Hallo,
leider scheine auch ich mir einen Trojaner eingefangen zu haben ("Weißer Bildschirm, Ukash Zahlungsaufforderung").
Auf der Basis der Hinweise vom Sept. 2012 hab ich auch schon die entsprechenden Dateien erstellt und auch einiges versucht, was bei mir aber nicht zum gewünschten Erfolg geführt hat.
Ein paar Zusatzinfos:
1) Ich habe an meinem Rechner 2 (Admin-)User eingerichtet; der Virus wirkt sich nur bei GT aus, weshalb ich jetzt als AK eingeloggt bin, um normal arbeiten zu können.
2) Der Versuch, als GT im abgesicherten Modus zu starten, klappt leider nicht ganz, denn unmittelbar nach dem Einloggen als GT wird der Rechner dann wieder heruntergefahren.
3) Einen Start des "Fix"-Programm im OTL-exe war nicht mögliuch, weil "nichts zu fixen" vorlag.
Ich füge die beiden Dateien OTL.txt und Extras.txt bei, wobei meine OTL in zwei Teile aufgeteilt werden musste, weil sie sonst nicht hoichgeladen werden konnte; bitte einfach zweiten Teil in die erste Datei reinkopieren (Wird sonst noch etwas gebraucht?)
Wer kann mir helfen?
Schönen Abend noch wünscht Euch
Gottfried.
Anhang 53542

Anhang 53543

Anhang 53544

Hi,

schauen wir mal rein..
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Zitat:

Zitat von aharonov

Hi,

schauen wir mal rein..
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.
*****************************************
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 24-04-2013
Ran by SYSTEM on 24-04-2013 10:59:46
Running from F:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [OEM13Mon.exe] C:\Windows\OEM13Mon.exe [36864 2008-01-07] (Creative Technology Ltd.)
HKLM\...\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon [644696 2007-05-14] (CANON INC.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [FreePDF Assistant] "C:\Program Files\FreePDF_XP\fpassist.exe" [371200 2011-02-23] (shbox.de)
HKLM\...\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1316136 2008-06-20] (Synaptics, Inc.)
HKLM\...\Run: [OEM13Cfg.exe] OEM13Cfg.exe [x]
HKLM\...\Run: [PixelPlanet PdfPrinter-Monitor] "C:\Program Files\Common Files\PixelPlanet\PdfPrinter 6\PdfPrinterMonitor.exe" [2233912 2011-11-04] (PixelPlanet GmbH)
HKU\AK\...\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray [ 2012-12-21] (Nokia)
HKU\GT\...\Run: [ISUSPM] C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler [ 2011-06-04] (Acresso Corporation)
HKU\GT\...\Run: [] [x]
HKU\GT\...\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray [ 2012-12-21] (Nokia)
HKU\GT\...\Run: [Driver Whiz] C:\Program Files\Driver Whiz\Driver Whiz\DriverWhiz.exe /applicationMode:systemTray /showWelcome:false [ 2012-11-12] (PC Drivers Headquarters)
HKU\GT\...\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup [ 2005-02-16] (InstallShield Software Corporation)
HKU\GT\...\Winlogon: [Shell] explorer.exe,C:\Users\GT\AppData\Roaming\skype.dat [x]
IMEO\carmorganizer.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\clipbook.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\convutil.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\driverwhiz.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\isuspm.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\natspeak.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\ps120.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\registration.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\ua120.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\upgrade.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\wpldes12.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\wpwin12.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
IMEO\wt12sptlde.exe: [Debugger] "D:\util\TuneUp_2012\TUAutoReactivator32.exe"
Startup: C:ProgramData\Start Menu\Programs\Startup\PhraseExpress starten.lnk
ShortcutTarget: PhraseExpress starten.lnk -> C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe (Bartels Media GmbH)
Startup: C:ProgramData\Start Menu\Programs\Startup\PhraseExpress.lnk
ShortcutTarget: PhraseExpress.lnk -> C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe (Bartels Media GmbH)
Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\KeyText.exe - Verknüpfung.lnk
ShortcutTarget: KeyText.exe - Verknüpfung.lnk -> D:\util\KeyText\KeyText.exe (MJMSoft Design Limited)
Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Portable_ac'tivAid.exe - Verknüpfung.lnk
ShortcutTarget: Portable_ac'tivAid.exe - Verknüpfung.lnk -> C:\Util\ac'tivAid\Portable_ac'tivAid.exe ()
Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thunderbird.lnk
ShortcutTarget: Thunderbird.lnk -> C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Corporation)
Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk
ShortcutTarget: Webshots.lnk -> C:\Program Files\Webshots\Launcher.exe ()

========================== Services (Whitelisted) =================

S2 AAV UpdateService; C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 ABBYY.Licensing.FineReader.Professional.10.0; C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [814344 2009-12-22] (ABBYY)
S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [375760 2012-05-14] (Avira Operations GmbH & Co. KG)
S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-05-14] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-14] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [465360 2012-05-14] (Avira Operations GmbH & Co. KG)
S2 C-DillaCdaC11BA; C:\Windows\system32\drivers\CDAC11BA.EXE [54784 2012-07-03] (Macrovision)
S2 DragonSvc; C:\Program Files\Common Files\Nuance\dgnsvc.exe [296808 2011-06-04] (Nuance Communications, Inc.)
S2 TuneUp.UtilitiesSvc; D:\util\TuneUp_2012\TuneUpUtilitiesService32.exe [1528672 2012-05-29] (TuneUp Software)

==================== Drivers (Whitelisted) ====================

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-05-14] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-05-14] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2011-10-11] (Avira GmbH)
S2 CdaC15BA; C:\Windows\system32\drivers\CDAC15BA.SYS [12464 2012-07-03] (Macrovision Europe Ltd)
S1 HWiNFO32; C:\Windows\system32\drivers\HWiNFO32.SYS [21624 2013-02-13] (REALiX(tm))
S3 KMWDFILTERx86; C:\Windows\System32\DRIVERS\KMWDFILTER.sys [25088 2009-04-29] (Windows (R) Codename Longhorn DDK provider)
S3 OEM13Vfx; C:\Windows\System32\DRIVERS\OEM13Vfx.sys [7424 2007-03-05] (EyePower Games Pte. Ltd.)
S3 OEM13Vid; C:\Windows\System32\DRIVERS\OEM13Vid.sys [235840 2008-05-28] (Creative Technology Ltd.)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
S3 TuneUpUtilitiesDrv; D:\util\TuneUp_2012\TuneUpUtilitiesDriver32.sys [10064 2012-05-08] (TuneUp Software)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-04-24 10:59 - 2013-04-24 10:59 - 00000000 ____D C:\FRST
2013-04-24 10:52 - 2013-04-24 10:52 - 00002062 ____A C:\Users\AK\Desktop\Trojaner_Leo_1.txt
2013-04-24 10:50 - 2013-04-24 10:50 - 01147871 ____A (Farbar) C:\Users\GT\Downloads\FRST.exe
2013-04-24 10:49 - 2013-04-24 10:50 - 01147871 ____A (Farbar) C:\Users\AK\Downloads\FRST.exe
2013-04-24 10:38 - 2013-04-24 10:35 - 01708114 ____A (Farbar) C:\Users\GT\Downloads\FRST64.exe
2013-04-24 10:35 - 2013-04-24 10:35 - 01708114 ____A (Farbar) C:\Users\AK\Downloads\FRST64.exe
2013-04-24 09:56 - 2013-04-24 09:56 - 00000000 ____D C:\Users\AK\AppData\Roaming\TeamViewer
2013-04-24 09:54 - 2013-04-24 09:53 - 02804344 ____A (TeamViewer GmbH) C:\Users\GT\Downloads\customermodule_avira_support_de.exe
2013-04-24 09:53 - 2013-04-24 09:53 - 02804344 ____A (TeamViewer GmbH) C:\Users\AK\Downloads\customermodule_avira_support_de.exe
2013-04-24 09:40 - 2013-04-24 09:40 - 00000000 ____D C:\Users\AK\AppData\Roaming\Canon
2013-04-24 09:39 - 2013-04-24 09:39 - 00001177 ____A C:\Users\AK\Desktop\i_view32.exe - Verknüpfung.lnk
2013-04-23 21:49 - 2013-04-23 21:57 - 00001092 ____A C:\Users\AK\Desktop\Trojaner_GT_Text.txt
2013-04-23 20:45 - 2013-04-23 20:46 - 00015917 ____A C:\Users\AK\Desktop\OTL_zwei.txt
2013-04-23 19:45 - 2013-04-23 19:45 - 00064866 ____A C:\Users\AK\Desktop\Extras.Txt
2013-04-23 19:43 - 2013-04-23 20:46 - 00082814 ____A C:\Users\AK\Desktop\OTL_eins.Txt
2013-04-23 19:23 - 2013-04-23 19:23 - 00148760 ____A C:\Users\AK\Desktop\OTL_1.Txt
2013-04-23 19:00 - 2013-04-23 19:00 - 00003079 ____A C:\Users\AK\Desktop\Gmer.log
2013-04-23 18:35 - 2013-04-23 18:33 - 00377856 ____A C:\Users\GT\Downloads\gmer_2.1.19163.exe
2013-04-23 18:35 - 2013-04-23 18:33 - 00377856 ____A C:\Users\AK\Desktop\gmer_2.1.19163.exe
2013-04-23 18:33 - 2013-04-23 18:33 - 00377856 ____A C:\Users\AK\Downloads\gmer_2.1.19163.exe
2013-04-23 18:31 - 2013-04-23 18:32 - 00000466 ____A C:\Users\AK\Desktop\defogger_disable.log
2013-04-23 18:31 - 2013-04-23 18:31 - 00000000 ____A C:\Users\AK\defogger_reenable
2013-04-23 18:30 - 2013-04-23 18:29 - 00050477 ____A C:\Users\GT\Downloads\Defogger.exe
2013-04-23 18:30 - 2013-04-23 18:29 - 00050477 ____A C:\Users\AK\Desktop\Defogger.exe
2013-04-23 18:29 - 2013-04-23 18:29 - 00050477 ____A C:\Users\AK\Downloads\Defogger.exe
2013-04-23 18:21 - 2013-04-23 18:21 - 00228032 ____A C:\Users\AK\Desktop\Trojaner.txt
2013-04-23 18:05 - 2013-04-23 18:05 - 00000000 ____D C:\_OTL
2013-04-23 17:58 - 2013-04-23 17:58 - 00066286 ____A C:\Users\AK\Desktop\Extras_0.Txt
2013-04-23 17:56 - 2013-04-23 17:56 - 00095454 ____A C:\Users\AK\Desktop\OTL_0.Txt
2013-04-23 17:48 - 2013-04-23 17:48 - 00726464 ____A (Enigma Software Group USA, LLC.) C:\Users\GT\Downloads\SpyHunter-Installer.exe
2013-04-23 17:47 - 2013-04-23 17:48 - 00726464 ____A (Enigma Software Group USA, LLC.) C:\Users\AK\Downloads\SpyHunter-Installer.exe
2013-04-23 17:43 - 2013-04-23 17:30 - 00602112 ____A (OldTimer Tools) C:\Users\AK\Desktop\OTL.exe
2013-04-23 17:30 - 2013-04-23 17:30 - 00602112 ____A (OldTimer Tools) C:\Users\GT\Downloads\OTL.exe
2013-04-23 17:30 - 2013-04-23 17:30 - 00602112 ____A (OldTimer Tools) C:\Users\AK\Downloads\OTL.exe
2013-04-23 15:55 - 2013-04-23 22:03 - 00000004 ____A C:\Users\GT\AppData\Roaming\skype.ini
2013-04-22 12:17 - 2013-04-22 12:19 - 00208582 ____A C:\Users\GT\Downloads\jwplayer-3242.zip
2013-04-16 11:38 - 2013-04-16 11:40 - 46597554 ____A C:\Users\GT\Documents\SteganosSafe_B4.sef
2013-04-12 10:13 - 2013-04-12 10:13 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-04-12 00:25 - 2013-03-01 04:09 - 02347008 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-04-12 00:25 - 2013-01-24 05:47 - 00196328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys
2013-04-12 00:24 - 2013-03-19 06:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-04-12 00:24 - 2013-03-19 06:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-04-12 00:24 - 2013-03-19 05:48 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-04-12 00:24 - 2013-03-19 03:49 - 00069632 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-04-12 00:24 - 2013-02-15 05:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-04-12 00:24 - 2013-02-15 05:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-04-12 00:24 - 2013-02-15 04:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-04-12 00:22 - 2013-03-02 06:07 - 01212264 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-12 00:22 - 2013-02-22 05:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-04-12 00:22 - 2013-02-22 04:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-04-12 00:22 - 2013-02-22 04:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-04-12 00:22 - 2013-02-22 04:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-04-12 00:22 - 2013-02-22 04:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-04-12 00:22 - 2013-02-22 04:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-04-12 00:22 - 2013-02-22 04:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-04-12 00:22 - 2013-02-22 04:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-04-12 00:22 - 2013-02-22 04:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-04-12 00:22 - 2013-02-22 04:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-04-12 00:22 - 2013-02-22 04:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-04-12 00:22 - 2013-02-22 04:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-04-12 00:22 - 2013-02-22 04:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-04-12 00:22 - 2013-02-22 04:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-04-12 00:22 - 2013-02-22 04:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-04-12 00:22 - 2013-02-22 04:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-03-29 12:39 - 2013-03-29 12:46 - 07959536 ____A (Bartels Media GmbH ) C:\Users\GT\Downloads\phraseexpresssetup.exe
2013-03-26 09:21 - 2013-02-12 04:32 - 00015872 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\usb8023.sys
2013-03-25 13:11 - 2013-03-25 13:11 - 00000985 ____A C:\Users\Public\Desktop\MozBackup.lnk
2013-03-25 13:11 - 2013-03-25 13:11 - 00000000 ____D C:\Program Files\MozBackup
2013-03-25 13:10 - 2013-03-25 13:10 - 00000000 ____D C:\Users\GT\AppData\Roaming\RealNetworks
2013-03-25 11:03 - 2013-03-25 11:03 - 00001119 ____A C:\Users\AK\Desktop\MozBackup.exe - Verknüpfung.lnk

==================== One Month Modified Files and Folders ========

2013-04-24 10:59 - 2013-04-24 10:59 - 00000000 ____D C:\FRST
2013-04-24 10:56 - 2011-04-02 18:32 - 01401717 ____A C:\Windows\WindowsUpdate.log
2013-04-24 10:55 - 2012-08-31 18:31 - 00000000 ____D C:\Users\AK\Documents\PhraseExpress
2013-04-24 10:52 - 2013-04-24 10:52 - 00002062 ____A C:\Users\AK\Desktop\Trojaner_Leo_1.txt
2013-04-24 10:50 - 2013-04-24 10:50 - 01147871 ____A (Farbar) C:\Users\GT\Downloads\FRST.exe
2013-04-24 10:50 - 2013-04-24 10:49 - 01147871 ____A (Farbar) C:\Users\AK\Downloads\FRST.exe
2013-04-24 10:35 - 2013-04-24 10:38 - 01708114 ____A (Farbar) C:\Users\GT\Downloads\FRST64.exe
2013-04-24 10:35 - 2013-04-24 10:35 - 01708114 ____A (Farbar) C:\Users\AK\Downloads\FRST64.exe
2013-04-24 10:24 - 2012-10-11 19:19 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-04-24 10:17 - 2012-12-26 11:07 - 00001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-04-24 09:56 - 2013-04-24 09:56 - 00000000 ____D C:\Users\AK\AppData\Roaming\TeamViewer
2013-04-24 09:53 - 2013-04-24 09:54 - 02804344 ____A (TeamViewer GmbH) C:\Users\GT\Downloads\customermodule_avira_support_de.exe
2013-04-24 09:53 - 2013-04-24 09:53 - 02804344 ____A (TeamViewer GmbH) C:\Users\AK\Downloads\customermodule_avira_support_de.exe
2013-04-24 09:40 - 2013-04-24 09:40 - 00000000 ____D C:\Users\AK\AppData\Roaming\Canon
2013-04-24 09:39 - 2013-04-24 09:39 - 00001177 ____A C:\Users\AK\Desktop\i_view32.exe - Verknüpfung.lnk
2013-04-24 09:39 - 2009-07-14 05:34 - 00014864 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-24 09:39 - 2009-07-14 05:34 - 00014864 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-24 09:33 - 2012-12-26 11:07 - 00001086 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-04-24 09:31 - 2013-02-14 10:27 - 00008598 ____A C:\Windows\setupact.log
2013-04-24 09:31 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-23 22:03 - 2013-04-23 15:55 - 00000004 ____A C:\Users\GT\AppData\Roaming\skype.ini
2013-04-23 22:02 - 2011-04-09 16:35 - 00000000 ___AD C:ProgramData\TEMP
2013-04-23 21:57 - 2013-04-23 21:49 - 00001092 ____A C:\Users\AK\Desktop\Trojaner_GT_Text.txt
2013-04-23 20:46 - 2013-04-23 20:45 - 00015917 ____A C:\Users\AK\Desktop\OTL_zwei.txt
2013-04-23 20:46 - 2013-04-23 19:43 - 00082814 ____A C:\Users\AK\Desktop\OTL_eins.Txt
2013-04-23 19:45 - 2013-04-23 19:45 - 00064866 ____A C:\Users\AK\Desktop\Extras.Txt
2013-04-23 19:23 - 2013-04-23 19:23 - 00148760 ____A C:\Users\AK\Desktop\OTL_1.Txt
2013-04-23 19:00 - 2013-04-23 19:00 - 00003079 ____A C:\Users\AK\Desktop\Gmer.log
2013-04-23 18:33 - 2013-04-23 18:35 - 00377856 ____A C:\Users\GT\Downloads\gmer_2.1.19163.exe
2013-04-23 18:33 - 2013-04-23 18:35 - 00377856 ____A C:\Users\AK\Desktop\gmer_2.1.19163.exe
2013-04-23 18:33 - 2013-04-23 18:33 - 00377856 ____A C:\Users\AK\Downloads\gmer_2.1.19163.exe
2013-04-23 18:32 - 2013-04-23 18:31 - 00000466 ____A C:\Users\AK\Desktop\defogger_disable.log
2013-04-23 18:31 - 2013-04-23 18:31 - 00000000 ____A C:\Users\AK\defogger_reenable
2013-04-23 18:31 - 2011-04-03 18:40 - 00000000 ____D C:\users\AK
2013-04-23 18:29 - 2013-04-23 18:30 - 00050477 ____A C:\Users\GT\Downloads\Defogger.exe
2013-04-23 18:29 - 2013-04-23 18:30 - 00050477 ____A C:\Users\AK\Desktop\Defogger.exe
2013-04-23 18:29 - 2013-04-23 18:29 - 00050477 ____A C:\Users\AK\Downloads\Defogger.exe
2013-04-23 18:21 - 2013-04-23 18:21 - 00228032 ____A C:\Users\AK\Desktop\Trojaner.txt
2013-04-23 18:05 - 2013-04-23 18:05 - 00000000 ____D C:\_OTL
2013-04-23 17:58 - 2013-04-23 17:58 - 00066286 ____A C:\Users\AK\Desktop\Extras_0.Txt
2013-04-23 17:56 - 2013-04-23 17:56 - 00095454 ____A C:\Users\AK\Desktop\OTL_0.Txt
2013-04-23 17:48 - 2013-04-23 17:48 - 00726464 ____A (Enigma Software Group USA, LLC.) C:\Users\GT\Downloads\SpyHunter-Installer.exe
2013-04-23 17:48 - 2013-04-23 17:47 - 00726464 ____A (Enigma Software Group USA, LLC.) C:\Users\AK\Downloads\SpyHunter-Installer.exe
2013-04-23 17:30 - 2013-04-23 17:43 - 00602112 ____A (OldTimer Tools) C:\Users\AK\Desktop\OTL.exe
2013-04-23 17:30 - 2013-04-23 17:30 - 00602112 ____A (OldTimer Tools) C:\Users\GT\Downloads\OTL.exe
2013-04-23 17:30 - 2013-04-23 17:30 - 00602112 ____A (OldTimer Tools) C:\Users\AK\Downloads\OTL.exe
2013-04-23 00:20 - 2011-04-09 18:03 - 00000000 ____D C:\Users\GT\Documents\PhraseExpress
2013-04-22 12:19 - 2013-04-22 12:17 - 00208582 ____A C:\Users\GT\Downloads\jwplayer-3242.zip
2013-04-21 21:37 - 2011-04-02 19:05 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-21 21:13 - 2011-12-18 18:33 - 00000000 ____D C:\Users\GT\AppData\Local\FreePDF_XP
2013-04-16 11:40 - 2013-04-16 11:38 - 46597554 ____A C:\Users\GT\Documents\SteganosSafe_B4.sef
2013-04-16 11:34 - 2013-01-20 13:38 - 966556158 ____A C:\Users\GT\Documents\SteganosSafe_V4.sef
2013-04-15 23:55 - 2011-06-20 20:34 - 00032256 ____A C:\Users\GT\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-04-15 15:52 - 2012-12-24 18:07 - 00002187 ____A C:\Users\Public\Desktop\Steuer-Spar- Erklärung 2013.lnk
2013-04-14 09:37 - 2012-06-23 11:31 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-04-12 10:13 - 2013-04-12 10:13 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-04-12 09:29 - 2009-07-14 05:33 - 00594640 ____A C:\Windows\System32\FNTCACHE.DAT
2013-04-12 00:25 - 2011-04-02 19:58 - 00000000 ____D C:ProgramData\Microsoft Help
2013-04-12 00:15 - 2011-04-29 17:40 - 70490256 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-04-11 10:19 - 2011-04-02 20:17 - 00000000 ____D C:ProgramData\Adobe
2013-04-11 10:16 - 2012-06-23 10:22 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-04-11 10:16 - 2012-06-21 19:11 - 00691592 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-04-07 11:33 - 2013-02-12 12:01 - 00000000 ____D C:\Users\GT\AppData\Local\Paint.NET
2013-04-05 11:16 - 2012-08-31 18:31 - 00000000 ____D C:\Users\AK\AppData\Roaming\PhraseExpress
2013-03-29 12:47 - 2012-08-26 16:13 - 00000000 ____D C:ProgramData\PhraseExpress
2013-03-29 12:47 - 2011-04-09 18:03 - 00000000 ____D C:\Users\GT\AppData\Roaming\PhraseExpress
2013-03-29 12:46 - 2013-03-29 12:39 - 07959536 ____A (Bartels Media GmbH ) C:\Users\GT\Downloads\phraseexpresssetup.exe
2013-03-29 11:22 - 2013-02-14 10:25 - 00000998 ____A C:\Windows\PFRO.log
2013-03-29 11:22 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2013-03-28 20:44 - 2013-03-05 21:10 - 00000000 ____D C:\Users\GT\AppData\Roaming\Skype
2013-03-28 14:47 - 2012-11-17 15:00 - 00001357 ____A C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-03-25 13:11 - 2013-03-25 13:11 - 00000985 ____A C:\Users\Public\Desktop\MozBackup.lnk
2013-03-25 13:11 - 2013-03-25 13:11 - 00000000 ____D C:\Program Files\MozBackup
2013-03-25 13:10 - 2013-03-25 13:10 - 00000000 ____D C:\Users\GT\AppData\Roaming\RealNetworks
2013-03-25 12:33 - 2011-10-04 19:53 - 00002032 ____A C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
2013-03-25 12:33 - 2011-10-04 19:53 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-03-25 12:33 - 2011-04-03 18:45 - 00000000 ____D C:\Users\AK\AppData\Local\Thunderbird
2013-03-25 11:03 - 2013-03-25 11:03 - 00001119 ____A C:\Users\AK\Desktop\MozBackup.exe - Verknüpfung.lnk

Other Malware:
===========
C:\Users\GT\AppData\Roaming\skype.dat
C:\Users\GT\AppData\Roaming\skype.ini

==================== Known DLLs (ALL) =========================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-04-22 08:41:51
Restore point made on: 2013-04-23 19:03:22
Restore point made on: 2013-04-24 10:40:45
Restore point made on: 2013-04-24 10:53:38

==================== Memory info ===========================

Percentage of memory in use: 19%
Total physical RAM: 2038.43 MB
Available physical RAM: 1636.15 MB
Total Pagefile: 2038.43 MB
Available Pagefile: 1635.31 MB
Total Virtual: 2047.88 MB
Available Virtual: 1960.7 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:70 GB) (Free:3.65 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATEN) (Fixed) (Total:78.95 GB) (Free:22.76 GB) NTFS
Drive f: () (Removable) (Total:14.83 GB) (Free:2.17 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 149 GB 0 B
Datentr„ger 1 Online 14 GB 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 98DEB064

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 OEM 101 MB 31 KB
Partition 2 Prim„r 70 GB 101 MB
Partition 0 Erweitert 78 GB 70 GB
Partition 3 Logisch 78 GB 70 GB

==================================================================================

Disk: 0
Partition 1
Typ : DE
Versteckt: Ja
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 FAT Partition 101 MB Fehlerfre Versteck

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 C NTFS Partition 70 GB Fehlerfre

=========================================================

Disk: 0
Partition 3
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D DATEN NTFS Partition 78 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: C3072E18

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 14 GB 24 KB

==================================================================================

Disk: 1
Partition 1
Typ : 0C
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F FAT32 Wechselmed 14 GB Fehlerfre

=========================================================
============================== MBR & Partition Table ==================

====================================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064)
Partition 1: (Not Active) - (Size=102 MB) - (Type=DE)
Partition 2: (Active) - (Size=70 GB) - (Type=07) (NTFS)
Partition 3: (Not Active) - (Size=79 GB) - (Type=05)

====================================================================
Disk: 1 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=15 GB) - (Type=0C)


Last Boot: 2013-04-14 10:48

==================== End Of Log ============================

*****************************************


Bitte poste in deiner nächsten Antwort:

• Log von FRST

ich hoffe, in dieser Form ist es okay?! Und was sagt Dir dieses Log-File nun? Bin neugierig!
VG
Gottfried

Hallo Gottfried,

Zitat:

Und was sagt Dir dieses Log-File nun?

Das sich der ungebetene Gast mal wieder als Shell eingetragen hat..

Schritt 1 entsperrt das betroffene Benutzerkonto. Die weiteren Schritte dann wieder in diesem ausführen.


Schritt 1

Drücke auf einem Zweitrechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code: Alles auswählenAufklappen

ATTFilter

HKU\GT\...\Winlogon: [Shell] explorer.exe,C:\Users\GT\AppData\Roaming\skype.dat [x]
C:\Users\GT\AppData\Roaming\skype.dat
2013-04-23 15:55 - 2013-04-23 22:03 - 00000004 ____A C:\Users\GT\AppData\Roaming\skype.ini
         

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.

• Schliesse den USB Stick wieder an den infizierten Rechner an.
• Starte deinen Rechner erneut in die Reparaturoptionen.
• Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.

Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von FRST
• Log von Gmer
• Logs von OTL

Hallo Leo,

super! ich kann schon wieder als GT arbeiten, hab aber natürlich trotzdem die anderen Files erzeugt und schicke sie Dir unten eingefügt zu (wobei ich bei GMER schon dachte, "er" will gar nicht mehr aufhören - hat wohl fast eine Stunde gedauert :-( ).

*************************************
...
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.
*************************************
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 24-04-2013
Ran by SYSTEM at 2013-04-24 11:30:57 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

HKEY_USERS\GT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell value deleted successfully.
C:\Users\GT\AppData\Roaming\skype.dat moved successfully.
C:\Users\GT\AppData\Roaming\skype.ini moved successfully.

==== End of Fixlog ====
*************************************
...[*]Füge bitte den Inhalt des Logfiles hier in deine Thread ein.[/list]
*************************************
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-24 12:39:02
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 ST9160411ASG rev.DE14 149,05GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\GT\AppData\Local\Temp\pxldqpoc.sys


---- System - GMER 2.1 ----

SSDT            8ECC8BFE                                                                                                                   ZwCreateSymbolicLinkObject
SSDT            8ECC8C03                                                                                                                   ZwLoadDriver
SSDT            8ECC8BF9                                                                                                                   ZwOpenSection
SSDT            8ECC8C08                                                                                                                   ZwSetSystemInformation
SSDT            8ECC8BC7                                                                                                                   ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text           ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                                                   82C84A09 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                     82CBE1F2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11FF                                                                                        82CC5354 4 Bytes  [FE, 8B, CC, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1313                                                                                        82CC5468 4 Bytes  [03, 8C, CC, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 13AF                                                                                        82CC5504 4 Bytes  [F9, 8B, CC, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 161F                                                                                        82CC5774 4 Bytes  [08, 8C, CC, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F                                                                                        82CC57C4 4 Bytes  [C7, 8B, CC, 8E]

---- User code sections - GMER 2.1 ----

.text           C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe[460] kernel32.dll!CreateThread + 1C                              77ABDCDE 4 Bytes  CALL 004AD85D C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe
.text           D:\Util\BackUp Maker\bkmaker.exe[3696] USER32.dll!SetScrollRange                                                           76778EC5 8 Bytes  JMP 002800D9 
.text           D:\Util\BackUp Maker\bkmaker.exe[3696] USER32.dll!SetScrollInfo                                                            767848DA 8 Bytes  JMP 00280000 
.text           D:\Util\BackUp Maker\bkmaker.exe[3696] USER32.dll!SetScrollPos                                                             767A04BE 8 Bytes  JMP 002801CA 

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                    Wdf01000.sys
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                    Wdf01000.sys

---- Threads - GMER 2.1 ----

Thread          System [4:4356]                                                                                                            99594F2E

---- Registry - GMER 2.1 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002186a9e1d9                                                
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002186a9e1d9 (not active ControlSet)                            
Reg             HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\temp\aulauncher.exe  1

---- EOF - GMER 2.1 ----
         

--- --- ---

*************************************
...[*]Poste den Inhalt dieser Logfiles hier in den Thread.[/list]*************************************OTL.txt:
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 24.04.2013 12:45:52 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\GT\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,10 Gb Available Physical Memory | 55,26% Memory free
3,98 Gb Paging File | 2,92 Gb Available in Paging File | 73,47% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 70,00 Gb Total Space | 2,97 Gb Free Space | 4,25% Space Free | Partition Type: NTFS
Drive D: | 78,95 Gb Total Space | 22,76 Gb Free Space | 28,83% Space Free | Partition Type: NTFS
Drive F: | 14,83 Gb Total Space | 2,16 Gb Free Space | 14,54% Space Free | Partition Type: FAT32
 
Computer Name: GT-PC | User Name: GT | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.23 17:30:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
PRC - [2013.03.25 21:17:24 | 014,106,320 | ---- | M] (Bartels Media GmbH) -- C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe
PRC - [2012.12.21 17:56:44 | 001,090,040 | ---- | M] (Nokia) -- C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe
PRC - [2012.12.19 09:49:12 | 000,149,480 | ---- | M] (Nokia) -- C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.11.30 03:55:25 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.23 03:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2012.09.07 18:37:04 | 008,071,136 | ---- | M] (ASCOMP Software GmbH) -- D:\util\BackUp Maker\bkmaker.exe
PRC - [2012.08.08 18:56:17 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.03 18:46:47 | 000,054,784 | ---- | M] (Macrovision) -- C:\Windows\System32\drivers\CDAC11BA.EXE
PRC - [2012.05.29 14:09:52 | 001,528,672 | ---- | M] (TuneUp Software) -- D:\util\TuneUp_2012\TuneUpUtilitiesService32.exe
PRC - [2012.05.29 14:09:52 | 001,220,960 | ---- | M] (TuneUp Software) -- D:\util\TuneUp_2012\TuneUpUtilitiesApp32.exe
PRC - [2012.05.14 18:26:26 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
PRC - [2012.05.14 18:26:26 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
PRC - [2012.05.14 18:26:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.14 18:26:26 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.14 18:26:26 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.11.04 15:45:52 | 002,233,912 | ---- | M] (PixelPlanet GmbH) -- C:\Program Files\Common Files\PixelPlanet\PdfPrinter 6\PdfPrinterMonitor.exe
PRC - [2011.06.04 08:53:44 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files\Common Files\Nuance\dgnsvc.exe
PRC - [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2011.02.23 22:19:22 | 000,371,200 | ---- | M] (shbox.de) -- C:\Program Files\FreePDF_XP\fpassist.exe
PRC - [2009.12.22 00:08:39 | 000,814,344 | ---- | M] (ABBYY) -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
PRC - [2009.06.25 03:13:00 | 001,381,120 | ---- | M] (MJMSoft Design Limited) -- D:\util\KeyText\KeyText.exe
PRC - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
PRC - [2008.08.07 10:17:30 | 000,575,488 | ---- | M] (Nokia.) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe
PRC - [2008.08.05 13:11:04 | 000,130,560 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
PRC - [2008.08.05 13:10:58 | 000,120,320 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
PRC - [2008.06.20 07:14:00 | 000,200,704 | ---- | M] (Synaptics, Inc.) -- C:\Program Files\Synaptics\SynTP\SynToshiba.exe
PRC - [2008.01.07 16:00:00 | 000,036,864 | ---- | M] (Creative Technology Ltd.) -- C:\Windows\OEM13Mon.exe
PRC - [2006.11.03 09:56:28 | 000,920,576 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2006.10.09 11:56:34 | 001,650,688 | ---- | M] (Webshots.com) -- C:\PROGRA~2\Webshots\Webshots.scr
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.25 21:17:20 | 000,445,136 | ---- | M] () -- C:\Util\PhraseExpress\PhraseExpress_neu\pexlang.dll
MOD - [2012.12.21 17:57:44 | 000,276,984 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\phonon4.dll
MOD - [2012.12.21 17:57:44 | 000,093,176 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\qjson.dll
MOD - [2012.12.21 17:57:28 | 002,653,176 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtXmlPatterns4.dll
MOD - [2012.12.21 17:57:28 | 000,364,536 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtXml4.dll
MOD - [2012.12.21 17:57:26 | 011,166,712 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtWebKit4.dll
MOD - [2012.12.21 17:57:24 | 000,206,328 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtSql4.dll
MOD - [2012.12.21 17:57:22 | 001,347,064 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtScript4.dll
MOD - [2012.12.21 17:57:22 | 001,014,776 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtNetwork4.dll
MOD - [2012.12.21 17:57:22 | 000,720,888 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtOpenGL4.dll
MOD - [2012.12.21 17:57:20 | 008,507,384 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtGui4.dll
MOD - [2012.12.21 17:57:20 | 000,520,696 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtMultimediaKit1.dll
MOD - [2012.12.21 17:57:18 | 002,481,144 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtDeclarative4.dll
MOD - [2012.12.21 17:57:18 | 002,354,168 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtCore4.dll
MOD - [2012.12.21 17:57:14 | 000,446,456 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\sqldrivers\qsqlite4.dll
MOD - [2012.12.21 17:57:10 | 000,207,352 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qjpeg4.dll
MOD - [2012.12.21 17:57:10 | 000,035,832 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qico4.dll
MOD - [2012.12.21 17:57:08 | 000,033,272 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qgif4.dll
MOD - [2012.12.21 17:56:40 | 000,438,264 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\NService.dll
MOD - [2012.12.21 17:56:00 | 000,606,200 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\CommonUpdateChecker.dll
MOD - [2012.12.21 15:29:52 | 000,391,600 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\ssoengine.dll
MOD - [2012.12.21 15:29:52 | 000,059,280 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\securestorage.dll
MOD - [2012.12.21 15:29:14 | 000,110,080 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\mediaservice\dsengine.dll
MOD - [2011.07.11 11:33:54 | 000,565,248 | ---- | M] () -- C:\Program Files\Common Files\BCL Technologies\PixelPlanet6\bepprint.dll
MOD - [2009.06.25 03:13:00 | 000,054,016 | ---- | M] () -- D:\util\KeyText\KeyText2.dll
MOD - [2009.06.25 03:13:00 | 000,054,016 | ---- | M] () -- D:\util\KeyText\KeyText.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.04.12 10:13:49 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.11 10:16:23 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.02.07 13:10:08 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.07.03 18:46:47 | 000,054,784 | ---- | M] (Macrovision) [Auto | Running] -- C:\Windows\System32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA)
SRV - [2012.05.29 14:09:52 | 001,528,672 | ---- | M] (TuneUp Software) [Auto | Running] -- D:\util\TuneUp_2012\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012.05.14 18:26:26 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012.05.14 18:26:26 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012.05.14 18:26:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.14 18:26:26 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.03.05 20:00:35 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2011.06.04 08:53:44 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Nuance\dgnsvc.exe -- (DragonSvc)
SRV - [2009.12.22 00:08:39 | 000,814,344 | ---- | M] (ABBYY) [Auto | Running] -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2008.08.07 10:17:30 | 000,575,488 | ---- | M] (Nokia.) [On_Demand | Running] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.11.03 09:56:28 | 000,920,576 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2013.02.13 10:31:38 | 000,021,624 | ---- | M] (REALiX(tm)) [Kernel | System | Running] -- C:\Windows\System32\drivers\HWiNFO32.SYS -- (HWiNFO32)
DRV - [2012.10.17 13:53:46 | 000,019,072 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2012.07.03 18:46:49 | 000,012,464 | ---- | M] (Macrovision Europe Ltd) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\CDAC15BA.SYS -- (CdaC15BA)
DRV - [2012.05.14 18:26:26 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.14 18:26:26 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.05.08 16:21:42 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- D:\util\TuneUp_2012\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2011.10.11 14:06:12 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.11.20 13:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 13:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 13:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 11:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 10:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 10:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 10:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.07.14 00:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009.04.29 14:37:26 | 000,025,088 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\KMWDFILTER.sys -- (KMWDFILTERx86)
DRV - [2008.05.28 16:01:00 | 000,235,840 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vid.sys -- (OEM13Vid)
DRV - [2008.03.17 10:05:30 | 000,101,632 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007.03.05 09:45:04 | 000,007,424 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vfx.sys -- (OEM13Vfx)
DRV - [2005.11.14 12:28:00 | 000,034,176 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\o2media.sys -- (O2MDRDR)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=1&cf=b22fcfbe-1546-11e1-b19a-002186a9e1d9
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=kno&s={searchTerms}&f=4
IE - HKLM\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\prxtbWinl.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
IE - HKLM\..\SearchScopes\{3E7F8499-CDC7-4466-BCFF-13E744E02226}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=110000&tt=2912_7&babsrc=HP_ss&mntrId=004a281500000000000000234dc50889
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 11 B3 FA 31 89 F7 CB 01  [binary data]
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\prxtbWinl.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - No CLSID value found
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://startsear.ch/?aff=1&src=sp&cf=b22fcfbe-1546-11e1-b19a-002186a9e1d9&q={searchTerms}
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = hxxp://start.facemoods.com/?a=kno&s={searchTerms}&f=4
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=110000&tt=2912_7&babsrc=SP_ss&mntrId=004a281500000000000000234dc50889
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = hxxp://www.mystart.com/search_w.php?fr=chr-vmn&type=facesmo2_0msch&q={searchTerms}
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{3E7F8499-CDC7-4466-BCFF-13E744E02226}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "https://www.google.de/"
FF - prefs.js..extensions.enabledAddons: ffxtlbra%40softonic.com:1.6.0
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nokia.com/EnablerPlugin: C:\Program Files\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll ( )
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpplugin;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.12.01 22:06:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.12.01 22:06:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Users\GT\AppData\Local\Mozilla Firefox\components [2012.11.17 15:00:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.01.18 19:50:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.01.01 12:31:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2009.12.28 12:07:15 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\finder@meingutscheincode.de: C:\Program Files\Mein Gutscheincode Finder\Firefox [2011.06.12 17:52:52 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.01.18 19:50:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.01.01 12:31:39 | 000,000,000 | ---D | M]
 
[2011.04.02 19:34:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\GT\AppData\Roaming\mozilla\Extensions
[2012.10.23 18:45:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\GT\AppData\Roaming\mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\extensions
[2012.10.21 18:53:45 | 000,000,000 | ---D | M] (softonic.com) -- C:\Users\GT\AppData\Roaming\mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\extensions\ffxtlbra@softonic.com
[2013.04.12 10:13:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.04.12 10:13:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013.04.12 10:13:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.04.12 10:13:49 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.05.28 08:34:23 | 000,129,144 | ---- | M] (RealPlayer) -- C:\Program Files\mozilla firefox\plugins\nprpplugin.dll
[2011.10.03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2013.04.05 14:35:17 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.07.16 20:11:09 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2013.04.05 14:35:17 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2013.04.05 14:35:17 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.10.29 20:12:14 | 000,002,185 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\facesmoochtb.xml
[2011.04.16 11:01:29 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchkno.xml
[2013.04.05 14:35:17 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.04.05 14:35:17 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.04.05 14:35:17 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://startsear.ch/?aff=1&cf=b22fcfbe-1546-11e1-b19a-002186a9e1d9
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll
CHR - plugin: RealNetworks(tm) RealPlayer Chrome Background Extension Plug-In (32-bit)  (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll
CHR - plugin: RealPlayer(tm) HTML5VideoShim Plug-In (32-bit)  (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\pdf.dll
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.1_0\BabylonChromePI.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprjplug.dll
CHR - plugin: NPCIG.dll (Enabled) = C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: Babylon Chrome OCR = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.1_0\
CHR - Extension: Facemoods = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihflimipbcaljfnojhhknppphnnciiif\1.4.0_0\
CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.4_0\
CHR - Extension: preisspion.de = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgfpelakfkbbkkdchaaaknckhoadkcbo\3.0.2_0\
CHR - Extension: Winload = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngnjhfpfhadncgafgbneeljaginimmmk\2.0.1.4_0\
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Mein Gutscheincode Finder zeigt automatisch Shopping-Gutscheine an mit denen Sie beim Online-Einkauf sparen können.) - {1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - C:\Program Files\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll (Conversion One GmbH)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\prxtbWinl.dll (Conduit Ltd.)
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files\Softonic\Softonic\1.6.7.4\bh\Softonic.dll (Softonic.com)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (NCH EN Toolbar) - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {3c490bf5-4244-4310-b4a7-3361f288dac5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files\Softonic\Softonic\1.6.7.4\SoftonicTlbr.dll (Softonic.com)
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll (facemoods.com)
O3 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\Toolbar\WebBrowser: (NCH EN Toolbar) - {37483B40-C254-4A72-BDA4-22EE90182C1E} - C:\Program Files\NCH_EN\prxtbNCH_.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [OEM13Cfg.exe] C:\Windows\OEM13Cfg.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [OEM13Mon.exe] C:\Windows\OEM13Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [PixelPlanet PdfPrinter-Monitor] C:\Program Files\Common Files\PixelPlanet\PdfPrinter 6\PdfPrinterMonitor.exe (PixelPlanet GmbH)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: []  File not found
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [Driver Whiz] C:\Program Files\Driver Whiz\Driver Whiz\DriverWhiz.exe (PC Drivers Headquarters)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [ISUSPM] C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe (Acresso Corporation)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup                                                                                                                                                                                                                File not found
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe (Nokia)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\KeyText.exe - Verknüpfung.lnk = D:\util\KeyText\KeyText.exe (MJMSoft Design Limited)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Portable_ac'tivAid.exe - Verknüpfung.lnk = C:\Util\ac'tivAid\Portable_ac'tivAid.exe ()
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Corporation)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk = C:\Programme\Webshots\Launcher.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..Trusted Domains: dell.com ([]* in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{767D5843-991D-4129-B61E-EEBFEC690C41}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O27 - HKLM IFEO\carmorganizer.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\clipbook.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\convutil.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\driverwhiz.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\isuspm.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\natspeak.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\ps120.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\registration.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\ua120.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\upgrade.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wpldes12.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wpwin12.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wt12sptlde.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2010.09.13 20:19:54 | 000,618,945 | ---- | M] () - F:\Autoruns.zip -- [ FAT32 ]
O33 - MountPoints2\{3e8a0c50-b501-11e0-a158-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{3e8a0c50-b501-11e0-a158-002186a9e1d9}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{645b3817-e8e1-11e0-804f-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{645b3817-e8e1-11e0-804f-002186a9e1d9}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{645b381e-e8e1-11e0-804f-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{645b381e-e8e1-11e0-804f-002186a9e1d9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{bd0be42a-5d4e-11e0-9510-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{bd0be42a-5d4e-11e0-9510-806e6f6e6963}\Shell\AutoRun\command - "" = E:\start.exe
O33 - MountPoints2\{c587f5d1-6f3c-11e1-aaf9-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{c587f5d1-6f3c-11e1-aaf9-002170baeb11}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{d5f826ab-6833-11e1-bfae-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{d5f826ab-6833-11e1-bfae-002170baeb11}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d5f826af-6833-11e1-bfae-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{d5f826af-6833-11e1-bfae-002170baeb11}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.24 12:40:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
[2013.04.24 11:38:21 | 000,000,000 | ---D | C] -- C:\Users\GT\Desktop\Antiviren_Dateien
[2013.04.24 10:59:36 | 000,000,000 | ---D | C] -- C:\FRST
[2013.04.23 18:05:06 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.04.12 10:13:45 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2013.04.12 00:25:34 | 002,347,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.04.12 00:24:40 | 003,968,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2013.04.12 00:24:40 | 000,038,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2013.04.12 00:24:39 | 003,913,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2013.04.12 00:24:02 | 000,131,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\aaclient.dll
[2013.04.12 00:24:02 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tsgqec.dll
[2013.04.12 00:22:56 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.04.12 00:22:55 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.04.12 00:22:54 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.04.12 00:22:54 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.04.12 00:22:54 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.04.12 00:22:53 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.04.12 00:22:53 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.04.12 00:22:52 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.03.29 12:46:24 | 000,000,000 | ---D | C] -- C:\Users\GT\AppData\Local\Programs
[2013.03.26 09:21:44 | 000,015,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\usb8023.sys
[2013.03.25 13:11:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MozBackup
[2013.03.25 13:11:11 | 000,000,000 | ---D | C] -- C:\Program Files\MozBackup
[2013.03.25 13:10:14 | 000,000,000 | ---D | C] -- C:\Users\GT\AppData\Roaming\RealNetworks
[2 C:\Users\GT\Documents\*.tmp files -> C:\Users\GT\Documents\*.tmp -> ]
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.24 12:50:19 | 000,014,864 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.24 12:50:19 | 000,014,864 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.24 12:42:59 | 000,001,086 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.04.24 12:42:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.24 12:42:21 | 1603,084,288 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.24 12:24:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.04.24 12:17:00 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.04.24 11:47:11 | 293,936,921 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.04.23 18:33:58 | 000,377,856 | ---- | M] () -- C:\Users\GT\Desktop\gmer_2.1.19163.exe
[2013.04.23 17:30:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
[2013.04.21 21:37:01 | 000,654,400 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.21 21:37:01 | 000,616,242 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.21 21:37:01 | 000,130,240 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.21 21:37:01 | 000,106,622 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.21 21:34:18 | 000,000,983 | ---- | M] () -- C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk
[2013.04.16 11:40:04 | 046,597,554 | ---- | M] () -- C:\Users\GT\Documents\SteganosSafe_B4.sef
[2013.04.16 11:34:05 | 966,556,158 | ---- | M] () -- C:\Users\GT\Documents\SteganosSafe_V4.sef
[2013.04.15 23:55:34 | 000,032,256 | ---- | M] () -- C:\Users\GT\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.04.15 15:52:43 | 000,002,187 | ---- | M] () -- C:\Users\Public\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.04.12 09:29:37 | 000,594,640 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.04.11 10:16:23 | 000,691,592 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2013.04.11 10:16:23 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2013.03.29 12:47:19 | 000,000,977 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PhraseExpress.lnk
[2013.03.28 14:47:51 | 000,001,357 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2013.03.25 13:11:12 | 000,000,985 | ---- | M] () -- C:\Users\Public\Desktop\MozBackup.lnk
[2 C:\Users\GT\Documents\*.tmp files -> C:\Users\GT\Documents\*.tmp -> ]
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.24 11:50:49 | 000,377,856 | ---- | C] () -- C:\Users\GT\Desktop\gmer_2.1.19163.exe
[2013.04.24 11:47:11 | 293,936,921 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.04.16 11:38:38 | 046,597,554 | ---- | C] () -- C:\Users\GT\Documents\SteganosSafe_B4.sef
[2013.03.29 12:47:19 | 000,000,977 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PhraseExpress.lnk
[2013.03.25 13:11:12 | 000,000,985 | ---- | C] () -- C:\Users\Public\Desktop\MozBackup.lnk
[2012.07.17 15:12:50 | 000,160,768 | ---- | C] () -- C:\Windows\MGXCLEAN.EXE
[2012.06.27 00:26:27 | 000,025,023 | ---- | C] () -- C:\Users\GT\.recently-used.xbel
[2012.05.09 16:43:08 | 000,002,052 | ---- | C] () -- C:\ProgramData\regid.1996-01.de.pixelplanet_CB8E6973-82E1-4437-B8BA-905FCDC7148C.swidtag
[2012.01.17 20:45:39 | 000,100,045 | ---- | C] () -- C:\Users\GT\AppData\Roaming\Scribe.dmp
[2011.12.18 18:31:37 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2011.12.18 18:31:36 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2011.11.20 17:02:05 | 000,033,134 | ---- | C] () -- C:\Users\GT\AppData\Roaming\UserTile.png
[2011.07.21 09:56:19 | 000,823,808 | ---- | C] () -- C:\Windows\System32\libxml2.dll
[2011.07.21 09:56:19 | 000,081,920 | ---- | C] () -- C:\Windows\System32\xmltok.dll
[2011.07.21 09:56:19 | 000,055,808 | ---- | C] () -- C:\Windows\System32\zlib1.dll
[2011.07.21 09:56:19 | 000,053,248 | ---- | C] () -- C:\Windows\System32\xmlparse.dll
[2011.06.23 11:01:12 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.06.20 20:34:09 | 000,032,256 | ---- | C] () -- C:\Users\GT\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.06.10 06:34:52 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2011.05.02 20:37:47 | 000,000,019 | ---- | C] () -- C:\Windows\SoundConverter.INI
[2011.04.09 18:28:57 | 000,001,915 | ---- | C] () -- C:\Users\GT\AppData\Roaming\SAS7_000.DAT
[2011.04.02 22:00:51 | 000,061,678 | ---- | C] () -- C:\Users\GT\AppData\Roaming\PFP120JPR.{PB
[2011.04.02 22:00:51 | 000,012,358 | ---- | C] () -- C:\Users\GT\AppData\Roaming\PFP120JCM.{PB
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 249 bytes -> C:\ProgramData\TEMP:D48F2BA9
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:0FF263E8
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:F35A93AD

< End of report >
         

--- --- ---

*************************************Extras.txt:
OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 24.04.2013 12:45:52 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\GT\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,10 Gb Available Physical Memory | 55,26% Memory free
3,98 Gb Paging File | 2,92 Gb Available in Paging File | 73,47% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 70,00 Gb Total Space | 2,97 Gb Free Space | 4,25% Space Free | Partition Type: NTFS
Drive D: | 78,95 Gb Total Space | 22,76 Gb Free Space | 28,83% Space Free | Partition Type: NTFS
Drive F: | 14,83 Gb Total Space | 2,16 Gb Free Space | 14,54% Space Free | Partition Type: FAT32
 
Computer Name: GT-PC | User Name: GT | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_USERS\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [Digital Photo Professional] -- C:\Program Files\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0351947C-FB8F-4C1D-9195-AB3F0CD8CB13}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{078FF061-3F85-4A70-B60A-0B5954BCAAB4}" = lport=139 | protocol=6 | dir=in | app=system | 
"{17829B84-0B9C-4B51-8202-DABF244D89A8}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{1E07A113-BC26-4F6F-B57B-6F487F9B55ED}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office14\outlook.exe | 
"{2A934E51-A6D8-474B-8DE1-F04212B4DC03}" = lport=138 | protocol=17 | dir=in | app=system | 
"{3320BD02-E115-43BE-B5C9-C2C26B0A84A8}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{352F7BEA-6C0D-4886-8597-F68C734C0F06}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{453F0339-1D25-43EE-B0D6-6BE4A093C118}" = rport=137 | protocol=17 | dir=out | app=system | 
"{4AE9455A-C8F9-4F63-8368-2D7F0CE1CB68}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{58F69E7B-210F-4578-A740-9BDCEB2A9D51}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{5BB83C68-A873-4EB6-932E-8783AA136A73}" = rport=138 | protocol=17 | dir=out | app=system | 
"{6FA0DFB5-BFDC-4089-880E-3E993FBA58A2}" = rport=139 | protocol=6 | dir=out | app=system | 
"{76D633CE-7BAE-4741-8855-2EC20150A2A1}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{81C30848-7D29-49F1-B2D8-D2AC5A980EAF}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{9C9EC6B9-A6AB-4F13-B072-B62D882C37B6}" = lport=137 | protocol=17 | dir=in | app=system | 
"{A13297AC-F606-47A7-A64A-64CE9EB23AF7}" = lport=445 | protocol=6 | dir=in | app=system | 
"{A7117D95-7EA5-48FC-8420-04E88E6250F1}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{A9199EAD-78F3-42F3-8951-DD7B5B25D9EC}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{AE88E3F2-0BCB-4EF5-BA9C-1684BAE5EF6B}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{AF14F631-8AA4-40F9-9FB1-A84998036296}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{B2A1F947-605E-47B5-AD94-D75B936036A6}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{BC191D87-FBA0-497C-809E-14CB76492803}" = lport=51001 | protocol=6 | dir=in | name=dragon smart phone server | 
"{C300B417-B42D-4F1E-A3B2-4FDF10393BE6}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{C567E2A8-FF69-46D6-8DE4-FA52EAB32221}" = rport=445 | protocol=6 | dir=out | app=system | 
"{CD5CEE34-87CC-4A37-A52C-802B79F9C4CD}" = lport=51001 | protocol=6 | dir=in | name=dragon smart phone server | 
"{E07650F7-E4CE-410D-97D9-F06FCA4AB24D}" = lport=10243 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1259D602-8A05-49D5-BF11-913D90988EB1}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{14E97A9B-1A6C-4AC2-A985-E462E922721D}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{2168FC82-E9E4-41F5-BB15-0B56E8942BCD}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{282A3A4B-35D7-4801-8D45-422264E93081}" = dir=in | app=c:\program files\nokia\nokia suite\nokiasuite.exe | 
"{2DBADBCA-9612-4A3F-A922-FE810E6E0BD1}" = dir=in | app=c:\program files\nokia\nokia suite\nokiasuite.exe | 
"{35624254-0974-4BC4-92BE-92470D4E70A9}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe | 
"{374BEFA1-CEA6-44DB-AC26-7B76A52BFB0D}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"{424269AB-D7E4-4F49-96CD-D80D111C0013}" = dir=in | app=c:\util\phraseexpress\phraseexpress_neu\phraseexpress.exe | 
"{43C57460-D5F8-4F11-9CCE-EA9CC7FB2034}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{493208FD-3E0E-4C35-9392-E6C88B5745C5}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{4BC3F517-26A2-4F0F-9D7A-C7FC4C631CBC}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{5B5E02E1-D403-469A-A272-ECC26B4B2965}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{66508FA9-8F22-4571-B583-11E787E34B36}" = dir=in | app=c:\program files\nokia\nokia suite\nokiasuite.exe | 
"{6758150C-A5FE-4747-9044-61C34242C5BA}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{71759BE8-06FB-4BBF-A336-73D4C52AB3A6}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe | 
"{74786044-1A99-4946-8871-2C939039C222}" = dir=in | app=c:\util\phraseexpress\phraseexpress_neu\phraseexpress.exe | 
"{764FC1C7-3126-4EC9-952A-07FB7476C028}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{89D48586-87BC-49F8-9CB8-6B1E3939C25C}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{8B4AE272-77B3-4CE9-90FF-94579B84E4C9}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{9005464F-E9A2-4A86-AF43-980CD054F13B}" = dir=in | app=c:\util\phraseexpress\phraseexpress_neu\phraseexpress.exe | 
"{A2441041-B050-4923-82C0-F3C88E76B5AF}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{ADBA913D-A2CA-4EF7-949B-6BE6413BC5DF}" = protocol=6 | dir=out | app=system | 
"{B31567AD-0272-4990-9BDC-B12F1E8F240C}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{B70CCDC1-F45A-43D4-A0D4-91368A0DBFF2}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"{C140DA76-5AB8-4912-8C56-0C90EF1AF3D6}" = dir=in | app=c:\program files\nokia\nokia suite\nokiasuite.exe | 
"{C48FCAF6-4F55-4F79-8A62-4690406D0323}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{D00AF3AF-BCEE-4441-8A64-9916382C8EBC}" = dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe | 
"{D8304720-9A2A-478D-AB06-FF1BC9358579}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{E588FA31-D296-411B-BC55-95315B3C8E20}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"{EB352107-E931-4689-8386-C569CB40AB9F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{F6DB31F1-E042-49D9-BC12-F9AF2F1DD98B}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"{FF55D82C-57E4-4582-AA94-196467C874F5}" = dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"TCP Query User{06B95854-6EC0-4411-89A2-CE9D904D7F5C}C:\util\phraseexpress\phraseexpress.exe" = protocol=6 | dir=in | app=c:\util\phraseexpress\phraseexpress.exe | 
"TCP Query User{48620154-3592-4660-A794-161A24E9D434}C:\program files\java\jre6\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 
"TCP Query User{4BB9CFC9-C4FF-4757-AD48-D064F6583E2E}C:\program files\moozy\webaud.exe" = protocol=6 | dir=in | app=c:\program files\moozy\webaud.exe | 
"TCP Query User{55F04ECF-016C-438C-9C17-9C77AECB5708}C:\users\gt\downloads\phraseexpress_usb\phraseexpress.exe" = protocol=6 | dir=in | app=c:\users\gt\downloads\phraseexpress_usb\phraseexpress.exe | 
"TCP Query User{60905185-A501-4680-8E8F-12D642344D78}C:\program files\java\jre1.6.0_01\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre1.6.0_01\bin\javaw.exe | 
"TCP Query User{75ACABDD-2FBA-45E7-9384-612AFCC311B0}C:\program files\imesh applications\imesh\imesh.exe" = protocol=6 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"TCP Query User{787FA766-6A61-416A-95B0-B55B140B2CBB}C:\util\phraseexpress\phraseexpress.exe" = protocol=6 | dir=in | app=c:\util\phraseexpress\phraseexpress.exe | 
"UDP Query User{39870F02-936D-4337-93D6-4DBD2D36FF15}C:\util\phraseexpress\phraseexpress.exe" = protocol=17 | dir=in | app=c:\util\phraseexpress\phraseexpress.exe | 
"UDP Query User{570A967A-CE15-4BA9-9BED-6DDADB3FE2E9}C:\program files\java\jre1.6.0_01\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre1.6.0_01\bin\javaw.exe | 
"UDP Query User{67060D3B-C0DC-4CCB-98A6-4611921B0326}C:\users\gt\downloads\phraseexpress_usb\phraseexpress.exe" = protocol=17 | dir=in | app=c:\users\gt\downloads\phraseexpress_usb\phraseexpress.exe | 
"UDP Query User{792C9100-E2FA-4345-82FE-31A27EAD8863}C:\program files\java\jre6\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\javaw.exe | 
"UDP Query User{AF8191B4-516D-4912-92FC-F8E10EFB9DAB}C:\program files\imesh applications\imesh\imesh.exe" = protocol=17 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"UDP Query User{E8C4CDE4-44A5-415E-BD0E-47BE3E5E9B92}C:\util\phraseexpress\phraseexpress.exe" = protocol=17 | dir=in | app=c:\util\phraseexpress\phraseexpress.exe | 
"UDP Query User{EF041B88-F5AB-4149-9CF3-12F2B29CE413}C:\program files\moozy\webaud.exe" = protocol=17 | dir=in | app=c:\program files\moozy\webaud.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01517A48-9217-431B-821C-F89F53918E3D}" = PdfGrabber 7.0 (32bit)
"{0B540DA4-41AE-4B79-BEAB-0F07E09669AB}" = Driver Whiz
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ2412" = CanoScan LiDE 90
"{14DC0059-00F1-4F62-BD1A-AB23CD51A95E}" = Adobe AIR
"{1E05CF2E-BF5F-4A43-9147-2CCBBE57BC3C}_is1" = Mein Gutscheincode Finder 1.0.0.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20BFD848-897A-48BB-97A7-CDB5A8D4719E}" = WordPerfect Office 12
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{2E016D9C-0876-4660-98E0-03BC07B4FFCD}" = Gedächtnisrallye
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E8A20E1-223F-11E2-9116-B8AC6F98CCE3}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A5A427F-BA39-4BF0-9999-9A47FBE60C9F}" = Visual C++ 9.0 Runtime for Dragon NaturallySpeaking
"{4A5A427F-BA39-4BF0-9A47-9999FBE60C9F}" = Visual C++ Runtime for Dragon NaturallySpeaking
"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.2
"{50DD347D-AE3C-78A6-168D-E836D5333BED}" = Prezi Desktop
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{5783F2D7-0204-040A-0002-0060B0CE6BBA}" = Autodesk Architectural Desktop 2004
"{5F30715C-3B02-4096-A9EB-1D9CD8B51D90}" = MR97316
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B722793-E77B-41F5-BAB3-6C9832274E75}" = PC Connectivity Solution
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6FE12C01-2FBC-42E2-AEB9-4CA2238C462F}" = Nokia Connectivity Cable Driver
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{866C4563-ED53-43F3-A29D-8BEE2BD1BA3C}" = Nokia PC Suite
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{87A9A094-22A8-4F8A-9B7D-03D7CA48CE15}_is1" = FotoMorph version 13.7
"{8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763}" = iMesh
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.SingleImage_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.SingleImage_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.SingleImage_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.SingleImage_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.SingleImage_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.SingleImage_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{96A9A1C8-FBAD-4703-ABF1-E93AA8FE85A0}_is1" = Artweaver Free 3.1
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{AEB61F7A-4BBA-4292-A096-7893E09034A4}" = Steuer-Spar-Erklärung 2013
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B8E88489-A304-45F1-9717-242035DE167D}" = PixelPlanet PdfPrinter 6 (32bit)
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools
"{E3A0C45A-7EDB-48EB-AB86-2445E74FBFBB}" = Nokia Suite
"{E3B64CC5-C011-40C0-92BC-7316CD5E5688}" = Microsoft_VC100_CRT_SP1_x86
"{ec4b6105-e039-42fb-8e18-c8aa393f0018}_is1" = VshareComplete
"{EFFA53BC-8C04-2E21-3D90-A13B1697B0CA}" = Dragon NaturallySpeaking 11
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1000000-0001-0000-0000-074957833700}" = ABBYY FineReader 10 Professional Edition
"{FD27D456-ED8A-4027-A1E4-BBF95FAF4799}" = Easy Driver Pro
"17D063A0A9F5D5A225B76B1D9BCB5ADBE85C8382" = Windows-Treiberpaket - Nokia pccsmcfd “LegacyDriver”  (05/31/2012 7.1.2.0)
"72A50F48CC5601190B9C4E74D81161693133E7F7" = Windows-Treiberpaket - Nokia Modem  (02/25/2011 7.01.0.9)
"7-PDF Split & Merge_is1" = 7-PDF Split & Merge Version 2.0.4 (Build 112)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Adressen_is1" = Alltags-Adressen
"Autodesk Express Viewer" = Autodesk Express Viewer
"Avira AntiVir Desktop" = Avira Antivirus Premium 2012
"AVS DVD Copy_is1" = AVS DVD Copy version 4.1.1
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVSCoverEditor2_is1" = AVS Cover Editor 2.0.1.3
"BackUp Maker_is1" = BackUp Maker v6.4
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CanonSolutionMenu" = Canon Utilities Solution Menu
"Cartoon Maker_is1" = Cartoon Maker 6.01
"CdaC13Ba" = SafeCast Shared Components
"CianoplanPDF" = CianoplanPDF
"com.prezi.PreziDesktop" = Prezi Desktop
"conduitEngine" = Conduit Engine
"Creative OEM013" = Laptop Integrated Webcam Driver (1.01.01.0529)  
"Digitale Bibliothek 4" = Digitale Bibliothek 4
"DPP" = Canon Utilities Digital Photo Professional 3.8
"Duplicate Cleaner Free" = Duplicate Cleaner Free 3.0.1
"E0AC723A3DE3A04256288CADBBB011B112AED454" = Windows-Treiberpaket - Nokia Modem  (02/25/2011 4.7)
"facemoods" = Facemoods Toolbar
"Fotowall" = Fotowall 0.9
"FreeCommander_is1" = FreeCommander 2009.02b
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HWiNFO32_is1" = HWiNFO32 Version 4.06
"IrfanView" = IrfanView (remove only)
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mobile Partner" = Mobile Partner
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"MozBackup" = MozBackup 1.5.1
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"Mozilla Firefox 20.0.1 (x86 de)" = Mozilla Firefox 20.0.1 (x86 de)
"Mozilla Thunderbird 17.0.4 (x86 de)" = Mozilla Thunderbird 17.0.4 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MP Navigator EX 1.0" = Canon MP Navigator EX 1.0
"NCH_EN Toolbar" = NCH EN Toolbar
"Nokia PC Suite" = Nokia PC Suite
"Nokia Suite" = Nokia Suite
"Notizen_is1" = Alltags-Notizen
"Office14.SingleImage" = Microsoft Office Home and Student 2010
"pdfsam" = pdfsam
"PhotoStitch" = Canon Utilities PhotoStitch
"PhraseExpress_is1" = PhraseExpress v9.1.17
"Planer_is1" = Alltags-Planer
"RealPlayer 15.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SmartSuite V98.0" = Lotus SmartSuite Version 9
"Softonic" = Softonic toolbar  on IE
"Steganos20d" = Steganos II Security Suite (Deutsch)
"Sweet Home 3D_is1" = Sweet Home 3D version 3.7
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Tagebuch_is1" = Alltags-Tagebuch
"Taskbar Pinner" = Taskbar Pinner 1.0
"TreeSize Free_is1" = TreeSize Free V2.5
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"TVWiz" = Intel(R) TV Wizard
"Untis 2013" = Untis 2013
"VLC media player" = VLC media player 1.1.11
"vShare.tv plugin" = vShare.tv plugin 1.3
"Webshots Desktop_is1" = Webshots Desktop
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"9204f5692a8faf3b" = Dell System Detect
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 21.04.2013 14:00:06 | Computer Name = GT-PC | Source = Windows Backup | ID = 4103
Description = 
 
Error - 21.04.2013 17:19:10 | Computer Name = GT-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\util\freecommander\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "d:\util\freecommander\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
Error - 21.04.2013 17:20:09 | Computer Name = GT-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Util\Nokia_PC_Suite\Nokia
 PC Suite 7\TIS_Windows7PIM.dll".  Die abhängige Assemblierung "Microsoft.VC80.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.04.2013 03:52:00 | Computer Name = GT-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\util\freecommander\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "d:\util\freecommander\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
Error - 22.04.2013 03:52:24 | Computer Name = GT-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Util\Nokia_PC_Suite\Nokia
 PC Suite 7\TIS_Windows7PIM.dll".  Die abhängige Assemblierung "Microsoft.VC80.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 23.04.2013 12:43:45 | Computer Name = GT-PC | Source = Application Hang | ID = 1002
Description = Programm OTL.exe, Version 3.2.69.0 kann nicht mehr unter Windows ausgeführt
 werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 1128    Startzeit:
 01ce40400eb70e6a    Endzeit: 7    Anwendungspfad: C:\Users\GT\Downloads\OTL.exe    Berichts-ID:
   
 
Error - 23.04.2013 12:49:53 | Computer Name = GT-PC | Source = Application Hang | ID = 1002
Description = Programm OTL.exe, Version 3.2.69.0 kann nicht mehr unter Windows ausgeführt
 werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 454    Startzeit: 
01ce4041e4cd05c1    Endzeit: 8    Anwendungspfad: C:\Users\AK\Desktop\OTL.exe    Berichts-ID:
   
 
Error - 23.04.2013 13:36:21 | Computer Name = GT-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 20.0.1.4847,
 Zeitstempel: 0x51650aee  Name des fehlerhaften Moduls: xul.dll, Version: 20.0.1.4847,
 Zeitstempel: 0x51650a09  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000b10e8  ID des fehlerhaften
 Prozesses: 0xbe0  Startzeit der fehlerhaften Anwendung: 0x01ce4045abdbbcd9  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe  Pfad des fehlerhaften
 Moduls: C:\Program Files\Mozilla Firefox\xul.dll  Berichtskennung: 4f236d9d-ac3c-11e2-9fce-002186a9e1d9
 
Error - 23.04.2013 15:10:43 | Computer Name = GT-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\util\freecommander\DelZip179.dll".
 Fehler in Manifest- oder Richtliniendatei "d:\util\freecommander\DelZip179.dll"
 in Zeile 8.  Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist
 ungültig.
 
Error - 23.04.2013 15:11:43 | Computer Name = GT-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Util\Nokia_PC_Suite\Nokia
 PC Suite 7\TIS_Windows7PIM.dll".  Die abhängige Assemblierung "Microsoft.VC80.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 23.04.2013 17:02:49 | Computer Name = GT-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Explorer.EXE, Version: 6.1.7601.17567,
 Zeitstempel: 0x4d6727a7  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.17725,
 Zeitstempel: 0x4ec49b60  Ausnahmecode: 0xc0000420  Fehleroffset: 0x000c380b  ID des fehlerhaften
 Prozesses: 0x1284  Startzeit der fehlerhaften Anwendung: 0x01ce4065e0cd5238  Pfad der
 fehlerhaften Anwendung: C:\Windows\Explorer.EXE  Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll
Berichtskennung:
 2743a448-ac59-11e2-9fce-002186a9e1d9
 
[ System Events ]
Error - 23.04.2013 13:40:21 | Computer Name = GT-PC | Source = BTHUSB | ID = 327696
Description = Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter
 und einem Gerät mit Bluetooth-Adapteradresse (00:1a:89:c7:bc:15) ist fehlgeschlagen.
 
Error - 23.04.2013 13:42:07 | Computer Name = GT-PC | Source = BTHUSB | ID = 327696
Description = Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter
 und einem Gerät mit Bluetooth-Adapteradresse (00:1a:89:c7:bc:15) ist fehlgeschlagen.
 
Error - 23.04.2013 15:32:13 | Computer Name = GT-PC | Source = DCOM | ID = 10010
Description = 
 
Error - 24.04.2013 06:29:02 | Computer Name = GT-PC | Source = Service Control Manager | ID = 7043
Description = Der Dienst Gruppenrichtlinienclient konnte nach dem Empfang eines 
Preshutdown-Steuerelements nicht richtig heruntergefahren werden.
 
Error - 24.04.2013 06:43:45 | Computer Name = GT-PC | Source = BTHUSB | ID = 327696
Description = Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter
 und einem Gerät mit Bluetooth-Adapteradresse (00:1a:89:c7:bc:15) ist fehlgeschlagen.
 
Error - 24.04.2013 06:45:00 | Computer Name = GT-PC | Source = BTHUSB | ID = 327696
Description = Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter
 und einem Gerät mit Bluetooth-Adapteradresse (00:1a:89:c7:bc:15) ist fehlgeschlagen.
 
Error - 24.04.2013 06:47:17 | Computer Name = GT-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?24.?04.?2013 um 11:45:55 unerwartet heruntergefahren.
 
Error - 24.04.2013 06:47:26 | Computer Name = GT-PC | Source = BugCheck | ID = 1005
Description = 
 
Error - 24.04.2013 06:47:26 | Computer Name = GT-PC | Source = BugCheck | ID = 1001
Description = 
 
Error - 24.04.2013 06:55:43 | Computer Name = GT-PC | Source = BTHUSB | ID = 327696
Description = Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter
 und einem Gerät mit Bluetooth-Adapteradresse (00:1a:89:c7:bc:15) ist fehlgeschlagen.
 
 
< End of report >
         

--- --- ---

*************************************

Noch ein Hinweis: Neben der Netzverbindung und den Virenscannern sollte man beim Laufen von GMER auch den Bildschirmschoner ausschalten, denn (zumindest ist es mir passiert) sonst findet plötzlich ein Neustart des Rechners statt und die gewünschten Datei konnte noch nciht erzeugt werden. Das vielleicht noch als kleiner Tipp für die Zukunft, wenn Du auch noch anderen helfen willst / kannst...

Auf jeden Fall schon mal an dieser Stelle ganz herzlichen Dank für die Hilfe - ich fühl mich nun wieder wesentlich besser...

Noch eine Frage: Beim Durchlaufen von GMER vor allem hab ich gemerkt, wie viele (inzwischen sicher völlig unnütze) Dateien in dem Verzeichnis "Temporary Internet Files" herumliegen. Wie kann man die denn eigentlich löschen (denn der direkte Zugriff wird mir nicht gestattet)? Hast Du da auch noch einen Tipp für mich?

Gibt's noch was zu den neuen 3 Dateien zu sagen als Fachmann-Interpretation?

VG
Gottfried.

Hallo Gottfried,

Zitat:

Beim Durchlaufen von GMER vor allem hab ich gemerkt, wie viele (inzwischen sicher völlig unnütze) Dateien in dem Verzeichnis "Temporary Internet Files" herumliegen. Wie kann man die denn eigentlich löschen

Das werden wir auch noch erledigen hier.
Und zum Schluss geb ich dir dann auch noch einen Tipp mit, wie du das in Zukunft selbst ganz einfach machen kannst.


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • Conduit Engine
  • Facemoods Toolbar
  • Softonic toolbar on IE
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von OTL

Zitat:

Zitat von aharonov

Hallo Gottfried,


Das werden wir auch noch erledigen hier.
Und zum Schluss geb ich dir dann auch noch einen Tipp mit, wie du das in Zukunft selbst ganz einfach machen kannst.


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
• Suche und deinstalliere dort der Reihe nach folgende Einträge:
  • Conduit Engine
  • Facemoods Toolbar
  • Softonic toolbar on IE
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

*****************************
Alles erledigt!
*****************************
Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

*********************************AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.202 - Datei am 26/04/2013 um 16:26:00 erstellt
# Aktualisiert am 23/04/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : GT - GT-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\GT\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll
Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage
Gelöscht mit Neustart : C:\Users\AK\Inbox
Ordner Gelöscht : C:\Program Files\Babylon
Ordner Gelöscht : C:\Program Files\Mein Gutscheincode Finder
Ordner Gelöscht : C:\Program Files\Moozy
Ordner Gelöscht : C:\Program Files\NCH_EN
Ordner Gelöscht : C:\Program Files\vShare.tv plugin
Ordner Gelöscht : C:\Program Files\VshareComplete
Ordner Gelöscht : C:\Program Files\Winload
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\Users\AK\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\AK\AppData\LocalLow\ConduitEngine
Ordner Gelöscht : C:\Users\AK\AppData\LocalLow\facemoods.com
Ordner Gelöscht : C:\Users\AK\AppData\LocalLow\NCH_EN
Ordner Gelöscht : C:\Users\GT\AppData\Local\Babylon
Ordner Gelöscht : C:\Users\GT\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Ordner Gelöscht : C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihflimipbcaljfnojhhknppphnnciiif
Ordner Gelöscht : C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngnjhfpfhadncgafgbneeljaginimmmk
Ordner Gelöscht : C:\Users\GT\AppData\Local\PackageAware
Ordner Gelöscht : C:\Users\GT\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\GT\AppData\LocalLow\facemoods.com
Ordner Gelöscht : C:\Users\GT\AppData\LocalLow\NCH_EN
Ordner Gelöscht : C:\Users\GT\AppData\LocalLow\Softonic
Ordner Gelöscht : C:\Users\GT\AppData\LocalLow\Winload
Ordner Gelöscht : C:\Users\GT\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\GT\AppData\Roaming\Mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\extensions\ffxtlbra@softonic.com
Ordner Gelöscht : C:\Users\GT\AppData\Roaming\VshareComplete

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\NCH_EN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Winload
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gelöscht : HKCU\Software\Babylon
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486B-A045-B233BD0DA8FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Schlüssel Gelöscht : HKCU\Software\StartSearch
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\Software\BabylonToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FC41815-FA4C-4F8B-B143-2C045C8EA2FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{21493C1F-D071-496A-9C27-450578888291}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{403A885F-CB00-40C1-BDC1-EB09053194F7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{55C1727F-5535-4C2A-9601-8C2458608B48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\DiscoveryHelper.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GIFAnimator.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\IMTrProgress.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\IMWeb.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{125B7A09-B405-46FB-95FB-96CF6B72992D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2656B92B-0207-4AFB-BEBF-F5FD231ECD39}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{34CB0620-E343-4772-BBA8-D3074BC47516}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{412CD209-DDA4-4275-8C79-55F1C93FBD47}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{59570C1F-B692-48C9-91B4-7809E6945287}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{63A0F7FA-2C95-4D7E-AF25-EFCC303D20A1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6559E502-6EE1-46B8-A83C-F3A45BDA23EE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6AC0BB10-C922-45E2-857D-2A368FE749E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{866D6474-DB36-461F-8D94-6340D5AA4687}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A2858A72-758F-4486-B6A1-7F1DCC0924FA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B6F8DA9F-2696-419E-A8A3-19BE41EF51BD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C63CA8A4-AB4E-49E5-A6C0-33FC86D80205}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C6A7847E-8931-4A9A-B4EF-72A91E3CCF4D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DD0F1D24-E250-4E93-966C-65615720AEFB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EC1277BB-1C71-4C0D-BA6D-BFEA16E773A6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\DiscoveryHelper.iMesh6Discovery
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\DiscoveryHelper.iMesh6Discovery.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\imweb.imwebcontrol
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0194532A-A99C-4337-937E-2A452C8957BE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5E8CD073-21DF-4117-9BBD-D03C45D36CAE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{B7EA2226-F876-4BE4-B478-76EBAE2A668A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{CA1CE38C-F04C-471F-B9F3-083C58165C10}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2736476
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2801948
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{252C2315-CCE0-4446-8DA7-C00292A690BA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{403A885F-CB00-40C1-BDC1-EB09053194F7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{55C1727F-5535-4C2A-9601-8C2458608B48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\ngnjhfpfhadncgafgbneeljaginimmmk
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{332A581F-06BA-4966-9427-31E6C0F64DA9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5AE682FA-FC0C-411E-819C-03CB71D7B418}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EE4CB946-092A-4137-A0A8-C4A686B739D6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F5AA1C63-DCF9-44A4-8165-D9B6751C2F16}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\softonic_ggl_1_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\softonic_ggl_1_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37483B40-C254-4A72-BDA4-22EE90182C1E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{125B7A09-B405-46FB-95FB-96CF6B72992D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{866D6474-DB36-461F-8D94-6340D5AA4687}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424C-BB9F-74C6899B9F92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B6F8DA9F-2696-419E-A8A3-19BE41EF51BD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NCH_EN Toolbar
Schlüssel Gelöscht : HKLM\Software\NCH_EN
Schlüssel Gelöscht : HKLM\Software\SimplyGen
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\Winload
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{3C490BF5-4244-4310-B4A7-3361F288DAC5}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{37483B40-C254-4A72-BDA4-22EE90182C1E}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{40C3CC16-7269-4B32-9531-17F2950FB06F}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16476

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=110000&tt=2912_7&babsrc=HP_ss&mntrId=004a281500000000000000234dc50889 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=kno&s={searchTerms}&f=4 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1&cf=b22fcfbe-1546-11e1-b19a-002186a9e1d9 --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (de)

Datei : C:\Users\GT\AppData\Roaming\Mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\prefs.js

C:\Users\GT\AppData\Roaming\Mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\user.js ... Gelöscht !

Gelöscht : user_pref("extensions.Softonic.admin", false);
Gelöscht : user_pref("extensions.Softonic.aflt", "SD");
Gelöscht : user_pref("extensions.Softonic.autoRvrt", "false");
Gelöscht : user_pref("extensions.Softonic.cntry", "ES");
Gelöscht : user_pref("extensions.Softonic.cv", "cv5");
Gelöscht : user_pref("extensions.Softonic.dfltLng", "de");
Gelöscht : user_pref("extensions.Softonic.dfltlng", "de");
Gelöscht : user_pref("extensions.Softonic.dfltsrch", "false");
Gelöscht : user_pref("extensions.Softonic.envrmnt", "production");
Gelöscht : user_pref("extensions.Softonic.excTlbr", false);
Gelöscht : user_pref("extensions.Softonic.gingeruserid", "69f7928c-647b-44a6-a7db-5843bf8a7999");
Gelöscht : user_pref("extensions.Softonic.hdrMd5", "20025EA1E09FAE2B8EC77A28EC98519D");
Gelöscht : user_pref("extensions.Softonic.hmpg", false);
Gelöscht : user_pref("extensions.Softonic.hrdid", "004a281500000000000000234dc50889");
Gelöscht : user_pref("extensions.Softonic.id", "004a281500000000000000234dc50889");
Gelöscht : user_pref("extensions.Softonic.instlDay", "15634");
Gelöscht : user_pref("extensions.Softonic.instlRef", "MON00015");
Gelöscht : user_pref("extensions.Softonic.instlday", "15634");
Gelöscht : user_pref("extensions.Softonic.instlref", "MON00015");
Gelöscht : user_pref("extensions.Softonic.isdcmntcmplt", false);
Gelöscht : user_pref("extensions.Softonic.keywordurl", "");
Gelöscht : user_pref("extensions.Softonic.lastVrsnTs", "1.6.7.419:17:17");
Gelöscht : user_pref("extensions.Softonic.lastpromotionusagemsgdate", -347977845);
Gelöscht : user_pref("extensions.Softonic.mntrvrsn", "1.3.0");
Gelöscht : user_pref("extensions.Softonic.monitorreport", true);
Gelöscht : user_pref("extensions.Softonic.newTab", false);
Gelöscht : user_pref("extensions.Softonic.newtab", "false");
Gelöscht : user_pref("extensions.Softonic.newtaburl", "");
Gelöscht : user_pref("extensions.Softonic.prdct", "Softonic");
Gelöscht : user_pref("extensions.Softonic.propectorlck", 91725922);
Gelöscht : user_pref("extensions.Softonic.prtnrId", "softonic");
Gelöscht : user_pref("extensions.Softonic.prtnrid", "softonic");
Gelöscht : user_pref("extensions.Softonic.radiomystations", "[{\"id\":\"101\",\"name\":\"Radio Mambo 106 FM\",\[...]
Gelöscht : user_pref("extensions.Softonic.rvrtMsg", "Click Yes to keep current home page and default search set[...]
Gelöscht : user_pref("extensions.Softonic.savedVrsnTs", "1");
Gelöscht : user_pref("extensions.Softonic.sg", "az");
Gelöscht : user_pref("extensions.Softonic.smplGrp", "none");
Gelöscht : user_pref("extensions.Softonic.smplgrp", "none");
Gelöscht : user_pref("extensions.Softonic.srch", "");
Gelöscht : user_pref("extensions.Softonic.srchprvdr", "");
Gelöscht : user_pref("extensions.Softonic.tlbrId", "base");
Gelöscht : user_pref("extensions.Softonic.tlbrSrchUrl", "hxxp://search.softonic.com/MON00015/tb_v1?SearchSource[...]
Gelöscht : user_pref("extensions.Softonic.tlbrid", "base");
Gelöscht : user_pref("extensions.Softonic.tlbrsrchurl", "hxxp://search.softonic.com/MON00015/tb_v1?SearchSource[...]
Gelöscht : user_pref("extensions.Softonic.vrsn", "1.6.7.4");
Gelöscht : user_pref("extensions.Softonic.vrsnTs", "1.6.7.419:17:17");
Gelöscht : user_pref("extensions.Softonic.vrsni", "1.6.7.4");
Gelöscht : user_pref("extensions.Softonic.vrsnts", "1.6.7.419:17:17");
Gelöscht : user_pref("extensions.Softonic_i.newTab", false);
Gelöscht : user_pref("extensions.Softonic_i.smplGrp", "none");
Gelöscht : user_pref("extensions.Softonic_i.vrsnTs", "1.6.7.419:17:17");
Gelöscht : user_pref("extensions.enabledAddons", "ffxtlbra%40softonic.com:1.6.0,%7BCAFEEFAC-0016-0000-0035-ABCD[...]

Datei : C:\Users\AK\AppData\Roaming\Mozilla\Firefox\Profiles\rhda9pgw.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.251] : homepage = "hxxp://startsear.ch/?aff=1&cf=b22fcfbe-1546-11e1-b19a-002186a9e1d9",

*************************

AdwCleaner[S1].txt - [324 octets] - [26/04/2013 16:25:10]
AdwCleaner[S2].txt - [23010 octets] - [26/04/2013 16:26:00]

########## EOF - C:\AdwCleaner[S2].txt - [23071 octets] ##########
         

--- --- ---

*********************************

Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

****************************OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 26.04.2013 16:38:14 - Run 5
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\GT\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 42,90% Memory free
3,98 Gb Paging File | 2,59 Gb Available in Paging File | 65,06% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 70,00 Gb Total Space | 6,48 Gb Free Space | 9,26% Space Free | Partition Type: NTFS
Drive D: | 78,95 Gb Total Space | 20,64 Gb Free Space | 26,15% Space Free | Partition Type: NTFS
 
Computer Name: GT-PC | User Name: GT | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.23 17:30:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
PRC - [2013.03.25 21:17:24 | 014,106,320 | ---- | M] (Bartels Media GmbH) -- C:\Util\PhraseExpress\PhraseExpress_neu\phraseexpress.exe
PRC - [2012.12.21 17:56:44 | 001,090,040 | ---- | M] (Nokia) -- C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe
PRC - [2012.12.19 09:49:12 | 000,149,480 | ---- | M] (Nokia) -- C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.11.30 03:55:25 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.23 03:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2012.09.07 18:37:04 | 008,071,136 | ---- | M] (ASCOMP Software GmbH) -- D:\util\BackUp Maker\bkmaker.exe
PRC - [2012.08.08 18:56:17 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.29 14:09:52 | 001,528,672 | ---- | M] (TuneUp Software) -- D:\util\TuneUp_2012\TuneUpUtilitiesService32.exe
PRC - [2012.05.29 14:09:52 | 001,220,960 | ---- | M] (TuneUp Software) -- D:\util\TuneUp_2012\TuneUpUtilitiesApp32.exe
PRC - [2012.05.14 18:26:26 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
PRC - [2012.05.14 18:26:26 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
PRC - [2012.05.14 18:26:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.14 18:26:26 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.14 18:26:26 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.11.04 15:45:52 | 002,233,912 | ---- | M] (PixelPlanet GmbH) -- C:\Program Files\Common Files\PixelPlanet\PdfPrinter 6\PdfPrinterMonitor.exe
PRC - [2011.06.04 08:53:44 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files\Common Files\Nuance\dgnsvc.exe
PRC - [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2011.02.23 22:19:22 | 000,371,200 | ---- | M] (shbox.de) -- C:\Program Files\FreePDF_XP\fpassist.exe
PRC - [2009.12.22 00:08:39 | 000,814,344 | ---- | M] (ABBYY) -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
PRC - [2009.09.11 17:27:47 | 008,318,056 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2009.06.25 03:13:00 | 001,381,120 | ---- | M] (MJMSoft Design Limited) -- D:\util\KeyText\KeyText.exe
PRC - [2009.02.02 21:57:38 | 000,307,704 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
PRC - [2008.08.07 10:17:30 | 000,575,488 | ---- | M] (Nokia.) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe
PRC - [2008.08.05 13:11:04 | 000,130,560 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
PRC - [2008.08.05 13:10:58 | 000,120,320 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
PRC - [2008.06.20 07:14:00 | 000,200,704 | ---- | M] (Synaptics, Inc.) -- C:\Program Files\Synaptics\SynTP\SynToshiba.exe
PRC - [2008.01.07 16:00:00 | 000,036,864 | ---- | M] (Creative Technology Ltd.) -- C:\Windows\OEM13Mon.exe
PRC - [2006.11.03 09:56:28 | 000,920,576 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2006.10.09 11:56:34 | 001,650,688 | ---- | M] (Webshots.com) -- C:\PROGRA~2\Webshots\Webshots.scr
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.04.12 10:13:49 | 003,133,336 | ---- | M] () -- C:\Program Files\Mozilla Firefox\mozjs.dll
MOD - [2013.03.25 21:17:20 | 000,445,136 | ---- | M] () -- C:\Util\PhraseExpress\PhraseExpress_neu\pexlang.dll
MOD - [2012.12.21 17:57:44 | 000,276,984 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\phonon4.dll
MOD - [2012.12.21 17:57:44 | 000,093,176 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\qjson.dll
MOD - [2012.12.21 17:57:28 | 002,653,176 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtXmlPatterns4.dll
MOD - [2012.12.21 17:57:28 | 000,364,536 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtXml4.dll
MOD - [2012.12.21 17:57:26 | 011,166,712 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtWebKit4.dll
MOD - [2012.12.21 17:57:24 | 000,206,328 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtSql4.dll
MOD - [2012.12.21 17:57:22 | 001,347,064 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtScript4.dll
MOD - [2012.12.21 17:57:22 | 001,014,776 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtNetwork4.dll
MOD - [2012.12.21 17:57:22 | 000,720,888 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtOpenGL4.dll
MOD - [2012.12.21 17:57:20 | 008,507,384 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtGui4.dll
MOD - [2012.12.21 17:57:20 | 000,520,696 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtMultimediaKit1.dll
MOD - [2012.12.21 17:57:18 | 002,481,144 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtDeclarative4.dll
MOD - [2012.12.21 17:57:18 | 002,354,168 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\QtCore4.dll
MOD - [2012.12.21 17:57:14 | 000,446,456 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\sqldrivers\qsqlite4.dll
MOD - [2012.12.21 17:57:10 | 000,207,352 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qjpeg4.dll
MOD - [2012.12.21 17:57:10 | 000,035,832 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qico4.dll
MOD - [2012.12.21 17:57:08 | 000,033,272 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\imageformats\qgif4.dll
MOD - [2012.12.21 17:56:40 | 000,438,264 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\NService.dll
MOD - [2012.12.21 17:56:00 | 000,606,200 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\CommonUpdateChecker.dll
MOD - [2012.12.21 15:29:52 | 000,391,600 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\ssoengine.dll
MOD - [2012.12.21 15:29:52 | 000,059,280 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\securestorage.dll
MOD - [2012.12.21 15:29:14 | 000,110,080 | ---- | M] () -- C:\Program Files\Nokia\Nokia Suite\mediaservice\dsengine.dll
MOD - [2011.07.11 11:33:54 | 000,565,248 | ---- | M] () -- C:\Program Files\Common Files\BCL Technologies\PixelPlanet6\bepprint.dll
MOD - [2009.09.11 17:27:44 | 000,030,344 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldappr32v50.dll
MOD - [2009.09.11 17:27:43 | 000,145,032 | ---- | M] () -- C:\Programme\Mozilla Thunderbird\nsldap32v50.dll
MOD - [2009.06.25 03:13:00 | 000,054,016 | ---- | M] () -- D:\util\KeyText\KeyText2.dll
MOD - [2009.06.25 03:13:00 | 000,054,016 | ---- | M] () -- D:\util\KeyText\KeyText.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.04.12 10:13:49 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.11 10:16:23 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.02.07 13:10:08 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.05.29 14:09:52 | 001,528,672 | ---- | M] (TuneUp Software) [Auto | Running] -- D:\util\TuneUp_2012\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012.05.14 18:26:26 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012.05.14 18:26:26 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012.05.14 18:26:26 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.14 18:26:26 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.03.05 20:00:35 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2011.06.04 08:53:44 | 000,296,808 | ---- | M] (Nuance Communications, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Nuance\dgnsvc.exe -- (DragonSvc)
SRV - [2009.12.22 00:08:39 | 000,814,344 | ---- | M] (ABBYY) [Auto | Running] -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2008.08.07 10:17:30 | 000,575,488 | ---- | M] (Nokia.) [On_Demand | Running] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.11.03 09:56:28 | 000,920,576 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2013.02.13 10:31:38 | 000,021,624 | ---- | M] (REALiX(tm)) [Kernel | System | Running] -- C:\Windows\System32\drivers\HWiNFO32.SYS -- (HWiNFO32)
DRV - [2012.10.17 13:53:46 | 000,019,072 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2012.05.14 18:26:26 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.14 18:26:26 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.05.08 16:21:42 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- D:\util\TuneUp_2012\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2011.10.11 14:06:12 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.11.20 13:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 13:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 13:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 11:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 10:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 10:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 10:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.07.14 00:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009.04.29 14:37:26 | 000,025,088 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\KMWDFILTER.sys -- (KMWDFILTERx86)
DRV - [2008.05.28 16:01:00 | 000,235,840 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vid.sys -- (OEM13Vid)
DRV - [2008.03.17 10:05:30 | 000,101,632 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007.03.05 09:45:04 | 000,007,424 | ---- | M] (EyePower Games Pte. Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\OEM13Vfx.sys -- (OEM13Vfx)
DRV - [2005.11.14 12:28:00 | 000,034,176 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\o2media.sys -- (O2MDRDR)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{3E7F8499-CDC7-4466-BCFF-13E744E02226}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 11 B3 FA 31 89 F7 CB 01  [binary data]
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - No CLSID value found
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{3E7F8499-CDC7-4466-BCFF-13E744E02226}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "https://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nokia.com/EnablerPlugin: C:\Program Files\Nokia\Nokia Suite\npNokiaSuiteEnabler.dll ( )
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=15.0.4.53: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpplugin;version=15.0.4.53: c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.12.01 22:06:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2012.12.01 22:06:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.2\extensions\\Components: C:\Users\GT\AppData\Local\Mozilla Firefox\components [2012.11.17 15:00:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.01.18 19:50:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.01.01 12:31:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.4\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2009.12.28 12:07:15 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\finder@meingutscheincode.de: C:\Program Files\Mein Gutscheincode Finder\Firefox
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.01.18 19:50:08 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.01.01 12:31:39 | 000,000,000 | ---D | M]
 
[2011.04.02 19:34:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\GT\AppData\Roaming\mozilla\Extensions
[2013.04.26 16:26:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\GT\AppData\Roaming\mozilla\Firefox\Profiles\z7mbtmap.default-1347304902982\extensions
[2013.04.12 10:13:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.04.12 10:13:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013.04.12 10:13:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.04.12 10:13:49 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.05.28 08:34:23 | 000,129,144 | ---- | M] (RealPlayer) -- C:\Program Files\mozilla firefox\plugins\nprpplugin.dll
[2013.04.05 14:35:17 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2013.04.05 14:35:17 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2013.04.05 14:35:17 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.10.29 20:12:14 | 000,002,185 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\facesmoochtb.xml
[2011.04.16 11:01:29 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchkno.xml
[2013.04.05 14:35:17 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2013.04.05 14:35:17 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2013.04.05 14:35:17 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll
CHR - plugin: RealNetworks(tm) RealPlayer Chrome Background Extension Plug-In (32-bit)  (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll
CHR - plugin: RealPlayer(tm) HTML5VideoShim Plug-In (32-bit)  (Enabled) = C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL
CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\14.0.835.202\pdf.dll
CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.1_0\BabylonChromePI.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nprjplug.dll
CHR - plugin: NPCIG.dll (Enabled) = C:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: RealPlayer HTML5Video Downloader Extension = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfmjfhklogoienhpfnppmbcbjfjnkonk\1.4_0\
CHR - Extension: preisspion.de = C:\Users\GT\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgfpelakfkbbkkdchaaaknckhoadkcbo\3.0.2_0\
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\Toolbar\WebBrowser: (no name) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [OEM13Cfg.exe] C:\Windows\OEM13Cfg.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [OEM13Mon.exe] C:\Windows\OEM13Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [PixelPlanet PdfPrinter-Monitor] C:\Program Files\Common Files\PixelPlanet\PdfPrinter 6\PdfPrinterMonitor.exe (PixelPlanet GmbH)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: []  File not found
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [Driver Whiz] C:\Program Files\Driver Whiz\Driver Whiz\DriverWhiz.exe (PC Drivers Headquarters)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [ISUSPM] C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe (Acresso Corporation)
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup                                                                                                                                                                                                                File not found
O4 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe (Nokia)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\KeyText.exe - Verknüpfung.lnk = D:\util\KeyText\KeyText.exe (MJMSoft Design Limited)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Portable_ac'tivAid.exe - Verknüpfung.lnk = C:\Util\ac'tivAid\Portable_ac'tivAid.exe ()
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Corporation)
O4 - Startup: C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk = C:\Programme\Webshots\Launcher.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..Trusted Domains: dell.com ([]* in Vertrauenswürdige Sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{767D5843-991D-4129-B61E-EEBFEC690C41}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O27 - HKLM IFEO\carmorganizer.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\clipbook.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\convutil.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\driverwhiz.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\isuspm.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\natspeak.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\ps120.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\registration.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\ua120.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\upgrade.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wpldes12.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wpwin12.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O27 - HKLM IFEO\wt12sptlde.exe: Debugger - D:\util\TuneUp_2012\TUAutoReactivator32.exe (TuneUp Software)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{3e8a0c50-b501-11e0-a158-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{3e8a0c50-b501-11e0-a158-002186a9e1d9}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{645b3817-e8e1-11e0-804f-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{645b3817-e8e1-11e0-804f-002186a9e1d9}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{645b381e-e8e1-11e0-804f-002186a9e1d9}\Shell - "" = AutoRun
O33 - MountPoints2\{645b381e-e8e1-11e0-804f-002186a9e1d9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{bd0be42a-5d4e-11e0-9510-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{bd0be42a-5d4e-11e0-9510-806e6f6e6963}\Shell\AutoRun\command - "" = E:\start.exe
O33 - MountPoints2\{c587f5d1-6f3c-11e1-aaf9-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{c587f5d1-6f3c-11e1-aaf9-002170baeb11}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{d5f826ab-6833-11e1-bfae-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{d5f826ab-6833-11e1-bfae-002170baeb11}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d5f826af-6833-11e1-bfae-002170baeb11}\Shell - "" = AutoRun
O33 - MountPoints2\{d5f826af-6833-11e1-bfae-002170baeb11}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.26 16:37:48 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
[2013.04.24 15:51:02 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013.04.24 11:38:21 | 000,000,000 | ---D | C] -- C:\Users\GT\Desktop\Antiviren_Dateien
[2013.04.24 10:59:36 | 000,000,000 | ---D | C] -- C:\FRST
[2013.04.23 18:05:06 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.04.12 10:13:45 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2013.03.29 12:46:24 | 000,000,000 | ---D | C] -- C:\Users\GT\AppData\Local\Programs
[2 C:\Users\GT\Documents\*.tmp files -> C:\Users\GT\Documents\*.tmp -> ]
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.26 16:37:07 | 000,014,864 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.26 16:37:07 | 000,014,864 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.26 16:33:26 | 000,001,086 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.04.26 16:29:20 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.26 16:29:12 | 1603,084,288 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.26 16:26:21 | 000,000,085 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
[2013.04.26 16:24:54 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.04.26 16:24:53 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.04.26 14:55:18 | 000,619,461 | ---- | M] () -- C:\Users\GT\Desktop\adwcleaner.exe
[2013.04.25 07:14:21 | 000,525,264 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.04.24 16:09:18 | 000,032,256 | ---- | M] () -- C:\Users\GT\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.04.24 16:01:23 | 619,767,289 | ---- | M] () -- C:\Users\GT\Documents\SteganosSafe.sef
[2013.04.24 15:52:50 | 000,000,104 | ---- | M] () -- C:\Users\GT\Documents\SteganosSafe_B4_leer.sef
[2013.04.24 13:39:06 | 000,000,983 | ---- | M] () -- C:\Users\GT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk
[2013.04.24 11:47:11 | 293,936,921 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.04.23 17:30:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\GT\Desktop\OTL.exe
[2013.04.21 21:37:01 | 000,654,400 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.21 21:37:01 | 000,616,242 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.21 21:37:01 | 000,130,240 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.21 21:37:01 | 000,106,622 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.16 11:34:05 | 966,556,158 | ---- | M] () -- C:\Users\GT\Documents\SteganosSafe_V4.sef
[2013.04.15 15:52:43 | 000,002,187 | ---- | M] () -- C:\Users\Public\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.03.29 12:47:19 | 000,000,977 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PhraseExpress.lnk
[2013.03.28 14:47:51 | 000,001,357 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[2 C:\Users\GT\Documents\*.tmp files -> C:\Users\GT\Documents\*.tmp -> ]
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.26 16:26:09 | 000,000,085 | ---- | C] () -- C:\Windows\DeleteOnReboot.bat
[2013.04.26 14:56:25 | 000,619,461 | ---- | C] () -- C:\Users\GT\Desktop\adwcleaner.exe
[2013.04.24 11:47:11 | 293,936,921 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.04.16 11:38:38 | 000,000,104 | ---- | C] () -- C:\Users\GT\Documents\SteganosSafe_B4_leer.sef
[2013.03.29 12:47:19 | 000,000,977 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PhraseExpress.lnk
[2012.07.17 15:12:50 | 000,160,768 | ---- | C] () -- C:\Windows\MGXCLEAN.EXE
[2012.06.27 00:26:27 | 000,025,023 | ---- | C] () -- C:\Users\GT\.recently-used.xbel
[2012.05.09 16:43:08 | 000,002,052 | ---- | C] () -- C:\ProgramData\regid.1996-01.de.pixelplanet_CB8E6973-82E1-4437-B8BA-905FCDC7148C.swidtag
[2012.01.17 20:45:39 | 000,100,045 | ---- | C] () -- C:\Users\GT\AppData\Roaming\Scribe.dmp
[2011.12.18 18:31:37 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2011.12.18 18:31:36 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2011.11.20 17:02:05 | 000,033,134 | ---- | C] () -- C:\Users\GT\AppData\Roaming\UserTile.png
[2011.07.21 09:56:19 | 000,823,808 | ---- | C] () -- C:\Windows\System32\libxml2.dll
[2011.07.21 09:56:19 | 000,081,920 | ---- | C] () -- C:\Windows\System32\xmltok.dll
[2011.07.21 09:56:19 | 000,055,808 | ---- | C] () -- C:\Windows\System32\zlib1.dll
[2011.07.21 09:56:19 | 000,053,248 | ---- | C] () -- C:\Windows\System32\xmlparse.dll
[2011.06.23 11:01:12 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.06.20 20:34:09 | 000,032,256 | ---- | C] () -- C:\Users\GT\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.06.10 06:34:52 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2011.05.02 20:37:47 | 000,000,019 | ---- | C] () -- C:\Windows\SoundConverter.INI
[2011.04.09 18:28:57 | 000,001,915 | ---- | C] () -- C:\Users\GT\AppData\Roaming\SAS7_000.DAT
[2011.04.02 22:00:51 | 000,061,678 | ---- | C] () -- C:\Users\GT\AppData\Roaming\PFP120JPR.{PB
[2011.04.02 22:00:51 | 000,012,358 | ---- | C] () -- C:\Users\GT\AppData\Roaming\PFP120JCM.{PB
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.02.19 16:16:46 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\Alltags-Programme
[2013.04.24 09:40:28 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\Canon
[2012.09.17 17:04:03 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\IrfanView
[2011.05.07 10:20:49 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\PC Suite
[2013.04.05 11:16:28 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\PhraseExpress
[2013.04.24 09:56:37 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\TeamViewer
[2011.10.04 19:53:31 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\Thunderbird
[2013.03.04 09:40:08 | 000,000,000 | ---D | M] -- C:\Users\AK\AppData\Roaming\TuneUp Software
[2013.02.13 10:29:32 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\7-PDFSplitMerge
[2012.08.05 09:37:16 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Alltags-Programme
[2012.12.26 11:33:41 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Amazon
[2013.02.19 12:08:31 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Artweaver Free
[2013.02.19 10:43:54 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\ASCOMP Software
[2012.07.03 18:49:53 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Autodesk
[2011.04.29 18:32:36 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Canon
[2012.10.21 18:19:23 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\com.prezi.PreziDesktop
[2011.06.04 22:22:28 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Easy MP3 Recorder
[2012.02.21 21:36:18 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Find-it
[2011.10.23 16:34:50 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\FreeFox
[2011.12.18 18:31:34 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\FreePDF
[2012.03.27 21:21:08 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\GetRightToGo
[2012.09.16 11:08:30 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\GoodSync
[2012.09.09 10:22:29 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\gp-Untis
[2012.06.27 00:26:27 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\gtk-2.0
[2012.12.01 22:06:51 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\IrfanView
[2011.04.07 20:03:20 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\JAM Software
[2011.04.09 19:23:26 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Neuer Ordner
[2012.01.28 14:16:40 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Nokia
[2012.01.28 14:16:41 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Nokia Suite
[2012.03.29 20:48:18 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Nuance
[2012.08.05 20:09:45 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\PC Suite
[2012.12.31 20:48:11 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\PCDr
[2013.03.29 12:47:50 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\PhraseExpress
[2013.02.19 11:39:08 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\PixelPlanet
[2011.10.14 22:04:42 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Research in Motion
[2011.06.12 20:46:13 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Simfy
[2011.11.16 17:52:41 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\TeamViewer
[2011.11.06 17:36:48 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Thunderbird
[2013.02.09 11:13:05 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\TuneUp Software
[2011.04.02 19:48:20 | 000,000,000 | ---D | M] -- C:\Users\GT\AppData\Roaming\Webshots
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 249 bytes -> C:\ProgramData\TEMP:D48F2BA9
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:0FF263E8
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:F35A93AD

< End of report >
         

--- --- ---

****************************


Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von OTL

***************************
Und was sagen Dir diese txt-Dateien nun?

Schönes Wochenende schon mal wünscht dir
Gottfried.

Hallo Gottfried,

dann bleibt noch eine Kontrolle und das Schliessen der vorhandenen Sicherheitslücken.


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 249 bytes -> C:\ProgramData\TEMP:D48F2BA9
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:0FF263E8
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:F35A93AD
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948

:commands
[emptytemp]
         

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware .

• Installiere das Programm in den vorgegebenen Pfad.
• Starte nun Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Zitat:

Zitat von aharonov

Hallo Gottfried,

dann bleibt noch eine Kontrolle und das Schliessen der vorhandenen Sicherheitslücken.


Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 249 bytes -> C:\ProgramData\TEMP:D48F2BA9
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:0FF263E8
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:F35A93AD
IE - HKU\S-1-5-21-2201060883-978927202-3150716111-1001\..\SearchScopes\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948

:commands
[emptytemp]
         

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

****************************************************
All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP48F2BA9 deleted successfully.
ADS C:\ProgramData\TEMP:0FF263E8 deleted successfully.
ADS C:\ProgramData\TEMP:F35A93AD deleted successfully.
Registry key HKEY_USERS\S-1-5-21-2201060883-978927202-3150716111-1001\Software\Microsoft\Internet Explorer\SearchScopes\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9C980EB-7AE2-4EEB-BE90-6E109BA39C28}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: AK
->Temp folder emptied: 9866692 bytes
->Temporary Internet Files folder emptied: 307888132 bytes
->Java cache emptied: 17427 bytes
->FireFox cache emptied: 190292153 bytes
->Flash cache emptied: 10890 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: GT
->Temp folder emptied: 1463194 bytes
->Temporary Internet Files folder emptied: 264714590 bytes
->Java cache emptied: 184545 bytes
->FireFox cache emptied: 68021265 bytes
->Google Chrome cache emptied: 257174236 bytes
->Flash cache emptied: 57056 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1154344 bytes
%systemroot%\System32 .tmp files removed: 22288 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 641260 bytes
RecycleBin emptied: 573155998 bytes

Total Files Cleaned = 1.597,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04292013_121849

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
****************************************************


Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware.

Installiere das Programm in den vorgegebenen Pfad.
Starte nun Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.

*******************************************

Bis hierher hat alles geklappt. Aber leider ist beim Laufen dieses Programms dann mehrfach (nach dem 4. Versuch hab ich's aufgegeben!) der Rechner ganz von alleine neu gestartet (auch ohne irgendeine andere Aktivität! Auch den Bildschirmschoner hab ich extra ausgestellt!). Ich hab Dir mal einen Screenshot erstellt und ihn hier angehängt!

Wie soll ich hiermit nun umgehen, denn die nächsten Schritte konnte ich ja nun nicht mehr erledigen?

Ich stoppe dann hier auch erst mal mit Deinen weiteren Tipps und warte mit dem Schritt 3 und 4, bis ich das OKAY von Dir dazu bekommen habe!

Viele Grüße,

Gottfried.

*******************************************

Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.




Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
Drücke auf List of found threats.
Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

*********************************

Ok, dann überspring diesen Punkt und mach mit dem nächsten Schritt weiter.

Zitat:

Zitat von aharonov

Ok, dann überspring diesen Punkt und mach mit dem nächsten Schritt weiter.

Hallo, Leo,
okay, ich hab dann bei den Schritten 3 und 4 weitergemacht und folgende Textdateien erhalten:

ESET.txt: (Hat übrigens über 15 Stunden vor sich hingearbeitet!)
****************************************
C:\FRST\Quarantine\skype.dat a variant of Win32/Kryptik.AZLE trojan
C:\Users\GT\AppData\Local\Temp\DrYZj4K3.zip.part a variant of Win32/Kryptik.AZVU trojan
**************************************** (Hier wurden offensichtlich zwei Trojaner gefunden und entfernt, richtig?)


Checkup.txt:
****************************************
Results of screen317's Security Check version 0.99.63
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
TuneUp Utilities 2012
TuneUp Utilities Language Pack (de-DE)
Duplicate Cleaner Free 3.0.1
Java(TM) 6 Update 37
Java(TM) SE Runtime Environment 6 Update 1
Java version out of Date!
Adobe Flash Player 11.7.700.169
Adobe Reader XI
Mozilla Firefox (20.0.1)
Mozilla Thunderbird (17.0.4)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
****************************************

Und was meinst Du nun: Bin ich wieder "clean" (trotz des misslungenen mit dem Anti-Malware-Prigramm?)?

Schönen 1. Mai noch wünscht Dir

Gottfried.

Hallo Gottfried,

doch, das sieht eigentlich gut aus.


Schritt 1

Downloade und installiere den Internet Explorer 10.
Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird.



Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Falls zu Beginn defogger verwendet wurde, dann starte defogger und drücke den Button Re-enable.
2. Den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

• Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
• Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

• Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
• Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
• Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

• Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
• Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
• Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
• Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
• Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

• NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
• Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

• Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
• Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

• Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
• Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
• Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
• Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

• Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

• Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
• Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
• Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
• Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
• Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

Hallo Leo,

sorry, dass ich mich so lange nicht gemeldet habe (ist ja meist dann aber auch ein gutes Zeichen :-)), aber erst mal war ich n atürlich froh, dass Deine ganzen Aktivitäten so zum effolg geführt hatten, dann hatte ich aber noch mit der hiesigen Telefongesellschaft ein Problem mit den Leitungen (statt der vereinbarften Transfer-Rate von bis zu 10 MB hatte ich meist nur ca. 600 kB!), und schließlich ergab sich mit meinem AVIRA-Programm auch noch ein Problem, dass nämlich der Browser- und E-Mail-Schutz ausgeschaltet blieb und sich nicht mehr einschalten lassen wollten. All das ist nun aber gelöst - und nun will ich mich endlich nochmals auf Deine letzte Mail (vom 1.5.) melden:

******************************

Zitat:

Zitat von aharonov

Hallo Gottfried,

doch, das sieht eigentlich gut aus.


Schritt 1

Downloade und installiere den Internet Explorer 10.
Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird.



Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

***************
JAVA:
Ich hab den von Dir genannten Link (mehrfach) genutzt, aber beim Installationsversuch hab ich immer die Meldung "beschädigtes Installationsfile" erhalten - also hab ich nun auf JAVA verzichtet, und es funktioniert scheinbar trotzdem alles perfekt!

***********************


Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Falls zu Beginn defogger verwendet wurde, dann starte defogger und drücke den Button Re-enable.
   
   *********
   
   Defogger:
   Hatte ich benutzt, aber beim versuch, das "Re-enable" zu aktivieren, bekam ich immer die Meldung "Unable to open file". Hab ich also weggelassen - ist hoffentlich nicht allzu schlimm!
   
   **************************
2. Den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

*********
Die Rückmeldung erfolgt hiermit schon - mit den entsprechenden Details!

**************************


Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

• Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
• Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

• Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
• Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
• Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.
  
  **************************
  
  Secunia:
  
  Hier hab ich die PSI-Software installiert, und das Programm hat mir auch viele andere Programme genannt, die ein Update benötigen. Aktueller Stand: "Secunia System Score 91%" und "Zu aktualisierende Programme (14)... ", die dann aufgelistet werden. Was ich nun nicht weiß, ist, wie ich diese Programme (zumindest teilweise) aktualisieren soll bzw. wie ich sie deinstalleiren kann, weil sie gar nicht mehr in der Software-Liste der Windows7-Systemsteuerung auftauchen. Beispiele: "TeamViewer 3.x" oder "WS_FTP Pro 6.x". Arbeitet das programm eigentlich selbstständig die "Aktualisierungen" weiter ab (wenn auch ganz langsam, denn von vorgestern bei 89% ist es nun auf 91% gewachsen)?
  
  *******************************
  
  

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

• Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
• Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
• Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
• Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
  *******************************
  Info hierzu: siehe nach dem Text zum Addon WOT!
  *****************************
  
• Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

*******************************
Das Addon WOT hab ich bei Firefox inzwischen installiert und scheint gut zu funktionieren (jetzt ja auch in Kombination mit AVIRA). Muss / sollte ich da trotzdem noch "Sandboxie" instrallieren, oder ist das nun "überflüssig"?

*****************************



Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

• NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
• Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

• Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
• Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

• Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
• Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
• Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
• Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

• Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

• Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
• Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
• Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
• Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
• Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

*****************************

... eine Spende werde ich demnächst Euch auch noch zukommen lassen - bei soooo viel Hilfe!!!!

Vielen Dank nochmals, inzwischen fühle ich mich nicht nur sicherer sondern vor allem auch gut aufgehoben für den Fall, dass mal wieder etwas "passiert" - was wir ja alle nicht hoffen wollen!

Alles Gute weiterhin auch Dir und für heute erst mal Frohe Pfingsten,

Gottfried.


***************

Danke für die Rückmeldung, Gottfried.
Und im Namen des Teams vielen Dank für die Spende!


Freut mich, dass wir helfen konnten.

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.