.exe |
"{3A49D5A3-BE13-443F-BDDC-C775590BBEBA}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{3B5C5A04-28A8-4F9A-BB1C-0908EF916FD1}" = protocol=17 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe |
"{3C6E65AD-0BDC-479A-95A0-DD02E623677D}" = protocol=17 | dir=in | app=c:\windows\system32\supdsvc2.exe |
"{3EBBA877-2200-4AF3-A724-3A590B474168}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{430E697C-2BB6-44D4-8130-ACD1C4554653}" = dir=in | app=c:\program files (x86)\itunes\itunes.exe |
"{4B89E414-C6B9-462E-AB0B-623EBD012768}" = protocol=17 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe |
"{507E376A-BFDA-475C-BDAD-AB81823D09CA}" = protocol=6 | dir=in | app=c:\program files (x86)\fritz!box-kindersicherung\avmident.exe |
"{5BA1234E-BDD1-4E1D-BBAD-3AED994DB069}" = protocol=6 | dir=in | app=c:\program files (x86)\samsung easy color manager\samsung easy color manager.exe |
"{62E0281D-A0B6-46A2-BC1D-5D0607ED398E}" = protocol=17 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\fritzbox-usb-fernanschluss.exe |
"{6A3BC9C8-CEF2-4857-B169-ADA622417891}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe |
"{6F5288F8-96E2-4CFD-A5C4-E143CEDEA774}" = protocol=6 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\fritzbox-usb-fernanschluss.exe |
"{7BBEDE46-9326-4F44-9098-CC6D2E589A06}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{7C54A131-32E1-442F-8661-0BB673985BED}" = protocol=17 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe |
"{8B37536B-D4EE-4B39-8D80-43E2FD31BCB2}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{8E3B27F5-C548-4219-877F-64EA086AC02B}" = protocol=6 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe |
"{9A041246-8C0D-4AF2-8A35-B87C8DAD135E}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{A7A2C53D-52A8-4102-9427-8CAE4F261E8E}" = protocol=6 | dir=in | app=c:\users\user\appdata\local\temp\{45e535b5-9e27-4389-a24d-e9f7998d266a}\{63b9bab5-f36a-4a3b-9e5c-68a7f212bfb9}\insttool.exe |
"{B2A8C2FA-D1AC-4740-B39A-205D0D4EFEFD}" = protocol=17 | dir=in | app=c:\program files (x86)\fritz!\igd_finder.exe |
"{BE1D3591-5B1C-4E37-8E44-64FE6D1514BC}" = protocol=6 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe |
"{CAE360CC-928A-4072-B4FA-A7A65F2BE40C}" = protocol=17 | dir=in | app=c:\program files (x86)\samsung easy color manager\samsung easy color manager.exe |
"{CCEEDEF5-9E31-4F67-A561-CC425633C07D}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{E51566D4-AF96-4C79-88D6-3E6BD750AE55}" = protocol=6 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\fritzbox-usb-fernanschluss.exe |
"{F1F2B86B-F6AB-4845-B048-B59A6F9CEDB8}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{F9BFF4CA-D34F-4BA1-9C20-02BDBF48F054}" = protocol=6 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0003_f406d43803d5433d\fritzbox-usb-fernanschluss.exe |
"{FC1690CD-71A7-4387-9989-E3283A8FABF9}" = protocol=17 | dir=in | app=c:\users\user\appdata\local\apps\2.0\n3htjj9h.kaj\5oe0k6gr.7t4\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\fritzbox-usb-fernanschluss.exe |
"{FED92248-221D-4EB7-A7FD-98371370D3F0}" = protocol=17 | dir=in | app=c:\users\user\appdata\local\temp\{45e535b5-9e27-4389-a24d-e9f7998d266a}\{63b9bab5-f36a-4a3b-9e5c-68a7f212bfb9}\insttool.exe |
"TCP Query User{23749861-626A-4387-BEEC-A49446258984}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=6 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |
"TCP Query User{2C724B55-67BD-4BA3-8450-437B7269D155}C:\program files (x86)\fritz!\frifax32.exe" = protocol=6 | dir=in | app=c:\program files (x86)\fritz!\frifax32.exe |
"TCP Query User{794FB21E-3B74-480B-AAC4-598DE2658339}C:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe" = protocol=6 | dir=in | app=c:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe |
"TCP Query User{8052D16E-4DE0-4247-85D6-4A50610903CC}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=6 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |
"TCP Query User{A4306F67-11A1-426C-AE96-61BA7116E057}C:\program files (x86)\nero\nero 11\nero backitup\backitup.exe" = protocol=6 | dir=in | app=c:\program files (x86)\nero\nero 11\nero backitup\backitup.exe |
"TCP Query User{E045A91A-B30E-486A-908F-04564216E003}C:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe" = protocol=6 | dir=in | app=c:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe |
"UDP Query User{161875CD-A8E7-4F9F-9417-F54C6AAA0AAE}C:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe" = protocol=17 | dir=in | app=c:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe |
"UDP Query User{1F1032FE-E0CA-4EDE-B806-54BAF7525E9D}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=17 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |
"UDP Query User{50A6427B-F2C6-4DD6-B245-A2B919DC6E56}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=17 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |
"UDP Query User{6FBEF63F-7E99-48E5-9825-404856DA09EA}C:\program files (x86)\nero\nero 11\nero backitup\backitup.exe" = protocol=17 | dir=in | app=c:\program files (x86)\nero\nero 11\nero backitup\backitup.exe |
"UDP Query User{7DFB552A-BEEF-48CE-8CC7-CCD2192DCDCA}C:\program files (x86)\fritz!\frifax32.exe" = protocol=17 | dir=in | app=c:\program files (x86)\fritz!\frifax32.exe |
"UDP Query User{83D2A147-1D90-4C9D-850A-6C8D43F452FA}C:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe" = protocol=17 | dir=in | app=c:\program files (x86)\fritz!box monitor\fritzboxmonitor.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0225AD21-F3E2-4916-BFF3-65D3F9052582}" = iTunes
"{0C9EB3D8-9981-9C61-0D99-0AD65349A0B2}" = ccc-utility64
"{197985EE-73F2-B182-6AEB-21926621ED5D}" = ATI AVIVO64 Codecs
"{1D8E6291-B0D5-35EC-8441-6616F567A0F7}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219
"{26A24AE4-039D-4CA4-87B4-2F86417002FF}" = Java(TM) 7 Update 2 (64-bit)
"{2F72F540-1F60-4266-9506-952B21D6640D}" = Apple Mobile Device Support
"{356001A6-3033-7737-1E18-B396F721BCE3}" = WMV9/VC-1 Video Playback
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{4EEBF851-6F1B-918C-3BAD-1E9FC655474B}" = AMD Fuel
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"{6E8E85E8-CE4B-4FF5-91F7-04999C9FAE6A}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{777afb2a-98e5-4f14-b455-378a925cae15}.sdb" = CVE-2012-4969
"{7A536085-9D02-A10F-10A8-2B26393645C3}" = AMD Drag and Drop Transcoding
"{8340EE6D-7646-A566-495D-95D9681C02C3}" = ATI Catalyst Install Manager
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{B6E3757B-5E77-3915-866A-CCFC4B8D194C}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053
"{D600D357-5CB9-4DE9-8FD4-14E208BD1970}" = Nero Backup Drivers
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{F8D2F737-7D27-49B0-9429-502F427DC098}" = Macrium Reflect - Free Edition
"CCleaner" = CCleaner
"doPDF 7 printer_is1" = doPDF 7.2 printer
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Premium
"{01E9B2FF-DAF4-4529-9CC9-2101625517C7}" = nero.prerequisites.msi
"{02AD0B26-77BD-D0F5-825B-AFB1667AAED5}" = CCC Help Russian
"{034DCAF9-96E7-4936-9A07-712F80B5181E}" = Nero RescueAgent 11
"{0713D1F9-DD77-42C1-8C7D-54D479E2E743}" = Nero SoundTrax 11
"{0D7A4289-99CF-4B8D-B812-86BE50A54552}" = Nero Video 11
"{102FDF49-C7E3-4798-83AB-2855194C02E1}" = Integrity Tool
"{11D3EF85-63E1-4AE4-A7C1-9241BDB16B51}" = Nero ControlCenter 11
"{1341F917-C3E5-413E-A11C-AA58273843C4}" = SpeedMaxPc
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1E4A6F03-4D71-4496-9B2D-71C8B59F64DE}" = BiosNotice
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22BB0352-8E48-430C-85CC-F996BF51D2E7}_is1" = Kurvenprofi 5.1.1
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{24ED4D80-8294-11D5-96CD-0040266301AD}" = FinePixViewer Ver.5.5
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{2CA7225D-CB12-462A-9DD1-50319E158BA5}" = Nero 11 PiP Effects Basic
"{318DBE01-1E6B-4243-84B0-210391FE789A}" = Samsung AnyWeb Print
"{32A2D1C1-3376-3513-E405-0A7B2E5033ED}" = CCC Help Portuguese
"{3387F0B2-EC94-7E2D-CCD6-64FB272EFC1C}" = CCC Help French
"{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition
"{35221158-239F-46EC-D2D1-CB1949DF404D}" = CCC Help Chinese Standard
"{388E9AC8-B70C-F9B4-5D31-15B19CEEB6B0}" = Catalyst Control Center InstallProxy
"{390757AA-8830-43DC-AEE0-4E5B6F8439EB}" = Nero SoundTrax 11 Help (CHM)
"{3A345E76-F752-4E19-FE85-1643499B6741}" = Catalyst Control Center Graphics Previews Common
"{4318FACA-2F40-F534-5139-9868B4E2C076}" = CCC Help German
"{443893CD-94D7-C402-5EA8-379B4A7D5876}" = CCC Help Swedish
"{45ACBFC3-AFC6-595B-1D10-55333AA29DE3}" = CCC Help Polish
"{45C56AA7-ED1B-4800-A97F-EDDF3F3520B1}" = Apple Application Support
"{48F22622-1CC2-4A83-9C1E-644DD96F832D}" = Epson Event Manager
"{4DB712A7-6A14-71C0-D5EA-64C52575C9EA}" = CCC Help Spanish
"{4F40142E-06F1-28E2-F2BB-F374054DD96D}" = CCC Help English
"{5016F479-6206-D56E-6FE5-938ADA06069C}" = ccc-core-static
"{531F0013-964C-4BE6-B382-4117DC8BCDF9}" = ArcSoft MediaImpression
"{537575D6-3B96-474C-BD8F-DFF667363DBD}" = Naviextras Toolbox Prerequesities
"{53F7746A-96AA-49A5-86B8-59989680DAC5}" = Nero Burning ROM 11 Help (CHM)
"{5449FB4F-1802-4D5B-A6D8-087DB1142147}" = Realtek HDMI Audio Driver for ATI
"{55C2143E-FBA5-442F-9AFA-726FF068F39D}" = Nero CoverDesigner 11 Help (CHM)
"{57F80ECF-E27C-4EEE-AB58-E971BACE2639}" = Nero Recode 11 Help (CHM)
"{5A212B2D-140D-46F4-B625-2D1CA5A00594}" = Nero 11 Kwik Themes Basic
"{5A9E41B1-1CD4-2656-3FAC-42E7331852EF}" = CCC Help Korean
"{5AA911D4-757E-8FE1-E61D-02545CC67BBC}" = CCC Help Thai
"{5C6F884D-680C-448B-B4C9-22296EE1B206}" = Logitech Harmony Remote Software 7
"{5E98FDD6-3672-4DBE-AB8B-2C9A0BED1382}" = Nero 11 Disc Menus 3
"{5FD89EA1-99C2-40EE-BBF5-20F8991ED756}" = Catalyst Control Center - Branding
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{62ED340C-678A-4841-8BD5-641410122538}" = AusweisApp
"{631BECF0-9716-1342-4DDA-CBC740E36496}" = Catalyst Control Center Localization All
"{65BB0407-4CC8-4DC7-952E-3EEFDF05602A}" = Nero Update
"{65CB4C08-C47B-4A7E-A6A4-50C06ADA5FC6}" = Adobe AIR
"{6A7011FB-3BF0-E952-9AF0-37DBC2A732EA}" = CCC Help Japanese
"{6AB2427E-A18F-4809-9A12-29F5EBABBB3A}" = Nero BackItUp 11 Help (CHM)
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6E35B2BD-36B3-F24B-72C2-A8F4BF0F76FE}" = CCC Help Czech
"{7038C737-A484-A0E2-9C96-C2C6E83F6E99}" = CCC Help Greek
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71BF8787-A67D-4CBC-9155-22927199F4BB}" = TP-LINK Wireless Client Utility
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7497BB4F-CE23-47D4-B2CB-62548080F74F}" = AVM FRITZ!Box-Kindersicherung
"{778EACF8-06C1-47AA-9284-91550E9BAD39}" = Samsung Easy Color Manager
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7DF2B5EE-2C16-4E86-9C71-8678068AD805}" = Nero 11 Disc Menus 2
"{7F9E0041-5CCF-4D22-B5F0-50D76A30E7C0}" = mateSuite
"{7FC7AD70-1DF3-4B84-9AA2-4FB680F45572}_is1" = Hex-Editor MX
"{80110EB5-EE73-1088-45B5-25EF1A6A9EB2}" = CCC Help Hungarian
"{8014FACB-1D1D-48C2-94AA-E29EE2E6B9CE}" = Nero WaveEditor 11
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{846E4C72-DF45-43ED-1680-EDF5F87F279E}" = dLAN Cockpit
"{8471021C-F529-43DE-84DF-3612E10F58C4}" = Remote Control USB Driver
"{8745FEB2-DFA3-418F-8EF4-9DBBB80E5E62}" = Nero Prerequisite Installer 1.0
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller Driver
"{885F5AC6-4413-4D30-99A9-F4494BFA4923}" = Logitech Harmony Remote Software 7
"{8973631B-D3CE-4F74-8A72-F734D928B940}" = DVRManager
"{90120000-0016-0000-0000-0000000FF1CE}" = Microsoft Office Excel 2007
"{90120000-0016-0000-0000-0000000FF1CE}_EXCEL_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_EXCEL_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0000-0000-0000000FF1CE}" = Microsoft Office PowerPoint 2007
"{90120000-0018-0000-0000-0000000FF1CE}_POWERPOINT_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_POWERPOINT_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0000-0000-0000000FF1CE}" = Microsoft Office Outlook 2007
"{90120000-001A-0000-0000-0000000FF1CE}_OUTLOOK_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_OUTLOOK_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0000-0000-0000000FF1CE}" = Microsoft Office Word 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_EXCEL_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}_OUTLOOK_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}_POWERPOINT_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_EXCEL_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}_OUTLOOK_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}_POWERPOINT_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_EXCEL_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}_OUTLOOK_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}_POWERPOINT_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_EXCEL_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}_OUTLOOK_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}_POWERPOINT_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002A-0000-1000-0000000FF1CE}_EXCEL_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0000-1000-0000000FF1CE}_OUTLOOK_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0000-1000-0000000FF1CE}_POWERPOINT_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_EXCEL_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_OUTLOOK_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_POWERPOINT_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_EXCEL_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}_OUTLOOK_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}_POWERPOINT_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9193490D-5229-4FC4-9BB9-A6D63C09574A}" = High-Definition Video Playback
"{987B04C4-B5AC-4AD6-A7E9-8D681085B850}" = AMD USB Filter Driver
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A4D182C-35C7-4791-8484-4304EBC9101A}" = Windows 7 Upgrade Advisor
"{9BE0DEDC-0666-A6A6-696C-61016039734C}" = CCC Help Norwegian
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A0CBF47F-361A-A77F-BFB1-5905ABD5D230}" = CCC Help Dutch
"{A0F34849-D9AB-46DD-B1BE-BB0DB60B1FE8}" = Nero 11 Disc Menus 1
"{A2CDC001-F8B3-4C64-9E74-2E3FA0FAC9D9}" = Nero 11 Video Samples
"{A4F6BE36-4826-45BA-A396-04F265A3B61D}" = Nero 11 Kwik Themes 2
"{A68575CE-050E-4E1F-A053-58BE8D9DE7AB}" = ArcSoft MediaImpression 2
"{A7A0BF2E-31CC-49E3-9913-52C503EB969D}" = Nero Audio Pack 1
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A99A7A44-85BD-8792-C136-BD1EBFC3BAF4}" = CCC Help Turkish
"{AA721D14-CFE2-410E-B975-79FE5F82F99F}" = MSVCMergeModules
"{AA72FB28-73B4-49E5-B6B4-E78F44BBD0AD}" = Epson Copy Utility 3.5
"{AB2BBC64-8AC8-4E66-BBF3-E22D5EACEECA}" = Nero BackItUp 11
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{B160A672-F326-4414-9BB0-A056C61B357C}" = Nero 11 Cliparts
"{B1846721-A8E6-46C7-83B6-0DCF7ADB4267}" = Nero Burning ROM 11
"{B1F69AF3-B5B5-4CA5-ADC5-8A738EB6E574}" = Nero 11 Kwik Themes 1
"{B4AE5869-8C69-4DA3-3141-B6CA60485868}" = CCC Help Danish
"{B9B1BA7F-7E07-49DD-A713-5B397A5BB66B}" = Nero Kwik Media Help (CHM)
"{BD60F72D-3F1F-4AE1-9C41-3CF75B2CA59A}" = DVR-Studio Pro
"{BD61F72D-2F1F-4BE1-9D41-3DF75B2CA59A}" = DVR-Compress
"{BE814218-3919-4EA3-868A-2F60BC135CB4}" = Nero Kwik Media
"{BEBEE34D-84A2-4EDD-8BEA-96CC54371263}" = Nero Core Components 11
"{BEE64C14-BEF1-4610-8A68-A16EAA47B882}" = Futuremark SystemInfo
"{C4E9AF2F-6894-C574-9338-E4B330E6B9AD}" = CCC Help Finnish
"{CCE210DF-7EEF-4A76-A63C-3EB091FDB992}" = welcome
"{D01CE99A-8802-483C-A79F-298B691EB432}" = Nero RescueAgent 11 Help (CHM)
"{D2CBEFA4-F2D3-4E97-A171-8BFD6A31A5EC}" = Nero Express 11 Help (CHM)
"{D4D66270-9147-4BDF-9946-FCA2B303AA8F}" = Nero ControlCenter 11 Help (CHM)
"{D6044256-A309-43B5-9833-D3FAFE2AD24D}" = MagicTune Premium
"{DF8A6BA4-70B3-49A4-9867-800A63B66F99}" = ape@map
"{E10AAE4A-98B8-420A-BD93-E0520C23D624}" = Nero Express 11
"{E3FB6534-448B-1CE0-76D2-4A60391B1A21}" = CCC Help Chinese Traditional
"{E4FB0B39-C991-4EE7-95DD-1A1A7857D33D}" = Asmedia ASM104x USB 3.0 Host Controller Driver
"{E51BC4B0-EA5E-49CC-AF3B-93B5C627EC22}" = Nero 11 Effects Basic
"{EB475D31-14C0-4DC3-8E0A-8AE1711399B3}" = Nero 11
"{EB8DED20-A887-4A9C-BB5A-F3E7523DFB44}" = Nero WaveEditor 11 Help (CHM)
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3743A2C-5D5F-4456-8F98-5DF36A954C50}" = Nero 11 Image Samples
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F49EF443-B2BD-4F10-8A46-87AFCDB90EDD}" = Nero 11 Disc Menus Basic
"{F5578615-0330-487D-4971-E3B62C84BF10}" = CCC Help Italian
"{F6130A03-30EE-D4AD-63C8-E90F422C76C5}" = HydraVision
"{F69FB940-5031-4FE8-AFAD-085802D0BF63}" = Nero Recode 11
"{FAC3C37E-EDAB-4F3A-A173-A7C70CC88F09}" = Nero Video 11 Help (CHM)
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"{FF44BCE5-5A18-4051-85F0-BC172D7B4695}" = Nero CoverDesigner 11
"1&1 Mail & Media GmbH 1und1Softwareaktualisierung" = GMX Softwareaktualisierung
"1&1 Mail & Media GmbH Toolbar IE8" = GMX MailCheck für Internet Explorer
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMFBoxMonitor" = AVM FRITZ!Box Monitor
"AVS Media Player_is1" = AVS Media Player 4.1.6.80
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVS4YOU Video Converter 7_is1" = AVS Video Converter 8
"BabylonToolbar" = Babylon toolbar on IE
"Chipcardmaster_is1" = Chipcardmaster 6.86
"Cockpit.92121A72F826FA9D0BD3A830E7F04987B31AFB22.1" = dLAN Cockpit
"Content Manager 2" = Content Manager 2
"DAEMON Tools Lite" = DAEMON Tools Lite
"dlancockpit" = devolo dLAN Cockpit
"DVD Shrink_is1" = DVD Shrink 3.2
"ElsterFormular für Privatanwender 12.3.2.6814p" = ElsterFormular-Upgrade
"EPSON PERFECTION V30_V300 PHOTO Benutzerhandbuch" = EPSON PERFECTION V30_V300 PHOTO Handbuch
"EPSON Scanner" = EPSON Scan
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"EXCEL" = Microsoft Office Excel 2007
"FormatFactory" = FormatFactory 2.70
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"Grabster AV 300" = Grabster AV 300 V1.0.8.30
"MAGIX Filme auf DVD TerraTec Edition D" = MAGIX Filme auf DVD TerraTec Edition 8.0.3.4 (D)
"MAGIX Online Druck Service D" = MAGIX Online Druck Service
"MAGIX Screenshare D" = MAGIX Screenshare
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"OUTLOOK" = Microsoft Office Outlook 2007
"PDF Combine_is1" = PDF Combine
"Pixum Fotobuch" = Pixum Fotobuch
"POI FINDER (Becker)_is1" = POI FINDER 3.83 (Becker)
"POWERPOINT" = Microsoft Office PowerPoint 2007
"Public SyncTool_is1" = Public SyncTool 1.2
"Samsung CLP-620 Series" = Wartung Samsung CLP-620 Series
"Samsung Universal Print Driver PCL 6" = Samsung Universal Print Driver PCL 6
"SIZCHIP-Plugin-ActiveX-20" = SIZCHIP 2.0.0.4 ActiveX
"SWFPlayer_is1" = SWFPlayer 2.6.2.0
"VLC media player" = VLC media player 1.1.11
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"f018cf21c0452c64" = FRITZ!Box USB-Fernanschluss
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 18.03.2013 14:57:20 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 19.03.2013 15:25:20 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 20.03.2013 13:35:39 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 20.03.2013 15:48:33 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 21.03.2013 15:33:38 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 22.03.2013 16:48:45 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 22.03.2013 19:02:39 | Computer Name = Cerberus | Source = MsiInstaller | ID = 11326
Description =
Error - 22.03.2013 19:07:14 | Computer Name = Cerberus | Source = MsiInstaller | ID = 11326
Description =
Error - 25.03.2013 14:04:51 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
Error - 26.03.2013 13:50:38 | Computer Name = Cerberus | Source = WinMgmt | ID = 10
Description =
[ OSession Events ]
Error - 08.01.2012 09:24:45 | Computer Name = Cerberus | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.6654.5003, Microsoft Office Version: 12.0.6425.1000. This session lasted 323
seconds with 300 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 31.03.2013 07:10:56 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
aufgrund folgenden Fehlers nicht gestartet wurde: %%1068
Error - 31.03.2013 07:10:56 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
aufgrund folgenden Fehlers nicht gestartet wurde: %%1068
Error - 31.03.2013 07:10:56 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
aufgrund folgenden Fehlers nicht gestartet wurde: %%1068
Error - 31.03.2013 10:32:21 | Computer Name = Cerberus | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
Error - 31.03.2013 10:32:24 | Computer Name = Cerberus | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
Error - 31.03.2013 10:32:25 | Computer Name = Cerberus | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
Error - 31.03.2013 10:35:48 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 31.03.2013 10:35:54 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7000
Description = Der Dienst "mateSuite Card Service" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 31.03.2013 10:35:57 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error - 31.03.2013 10:36:16 | Computer Name = Cerberus | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
[verify-U]_System
< End of report >
|
|
02.04.2013, 09:28
| #2 |
| /// Helfer-Team  | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers dann: Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ |
|
02.04.2013, 20:55
| #3 |
| | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Hallo t'john,
__________________vielen Dank, dass Du Dich um mich kümmerst. Ich habe Deine Anweisungen abgearbeitet, die im folgenden dokumentiert. 5) erster Run von mbar: - 5 Funde angezeigt - Avira hat verdächtigen Zugriff auf Registry blockiert und vollständigern Scann empfohlen - keine Aufforderung zum Neustart - Log-File vorhanden 6) zweiter Run von mbar: - kein Fund - Avira hat sich auch nicht mehr gemeldet - keine Aufforderung zum Neustart - Log-File vorhanden 7) Run von AdwCleaner - alles nach Anweisung gemacht - Neustart durchgeführt - Log-File vorhanden Wie bekommt man eigentlich die Log-Files in so eine schöne Scroll-Box? Nach meiner Einschätzung sieht es mit meinem Rechner gar nicht so schlecht aus. Wie siehst Du das? Wie geht es weiter? Meine eingefangenen Viecher hocken noch auf der Quarantäne-Station von Malwarebytes. Hast Du Verwendung dafür? Was mach ich damit ? Viele Grüße von schreiner64 zu 5) erster Run von mbar Malwarebytes Anti-Rootkit BETA 1.01.0.1022 Malwarebytes : Free Anti-Malware download Database version: v2013.04.02.12 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16521 User :: CERBERUS [administrator] 02.04.2013 20:20:44 mbar-log-2013-04-02 (20-20-44).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 29974 Time elapsed: 6 minute(s), 57 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 1 HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot. Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 3 c:\$Recycle.Bin\S-1-5-21-3935617482-1176805258-1692953603-1000\$bd63bc010e5b0f817d29a5592ba87191\U (Trojan.Siredef.C) -> Delete on reboot. c:\$Recycle.Bin\S-1-5-21-3935617482-1176805258-1692953603-1000\$bd63bc010e5b0f817d29a5592ba87191\L (Trojan.Siredef.C) -> Delete on reboot. c:\$Recycle.Bin\S-1-5-21-3935617482-1176805258-1692953603-1000\$bd63bc010e5b0f817d29a5592ba87191 (Trojan.Siredef.C) -> Delete on reboot. Files Detected: 1 c:\$Recycle.Bin\S-1-5-21-3935617482-1176805258-1692953603-1000\$bd63bc010e5b0f817d29a5592ba87191\@ (Trojan.Siredef.C) -> Delete on reboot. (end) zu 6) zweiter Run von mbar Malwarebytes Anti-Rootkit BETA 1.01.0.1022 Malwarebytes : Free Anti-Malware download Database version: v2013.04.02.12 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16521 User :: CERBERUS [administrator] 02.04.2013 20:27:43 mbar-log-2013-04-02 (20-27-43).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 29971 Time elapsed: 3 minute(s), 9 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) zu 7) Run von AdwCleanerAdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.115 - Datei am 02/04/2013 um 20:32:00 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Windows 7 Home Basic Service Pack 1 (64 bits)
# Benutzer : User - CERBERUS
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\User\Downloads\Programme\Viren\Antivierensoftware\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : C:\ProgramData\Babylon
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\Software\DealPly
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje
***** [Internet Browser] *****
-\\ Internet Explorer v10.0.9200.16521
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[S1].txt - [1704 octets] - [02/04/2013 20:32:00]
########## EOF - C:\AdwCleaner[S1].txt - [1764 octets] ##########
|
|
03.04.2013, 09:30
| #4 | ||
| /// Helfer-Team | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-SeiteZitat:
 -Button)Zitat:
 Code:
ATTFilter Meine eingefangenen Viecher hocken noch auf der Quarantäne-Station von Malwarebytes.
Hast Du Verwendung dafür? Was mach ich damit ?
Sehr gut!  Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte  SecurityCheck und:
|
|
03.04.2013, 23:36
| #5 |
| | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Hallo t'john, Meine Viecher auf der Quarantäne-Station habe ich entsorgt. Ich habe Deine Anweisungen abgearbeitet und im folgenden dokumentiert: 8) Run von aswMBR: - blieb an dieser Stelle länger stehen - scanning: C:\user\user\appdata\local\babylon\setup\sqlite3.dll - Abbruch duch mich nach ca. 30 min - beim zweiten Mal an dieser Stelle - scanning: C:\user\user\desktop\programme\itunesdbcloner.exe - Abbruch durch mich nach 40 min; vielleicht war ich auch zu ungeduldig ? - nochmal gestartet mit av scan: none - sehr schneller Durchlauf bis scan finished successfully - Log-File vorhanden Code:
ATTFilter aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-03 21:00:07
-----------------------------
21:00:07.481 OS Version: Windows x64 6.1.7601 Service Pack 1
21:00:07.496 Number of processors: 4 586 0x503
21:00:07.496 ComputerName: CERBERUS UserName: User
21:00:10.476 Initialize success
21:00:24.984 AVAST engine defs: 13040301
21:00:33.860 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005e
21:00:33.860 Disk 0 Vendor: SAMSUNG_ 1AJ1 Size: 953869MB BusType: 11
21:00:34.531 Disk 0 MBR read successfully
21:00:34.531 Disk 0 MBR scan
21:00:34.531 Disk 0 Windows 7 default MBR code
21:00:34.562 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
21:00:34.656 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 953766 MB offset 206848
21:00:35.202 Disk 0 scanning C:\Windows\system32\drivers
21:01:36.279 Service scanning
21:01:53.408 Modules scanning
21:01:53.424 Disk 0 trace - called modules:
21:01:53.486 ntoskrnl.exe CLASSPNP.SYS disk.sys amdxata.sys storport.sys hal.dll amdsata.sys
21:01:53.486 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006f6b060]
21:01:54.001 3 CLASSPNP.SYS[fffff8800196843f] -> nt!IofCallDriver -> [0xfffffa8006a2bb80]
21:01:54.001 5 amdxata.sys[fffff880011027a8] -> nt!IofCallDriver -> \Device\0000005e[0xfffffa8006cf19c0]
21:01:54.016 Scan finished successfully
21:04:22.419 Disk 0 MBR has been saved successfully to "C:\Users\User\Downloads\Programme\Viren\Logfiles\MBR.dat"
21:04:22.435 The log file has been saved successfully to "C:\Users\User\Downloads\Programme\Viren\Logfiles\aswMBR.txt"
- alles nach Anweisung gemacht - keine infected files gefunden - hat über 3h gedauert - Log-File vorhanden - Firewall und V-Scanner wieder aktiviert Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a78d719092fee14ca5acc923b7761dbc
# engine=13543
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-03 10:20:51
# local_time=2013-04-04 12:20:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 18021 230450941 10806 0
# compatibility_mode=5893 16776573 100 94 104106 116657501 0 0
# scanned=1370149
# found=0
# cleaned=0
# scan_time=11196
- alles nach Anweisung gemacht - ging recht schnell - Log-File vorhanden Code:
ATTFilter Results of screen317's Security Check version 0.99.61 Windows 7 Service Pack 1 x64 Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 37 Java version out of Date! Adobe Flash Player 11.6.602.180 Adobe Reader XI ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
|
04.04.2013, 10:31
| #6 |
| /// Helfer-Team | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________ --> Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite |
|
04.04.2013, 22:04
| #7 |
| | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Hallo t'john, Ich habe Java nach Deine Anweisungen aktuallisiert: - Installer installiert - alte Java-Versionen deinstalliert - Neustart - das Java-Symbol hat den Zusatz 32-bit - ich habe aber ein 64-bit-System ??? - weiter mit den Anweisungen bis "Jetzt updaten" - Updater meldet: Auf deinem System ist bereits die aktuelle Java(TM)-Plattform vorhanden. - ok gedrückt - PluginCheck - Bowser nicht erkannt - Flash (11.6.602.180) ist aktuell - Java (1.7.0.17) ist aktuell - Adobe Reader 11.0.0.0 ist aktuell - nachdedm ich den Java-Plug-in deaktiviert habe zeigt der Plugin Check folgendes: - Bowser nicht erkannt - Flash (11.6.602.180) ist aktuell - Java ist nicht installiert oder nicht aktiviert - Adobe Reader 11.0.0.0 ist aktuell Ist das jetzt gut oder schlecht ? Wieso erkennt der meinen Browser nicht? Ich habe Internet Explorer 10 An der Stelle bin ich jetzt etwas verunsichert. Jetzt haben wir beiden schon viel Zeit in dieses Problem investiert, und ich möchte diesen Weg mit Dir auch zu Ende gehen. Ich muss über's Wochenende weg und habe keinen Zugang zu meinem PC. Irgendwo hab ich gelesen, wenn man nicht innerhalb einer bestimmten Zeit reagiert wird der Fall geschlossen und das war's dann. Das möchte ich auf keinen Fall. Kannst Du es so einrichten, dass ich im Rennen bleibe. Meine nächste Antwort kann aber erst am So Abend kommen. Viele Grüße von schreiner64 |
|
05.04.2013, 06:43
| #8 | |
| /// Helfer-Team | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Mache dir keine Sorgen, du fliegst nicht aus dem Rennen Zitat:
Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
05.04.2013, 09:52
| #9 |
| | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Servus t'john, Ich bin sauber und entlassen. Das klingt gut. Die Bereinigungen mache ich am So Abend. Ich mache dann nochmal eine Vollzugsmeldung. An dieser Stelle bleibt mir nur noch, mich zu bedanken. Recht vielen Dank - Du warst mir eine grosse Hilfe - guter Job. Kann ich Euch irgendwie unterstützen ? Viele Grüsse von schreiner64 |
|
05.04.2013, 10:54
| #10 |
| /// Helfer-Team | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite siehe Signatur wir wuenschen eine virenfreie Zeit |
|
07.04.2013, 19:06
| #11 |
| | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Hallo t'john, Ich habe Deine Anweisungen ausgeführt: - adecleaner deinstalliert - OLT gestartet - bereinigt - Sicherheitszonen zurückgesetzt - Systemwiederherstellung nach Anweisung geleert Lieber t'john, hab vielen Dank für Deine Unterstützung. Das war mir eine Lehre. Ich werde in Zukunft etwas vorsichtiger sein. Viele Grüße von schreiner64 |
|
07.04.2013, 20:50
| #12 |
| /// Helfer-Team | Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite Sehr vorbildlich! Du bist jetzt gut gewappnet! |
|
| Themen zu Ransomware-Trojaner blockiert PC mit behördenähnlicher Web-Seite |
| babylontoolbar, blockiert, bonjour, checkliste, converter, echtzeit-scanner, enigma, entfernen, eudora, flash player, game/moorhuhn, gesendete objekte, hiddenext/worm.gen, hijack.trojan.siredef.c, iexplore.exe, install.exe, internet service provider blockiert, joke/bierhalter, joke/drunken, joke/enterthemouse, joke/gehalt, joke/melter, joke/stressreducer, logfile, msiinstaller, msvcrt, office 2007, plug-in, programm, remote control, svchost.exe, thomas, tr/dldr.ibill.ak, tr/dldr.ibill.at.2, trojan.ransom, trojan.siredef.c, trojaner, trojaner board, windows |
Linear-Darstellung
