| |
| |||||||
Log-Analyse und Auswertung: BKA-Trojaner eingefangen! Brauche Rat!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.06.2013, 15:26
| #1 |
| |  BKA-Trojaner eingefangen! Brauche Rat! Hallo Zusammen, ich habe seit 5 Tagen einen sog. "BKA-Trojaner" auf meinem Laptop. Es lief nichts mehr, sogar im abgesicherten Modus nicht. Denn der Trojaner war hier auch aktiv. Auf der Oberfläche mit der Zahlungsaufforderung sah ich auf einmal mein Bild von der Webcam. Es sollen auch Bilder von Kinderpornos geladen worden sein. Hatte bzw. habe immer noch Panik, dass da was illegales drauf ist. Über das Benutzerkonto von meiner Frau habe ich einige Antiviren-Programme (Avira, Eset, Malwarebytes etc.) laufen lassen. Es wurden 2 Trojaner gefunden (die Namen kann ich später nachreichen, bin gerade unterwegs) und entfernt. Kann mein Benutzerkonto wieder nutzen und wieder die o. g. Scanner laufen lassen. Erst wurde nichts gefunden, vorgestern hat Eset (im abges. Modus) 2 Bedrohungen- Win32/Bundled.Toolbar.Ask- gefunden. Habe mit "tdsskiller" 12 Bedrohungen (mittleres Risiko) gefunden. Habe hier gestöbert und mich gestern angemeldet. Die Log's von "defogger" und "OTL" kann ich später senden. Gmer hat abgebrochen. Bekomme auch Fehlermeldung, dass der Server ausgelastet ist??? Bin mit meinen Nerven am Ende, weiß nicht mehr weiter.  Wenn ich was falsch gemacht habe, Sorry. Da ich Laie bin, bitte ich, wenn möglich um einfache Anweisungen. Ich hoffe und bitte um eure Hilfe. Vielen Dank schon mal! Grüße momo68 Habe glaube ich, in der Aufregung, im falschen Themenbereich sein. Sollte im "Plagegeister aller Art.... sein. Kann man das wechseln oder ist es ok hier? Geändert von momo68 (06.06.2013 um 15:44 Uhr) Grund: Was vergessen |
|
06.06.2013, 16:23
| #2 |
| /// TB-Ausbilder  |  BKA-Trojaner eingefangen! Brauche Rat! ZUnächst mal bitte alle verfügbaren Logfiles zeigen bevor wir loslegen:
__________________ So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
|
06.06.2013, 18:49
| #3 |
| | BKA-Trojaner eingefangen! Brauche Rat! Hallo Ryder,
__________________danke erstmal für die schnelle Kontaktaufnahme. Das ist der 1. Scan nach dem Befall! Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.01.03 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 sumo :: SUMO-PC [Administrator] 01.06.2013 16:58:42 mbam-log-2013-06-01 (16-58-42).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 421013 Laufzeit: 1 Stunde(n), 6 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon32.exe (Trojan.Agent.Gen) -> Daten: C:\PROGRA~2\rundll32.exe C:\PROGRA~2\tol7i.dat,XFG00 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) 4. Scan Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.02.01 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 sumo :: SUMO-PC [Administrator] 02.06.2013 12:22:46 mbam-log-2013-06-02 (12-22-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 414449 Laufzeit: 1 Stunde(n), 5 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon32.exe (Trojan.Agent.Gen) -> Daten: C:\PROGRA~2\rundll32.exe c:\progra~2\tol7i.dat,XFG00 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\ProgramData\tol7i.dat (Trojan.FakeMS) -> Löschen bei Neustart. C:\Users\sumo\1354053.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.02.01 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus) Internet Explorer 9.0.8112.16421 sumo :: SUMO-PC [Administrator] 02.06.2013 15:55:28 mbam-log-2013-06-02 (15-55-28).txt Art des Suchlaufs: Benutzerdefinierter Suchlauf (C:\ProgramData\i7lot.pad|) Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P Durchsuchte Objekte: 1 Laufzeit: 9 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) 10. Scan Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.05.05 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 sumo :: SUMO-PC [Administrator] 05.06.2013 17:41:14 mbam-log-2013-06-05 (17-41-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 400016 Laufzeit: 59 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) OTl-Scan Code:
ATTFilter OTL logfile created on: 05.06.2013 23:32:43 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\sumo\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,61 Gb Available Physical Memory | 53,82% Memory free 6,19 Gb Paging File | 4,68 Gb Available in Paging File | 75,67% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 111,44 Gb Total Space | 46,30 Gb Free Space | 41,55% Space Free | Partition Type: NTFS Drive D: | 111,44 Gb Total Space | 110,63 Gb Free Space | 99,27% Space Free | Partition Type: NTFS Computer Name: SUMO-PC | User Name: sumo | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\sumo\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Users\sumo\AppData\Local\Temp\RtkBtMnt.exe (Realtek Semiconductor Corp.) PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_7_700_202.exe (Adobe Systems, Inc.) PRC - C:\Programme\Nitro\Reader 3\NitroPDFReaderDriverService3.exe (Nitro PDF Software) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe (Kaspersky Lab ZAO) PRC - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) PRC - C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation) PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corp.) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\System32\conime.exe (Microsoft Corporation) PRC - C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) PRC - C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) PRC - C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.) PRC - C:\Programme\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe (CyberLink) PRC - C:\Programme\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (CyberLink Corp.) PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) PRC - C:\Programme\Acer\Empowering Technology\Service\ETService.exe () PRC - C:\Windows\System32\agrsmsvc.exe (Agere Systems) PRC - C:\Programme\Acer\Empowering Technology\eAudio\eAudio.exe (Acer Incorporated) PRC - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated) PRC - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated) PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) PRC - C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe () ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_11_7_700_202.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\2227d1559f87943255069398608d5c56\mscorlib.ni.dll () MOD - C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll () MOD - C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtscript4.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtgui4.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtnetwork4.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtsql4.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtdeclarative4.dll () MOD - C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\qtcore4.dll () MOD - C:\Programme\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMediaLibrary.dll () MOD - C:\Programme\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvcPS.dll () MOD - C:\Programme\NewTech Infosystems\NTI Backup Now 5\BkupTrayLOC.dll () MOD - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\ShowErrMsg.dll () ========== Services (SafeList) ========== SRV - (Winmgmt) -- C:\PROGRA~2\tol7i.dat File not found SRV - (SBSDWSCService) -- C:\Program Files\Spybot File not found SRV - (MobilityService) -- C:\Acer\Mobility Center\MobilityService.exe File not found SRV - (McSysmon) -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe File not found SRV - (McShield) -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe File not found SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (NitroReaderDriverReadSpool3) -- C:\Programme\Nitro\Reader 3\NitroPDFReaderDriverService3.exe (Nitro PDF Software) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (KSS) -- C:\Programme\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe (Kaspersky Lab ZAO) SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (TomTomHOMEService) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe (TomTom) SRV - (fsssvc) -- C:\Programme\Windows Live\Family Safety\fsssvc.exe (Microsoft Corporation) SRV - (wlcrasvc) -- C:\Programme\Windows Live\Mesh\wlcrasvc.exe (Microsoft Corporation) SRV - (SeaPort) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation) SRV - (wlidsvc) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.) SRV - (EvtEng) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) SRV - (RegSrvc) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) SRV - (IAANTMON) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation) SRV - (ETService) -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe () SRV - (AgereModemAudio) -- C:\Windows\System32\agrsmsvc.exe (Agere Systems) SRV - (eDataSecurity Service) -- C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated) SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (CLHNService) -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe () SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (SBRE) -- C:\Windows\system32\drivers\SBREdrv.sys File not found DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found DRV - (cpuz135) -- C:\Users\sumo\AppData\Local\Temp\cpuz135\cpuz135_x32.sys File not found DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (Netaapl) -- C:\Windows\System32\drivers\netaapl.sys (Apple Inc.) DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH) DRV - (SbFw) -- C:\Windows\System32\drivers\SbFw.sys (Sunbelt Software, Inc.) DRV - (sbhips) -- C:\Windows\System32\drivers\sbhips.sys (Sunbelt Software, Inc.) DRV - (SbTis) -- C:\Windows\System32\drivers\sbtis.sys (Sunbelt Software, Inc.) DRV - (SBFWIMCLMP) -- C:\Windows\System32\drivers\SbFwIm.sys (Sunbelt Software, Inc.) DRV - (SBFWIMCL) -- C:\Windows\System32\drivers\SbFwIm.sys (Sunbelt Software, Inc.) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (NETw5v32) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796}) -- C:\Programme\Acer Arcade Deluxe\PlayMovie\000.fcl (Cyberlink Corp.) DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corp.) DRV - (int15) -- C:\Windows\System32\drivers\int15.sys (Acer, Inc.) DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (Agere Systems) DRV - (NTIPPKernel) -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys (Cyberlink Corp.) DRV - (winbondcir) -- C:\Windows\System32\drivers\winbondcir.sys (Winbond Electronics Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1208&m=aspire_7730g IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1208&m=aspire_7730g IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1 IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://de.msn.com/ [binary data] IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/webhp?hl=de&tab=ww IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..\SearchScopes,DefaultScope = {6ACDFD13-BECB-46E6-A978-D563105F5E33} IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..\SearchScopes\{6ACDFD13-BECB-46E6-A978-D563105F5E33}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GGLL_de IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local IE - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = socks=127.0.0.1:28960 ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledAddons: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.10 FF - prefs.js..extensions.enabledItems: {87934c42-161d-45bc-8cef-ef18abe2a30c}:2.0 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.10 FF - prefs.js..keyword.URL: "hxxp://safesearchr.lavasoft.com/?source=3336ca5f&tbp=url&toolbarid=adawaretb&u=B8D2D51FCFC1E1AA3283CA4F92F15EDB&q=" FF - prefs.js..network.proxy.type: 4 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.21.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nitropdf.com/NitroPDF: C:\Program Files\Nitro\Reader 3\npnitromozilla.dll (Nitro PDF) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013.06.04 23:37:30 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013.06.04 23:37:30 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Users\susanne\AppData\Local\Mozilla Firefox\components FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Users\susanne\AppData\Local\Mozilla Firefox\plugins [2010.08.04 21:08:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\sumo\AppData\Roaming\mozilla\Extensions [2009.08.01 15:28:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\sumo\AppData\Roaming\mozilla\Extensions\home2@tomtom.com [2013.06.04 23:37:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\sumo\AppData\Roaming\mozilla\Firefox\Profiles\7se23oyz.default\extensions [2010.08.06 17:37:47 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\sumo\AppData\Roaming\mozilla\Firefox\Profiles\7se23oyz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.07.25 21:41:25 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\sumo\AppData\Roaming\mozilla\Firefox\Profiles\7se23oyz.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2013.06.04 23:37:33 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.08.20 12:41:54 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0034-ABCDEFFEDCBA} [2012.12.31 18:03:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA} [2013.06.04 23:37:22 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011.01.11 13:22:42 | 000,167,704 | ---- | M] (Tracker Software Products Ltd.) -- C:\Program Files\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll [2013.06.04 23:37:17 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2013.06.04 23:37:17 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2013.06.04 23:37:17 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2013.06.04 23:37:17 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2013.06.04 23:37:17 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2013.06.04 23:37:17 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.05.23 00:15:45 | 000,434,545 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 14957 more lines... O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) O2 - BHO: (Windows Live Messenger Companion Helper) - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Programme\Windows Live\Companion\companioncore.dll (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.) O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [ArcadeDeluxeAgent] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (CyberLink Corp.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CLMLServer] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [eAudio] C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe (Acer Incorporated) O4 - HKLM..\Run: [eDataSecurity Loader] C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated) O4 - HKLM..\Run: [ePower_DMC] C:\Programme\Acer\Empowering Technology\ePower\ePower_DMC.exe (Acer Inc.) O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation) O4 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000..\Run: [KSS] C:\Program Files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe (Kaspersky Lab ZAO) O7 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O15 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab (Bitdefender QuickScan Control) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control) O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} hxxp://ax.emsisoft.com/emsisoft_webscan.cab (Emsisoft Web Malware Scan) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{35B17DCC-6700-4BFC-88E1-7466C5B38EB5}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{61BB892B-BDFD-44A6-97FF-1F6022BA7139}: DhcpNameServer = 193.189.244.206 193.189.244.225 O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Programme\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\sumo\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\sumo\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{576a2118-bfbb-11e1-8781-00238b45499d}\Shell - "" = AutoRun O33 - MountPoints2\{576a2118-bfbb-11e1-8781-00238b45499d}\Shell\AutoRun\command - "" = G:\iStudio.exe O33 - MountPoints2\{6b40e583-3f77-11e0-9ab0-00238b45499d}\Shell - "" = AutoRun O33 - MountPoints2\{6b40e583-3f77-11e0-9ab0-00238b45499d}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a O33 - MountPoints2\G\Shell - "" = AutoRun O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O35 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKU\S-1-5-21-3292961793-461178360-4090892724-1000\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.06.05 23:29:31 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\sumo\Desktop\OTL.exe [2013.06.04 23:37:33 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Maintenance Service [2013.06.04 23:37:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Mozilla [2013.06.04 21:35:25 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\sumo\Desktop\tdsskiller.exe [2013.06.03 20:41:22 | 000,000,000 | ---D | C] -- C:\Users\sumo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kaspersky Security Scan [2013.06.03 20:40:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab [2013.06.03 20:40:31 | 000,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab [2013.06.03 20:30:36 | 000,179,984 | ---- | C] (Kaspersky Lab) -- C:\Users\sumo\Kaspersky-Online-Scanner-kss12.0.1.117mlg_en-de_ru-de_fr-de_de-de.exe [2013.06.02 20:30:36 | 000,000,000 | ---D | C] -- C:\Program Files\NVIDIA Corporation [2013.06.02 19:47:35 | 000,000,000 | ---D | C] -- C:\ProgramData\CSIS [2013.06.02 19:45:17 | 004,196,808 | ---- | C] (CSIS Security Group) -- C:\Program Files\HeimdalSetup_1.7.1.exe [2013.06.02 15:06:51 | 000,000,000 | ---D | C] -- C:\Windows\pss [2013.06.02 14:24:14 | 000,000,000 | ---D | C] -- C:\Users\sumo\AppData\Local\Macromedia [2013.06.02 14:02:28 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java [2013.05.21 19:03:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes [2013.05.21 19:02:48 | 000,000,000 | ---D | C] -- C:\Program Files\iPod [2013.05.21 19:02:45 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes [2013.05.21 19:02:45 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 [2012.10.02 20:42:20 | 001,178,624 | ---- | C] (CPUID) -- C:\Users\sumo\AppData\Roaming\siw_sdk.dll [1 C:\Users\sumo\AppData\Roaming\*.tmp files -> C:\Users\sumo\AppData\Roaming\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.06.05 23:29:37 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\sumo\Desktop\OTL.exe [2013.06.05 23:26:46 | 000,000,000 | ---- | M] () -- C:\Users\sumo\defogger_reenable [2013.06.05 23:25:28 | 000,050,477 | ---- | M] () -- C:\Users\sumo\Desktop\Defogger.exe [2013.06.05 22:44:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2013.06.05 22:29:47 | 000,081,829 | ---- | M] () -- C:\ProgramData\nvModes.001 [2013.06.05 22:27:08 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2013.06.05 22:27:07 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2013.06.05 22:26:53 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.06.05 22:12:53 | 000,632,031 | ---- | M] () -- C:\Users\sumo\Desktop\adwcleaner.exe [2013.06.05 22:10:19 | 000,161,984 | ---- | M] () -- C:\Users\sumo\Desktop\7ZipSetup.exe [2013.06.04 21:35:36 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\sumo\Desktop\tdsskiller.exe [2013.06.04 21:25:20 | 001,178,624 | ---- | M] (CPUID) -- C:\Users\sumo\AppData\Roaming\siw_sdk.dll [2013.06.04 19:56:55 | 000,220,672 | ---- | M] () -- C:\Users\sumo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2013.06.04 19:31:43 | 000,112,787 | ---- | M] () -- C:\Users\sumo\Documents\Tren-Saatleri-Izmir-Nazilli-2013.pdf [2013.06.03 22:47:09 | 000,655,360 | ---- | M] () -- C:\Users\sumo\Desktop\MicrosoftFixit50471.msi [2013.06.03 20:41:01 | 000,001,003 | ---- | M] () -- C:\Users\sumo\Desktop\Kaspersky Security Scan.lnk [2013.06.03 20:30:42 | 000,179,984 | ---- | M] (Kaspersky Lab) -- C:\Users\sumo\Kaspersky-Online-Scanner-kss12.0.1.117mlg_en-de_ru-de_fr-de_de-de.exe [2013.06.02 19:45:18 | 004,196,808 | ---- | M] (CSIS Security Group) -- C:\Program Files\HeimdalSetup_1.7.1.exe [2013.06.02 17:01:23 | 000,000,808 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk [2013.06.02 14:18:19 | 000,001,791 | ---- | M] () -- C:\Users\sumo\Desktop\Mozilla Firefox.lnk [2013.06.02 12:02:04 | 000,081,829 | ---- | M] () -- C:\ProgramData\nvModes.dat [2013.06.02 11:52:25 | 000,000,000 | ---- | M] () -- C:\Windows\System32\LogConfigTemp.xml [2013.06.01 23:13:40 | 000,658,020 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2013.06.01 23:13:40 | 000,621,098 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2013.06.01 23:13:40 | 000,141,920 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2013.06.01 23:13:40 | 000,115,984 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2013.05.21 19:03:27 | 000,001,713 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk [2013.05.20 17:18:16 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_Kernel_netaapl_01009.Wdf [2013.05.20 13:39:06 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.05.20 11:42:49 | 000,327,480 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [1 C:\Users\sumo\AppData\Roaming\*.tmp files -> C:\Users\sumo\AppData\Roaming\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.06.05 23:26:46 | 000,000,000 | ---- | C] () -- C:\Users\sumo\defogger_reenable [2013.06.05 23:25:24 | 000,050,477 | ---- | C] () -- C:\Users\sumo\Desktop\Defogger.exe [2013.06.05 22:12:42 | 000,632,031 | ---- | C] () -- C:\Users\sumo\Desktop\adwcleaner.exe [2013.06.05 22:10:13 | 000,161,984 | ---- | C] () -- C:\Users\sumo\Desktop\7ZipSetup.exe [2013.06.04 23:37:31 | 000,000,907 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [2013.06.04 19:31:43 | 000,112,787 | ---- | C] () -- C:\Users\sumo\Documents\Tren-Saatleri-Izmir-Nazilli-2013.pdf [2013.06.03 22:47:05 | 000,655,360 | ---- | C] () -- C:\Users\sumo\Desktop\MicrosoftFixit50471.msi [2013.06.03 20:41:22 | 000,001,003 | ---- | C] () -- C:\Users\sumo\Desktop\Kaspersky Security Scan.lnk [2013.06.02 14:18:19 | 000,001,791 | ---- | C] () -- C:\Users\sumo\Desktop\Mozilla Firefox.lnk [2013.05.21 19:03:27 | 000,001,713 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk [2013.05.20 17:18:16 | 000,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_Kernel_netaapl_01009.Wdf [2013.01.12 22:57:48 | 000,108,672 | -H-- | C] () -- C:\Windows\System32\mlfcache.dat [2012.04.17 20:59:25 | 000,336,779 | ---- | C] () -- C:\Users\sumo\AppData\Local\census.cache [2012.04.17 20:59:21 | 000,216,929 | ---- | C] () -- C:\Users\sumo\AppData\Local\ars.cache [2011.08.03 22:22:05 | 000,009,702 | -HS- | C] () -- C:\Users\sumo\AppData\Local\80bjc4oqnvc7fx4gh4tmxnh234rojdc0of8 [2011.08.03 22:22:05 | 000,009,702 | -HS- | C] () -- C:\ProgramData\80bjc4oqnvc7fx4gh4tmxnh234rojdc0of8 [2011.08.03 22:20:52 | 000,000,000 | ---- | C] () -- C:\Users\sumo\AppData\Roaming\5365333.exe [2011.08.03 22:20:51 | 000,000,000 | ---- | C] () -- C:\Users\sumo\AppData\Roaming\9777842.exe [2011.01.13 23:09:40 | 000,000,036 | ---- | C] () -- C:\Users\sumo\AppData\Local\housecall.guid.cache [2011.01.04 21:47:36 | 000,000,354 | ---- | C] () -- C:\Users\sumo\Öffentlich - Verknüpfung.lnk [2010.06.26 14:29:35 | 000,000,042 | ---- | C] () -- C:\Users\sumo\AppData\Roaming\urhtps.dat [2009.02.07 17:15:00 | 000,001,356 | ---- | C] () -- C:\Users\sumo\AppData\Local\d3d9caps.dat [2009.01.03 02:04:46 | 000,220,672 | ---- | C] () -- C:\Users\sumo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.01.02 21:56:51 | 000,081,829 | ---- | C] () -- C:\ProgramData\nvModes.001 [2009.01.02 21:56:03 | 000,081,829 | ---- | C] () -- C:\ProgramData\nvModes.dat ========== ZeroAccess Check ========== [2006.11.02 14:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 19:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 08:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 08:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2009.01.02 21:57:55 | 000,000,000 | -HSD | M] -- C:\Users\sumo\AppData\Roaming\.# [2008.10.31 23:43:28 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Acer GameZone Console [2012.10.03 15:34:24 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Ad-Aware Antivirus [2012.07.20 16:14:02 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Apaqh [2012.04.19 06:24:45 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Ass [2011.01.09 12:21:03 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Auslogics [2012.07.27 18:26:30 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Budy [2010.06.26 11:05:35 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\cock [2009.09.19 12:24:35 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\DataLayer [2013.04.21 14:15:42 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Downloaded Installations [2012.07.25 21:46:54 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\DVDVideoSoft [2011.04.23 22:57:57 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\elsterformular [2012.07.20 17:41:01 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Ernyqi [2009.01.02 21:54:08 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\eSobi [2012.12.31 18:32:57 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\FileOpen [2010.09.11 18:44:32 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\HTML Executable [2012.04.18 23:47:20 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Ibenag [2009.03.29 16:58:16 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Image Zone Express [2010.12.19 14:14:26 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\MSA [2011.01.18 07:36:32 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Newkb [2012.12.31 18:39:46 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Nitro [2013.01.13 15:58:37 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Nitro PDF [2009.09.19 12:24:47 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Nokia [2009.09.19 12:38:36 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Nokia Multimedia Player [2012.03.18 23:45:11 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\OpenOffice.org [2009.09.19 12:21:36 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\PC Suite [2009.03.16 23:19:28 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Printer Info Cache [2012.07.27 22:45:45 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\QuickScan [2009.08.01 15:27:55 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\TomTom [2012.05.01 19:47:38 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\TuneUp Software [2010.06.26 13:41:31 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\UAs [2010.12.25 14:00:21 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\uTorrent [2012.07.27 17:06:04 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\Viubsi [2010.06.26 13:47:37 | 000,000,000 | ---D | M] -- C:\Users\sumo\AppData\Roaming\xmldm ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:FEBEC560 < End of report > Code:
ATTFilter OTL Extras logfile created on: 05.06.2013 23:32:43 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\sumo\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,99 Gb Total Physical Memory | 1,61 Gb Available Physical Memory | 53,82% Memory free
6,19 Gb Paging File | 4,68 Gb Available in Paging File | 75,67% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,44 Gb Total Space | 46,30 Gb Free Space | 41,55% Space Free | Partition Type: NTFS
Drive D: | 111,44 Gb Total Space | 110,63 Gb Free Space | 99,27% Space Free | Partition Type: NTFS
Computer Name: SUMO-PC | User Name: sumo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_USERS\S-1-5-21-3292961793-461178360-4090892724-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htafile [open] -- "%1" %*
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
========== Authorized Applications List ==========
========== Vista Active Open Ports Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1D97ACC5-37F0-4263-8FD5-78DF67273B31}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{374CF9D8-17C4-457D-B6D8-CF8AC7647125}" = lport=138 | protocol=17 | dir=in | app=system |
"{3A11171D-CFE3-4C9D-A3C8-76441A07E614}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe |
"{3D109762-A01C-4564-B1A8-C216EFFBCF7F}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=c:\windows\system32\svchost.exe |
"{462A9A63-1FF7-4ABB-A88E-6DE9269AD78B}" = lport=139 | protocol=6 | dir=in | app=system |
"{4ED29D80-AFC1-46FD-B621-598A44746A4E}" = rport=138 | protocol=17 | dir=out | app=system |
"{557EBA91-55A0-4C59-A08B-DC9203E7F200}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=c:\windows\system32\svchost.exe |
"{5AD0A54F-F64D-4066-A029-150FB328B293}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{5E2E0318-04D6-483E-B427-9E00B7F781A1}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{5FE21164-8041-42E0-B674-E58CFADF67AB}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{61644147-076F-445A-A419-E2F7B9893E49}" = rport=445 | protocol=6 | dir=out | app=system |
"{718689D6-ED23-4159-8965-FD7350717C2C}" = rport=137 | protocol=17 | dir=out | app=system |
"{7A20A818-C624-406D-B183-E728F9FA8527}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{7AEEE191-79FC-4905-ABA2-D18B8EF37E41}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=c:\windows\system32\svchost.exe |
"{7D85BF70-40FB-43C3-9387-F10015C96F00}" = rport=2869 | protocol=6 | dir=out | app=system |
"{82F93C10-3C9D-4507-8CFD-D113792E5631}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=c:\windows\system32\svchost.exe |
"{91E4B433-EA90-4A03-BA5E-F375079F9EC3}" = lport=2869 | protocol=6 | dir=in | app=system |
"{A4E14E08-9A24-48C4-80B4-D6C53D743F12}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe |
"{C4C34B50-5856-43C7-8399-BA8364D7D307}" = lport=137 | protocol=17 | dir=in | app=system |
"{D566D96F-DC7E-433C-B227-651D717CA75A}" = rport=139 | protocol=6 | dir=out | app=system |
"{D7C5CC8C-0BF9-484E-88CA-844E6AEBC99D}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{E0A2DD39-F492-4ECD-A9F8-5EC37EA0318C}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{E73F6CBD-28A5-447D-8533-943C7B1828F4}" = lport=445 | protocol=6 | dir=in | app=system |
"{F136D1F3-7F65-46A9-B507-3531929B25DA}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=c:\windows\system32\svchost.exe |
"{F43A547A-1221-43A8-8626-0E09E9ABB6E9}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{F4535F59-323A-46AE-A1C4-4707EC2D6403}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{F9DF4A48-5BB9-4570-B00C-DCDA41E2D265}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=c:\windows\system32\svchost.exe |
"{FA13211F-5CEA-481F-B0E0-1CDABD3AC7E9}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
========== Vista Active Application Exception List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{07F036C4-702D-45C7-BE65-9CD2DEF6DE6F}" = protocol=17 | dir=in | app=c:\program files\avira\antivir desktop\avcenter.exe |
"{08857C05-E97B-4FC5-BFED-71565DD79A82}" = dir=in | app=c:\program files\acer arcade deluxe\homemedia\homemedia.exe |
"{0A317CF3-7CF4-43E9-975C-88C29AAA9FBB}" = dir=in | app=c:\program files\itunes\itunes.exe |
"{0D8AEE10-96C2-498F-AEB7-7902F449EFB9}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe |
"{167B14D0-1193-4507-A25F-E9D456D9882F}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{1CD4C88C-2C0B-461D-A0B1-59C98A66173A}" = protocol=6 | dir=out | svc=upnphost | app=c:\windows\system32\svchost.exe |
"{1F76DEC7-825E-4364-8365-02A1B71818C9}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{29C47ABE-AC2F-45E4-AFB3-7D9BC1EC4D82}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{319CC074-CA53-4F23-8BC0-4A2FD6A7CEB6}" = protocol=6 | dir=in | app=c:\program files\avira\antivir desktop\avcenter.exe |
"{33A041F4-9401-4201-9144-660F8D156952}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\pmvservice.exe |
"{36136249-3502-4D13-B6F0-524D22EB1BDA}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"{39D7CDCF-58EB-440B-B165-CC86DBD23299}" = dir=in | app=c:\program files\windows live\contacts\wlcomm.exe |
"{50E25894-890E-48CC-92A8-DE38A19DB029}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{56B445EE-20BE-4F18-B703-7628113685F0}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe |
"{5D000235-4036-425E-9F37-5759E5E48319}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe |
"{6CE38E04-F775-484A-82D6-937D09E73A67}" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{6D41BBC8-3313-46DE-AE4A-8441CFF5CF1E}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe |
"{752D16C6-99C9-4B06-8BD1-5813BC6C3EEE}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe |
"{7815EB3C-E9F3-4B0D-AC46-D02B6A4DC94E}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe |
"{7B27AD16-1900-45A9-A5A3-F141792B9FB0}" = dir=in | app=c:\program files\acer arcade deluxe\acer arcade deluxe\acer arcade deluxe.exe |
"{7B963B0A-5148-4627-AA92-8E932F5E5594}" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{7F40A20A-ECCF-4B08-AAE4-34BB517B06C5}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe |
"{86AB5221-F056-4E52-9DC5-F94A59240ECC}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe |
"{B300B69F-794E-4BC7-8552-F9D0F6BE1CA8}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{B7B28DF3-274F-4623-B2B1-7F352A7542D2}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{B82509B8-8BC9-4C94-B1D9-B84E393DC5C0}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{B8AD3484-AECB-4398-85FF-A0B827087056}" = dir=in | app=c:\program files\windows live\mesh\moe.exe |
"{D5E7B65D-1137-466B-BFF0-81454FF61B8B}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{DAD7B82D-F9C8-4792-B67F-833AAE42B33F}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\playmovie.exe |
"{DB249E89-B5D3-41B5-8842-E7DD1C2F1040}" = dir=in | app=c:\program files\windows live\sync\windowslivesync.exe |
"{E7BC0F42-8139-48E4-A226-EE254FD3E9F0}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe |
"{E7D6ED56-A3A1-4455-9AFB-D2A1E1052FD2}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 |
"{F76B449B-026D-4A3F-89ED-1FF673FBDAF6}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe |
"TCP Query User{13E05C31-B095-423A-8353-C889C539B152}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe |
"TCP Query User{9B7C4D5B-8EF1-4B79-87A2-9AF3C5979CB1}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe |
"TCP Query User{B7986FB2-0659-41DB-A7EC-C44003D7EFAC}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"TCP Query User{C95717FC-3399-47CD-9F00-A9CE8A9128D8}C:\users\sumo\appdata\local\temp\_istmp1.dir\_ins5576._mp" = protocol=6 | dir=in | app=c:\users\sumo\appdata\local\temp\_istmp1.dir\_ins5576._mp |
"UDP Query User{2CA9884B-2DC7-45ED-B524-7C2052458545}C:\users\sumo\appdata\local\temp\_istmp1.dir\_ins5576._mp" = protocol=17 | dir=in | app=c:\users\sumo\appdata\local\temp\_istmp1.dir\_ins5576._mp |
"UDP Query User{4514ABD4-70A8-451A-9015-A1381E5CC95B}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe |
"UDP Query User{58F331DD-6262-4B57-9B01-B860A4A7A7FD}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe |
"UDP Query User{FE07409E-5948-4B05-BB65-259D0A5A783B}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe |
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{02602409-9189-4567-BC07-562605243B69}" = Windows Live Remote Client Resources
"{0481A2EA-DA1D-4D10-A7C3-F8237948F6B5}" = Messenger Companion
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{10F498FF-5392-4DF3-8F73-FE172A9F3800}" = Winbond CIR Device Drivers
"{11316260-6666-467B-AC34-183FCB5D4335}" = Acer Mobility Center Plug-In
"{11E568E0-3244-4BCB-875E-F334269DFDCB}" = iTunes
"{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now Standard
"{13D85C14-2B85-419F-AC41-C7F21E68B25D}" = Acer eSettings Management
"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{19A4A990-5343-4FF7-B3B5-6F046C091EDF}" = Windows Live Remote Client
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{227E8782-B2F4-4E97-B0EE-49DE9CC1C0C0}" = Windows Live Remote Service
"{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron JMB38X Flash Media Controller
"{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21
"{2B4E24A0-A06F-488D-87D8-16738E5E1104}" = Windows Live Family Safety
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{35C0A1E4-D02A-412C-841F-266DBB116ABB}" = Intel(R) PROSet/Wireless WiFi-Software
"{36FDBE6E-6684-462B-AE98-9A39A1B200CC}" = HP Product Assistant
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3A65A74A-5B6E-451A-92D8-50F1182BBE9A}" = Windows Live Remote Service Resources
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5027D37B-3677-4F16-9501-A42288EBDB31}" = Nitro Reader 3
"{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"{57265292-228A-41FA-9AEC-4620CBCC2739}" = Acer eAudio Management
"{574157B0-9D84-49d9-B08B-5296638BF5EE}" = 4300_Help
"{586509F0-350D-48B5-B763-9CC2F8D96C4C}" = Windows Live Sync
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management
"{59BDB81E-9BB8-476E-A0A4-EE053A7FCBCB}" = PDF-XChange Viewer
"{5B63A470-9334-44D1-AF61-6CE2DB565AE9}" = Orion
"{5D09C772-ECB3-442B-9CC6-B4341C78FDC2}" = Apple Application Support
"{5DD4FCBD-A3C1-4155-9E17-4161C70AAABA}" = Segoe UI
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{61AD15B2-50DB-4686-A739-14FE180D4429}" = Windows Live ID Sign-in Assistant
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77DCDCE3-2DED-62F3-8154-05E745472D07}" = Acrobat.com
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{78A96B4C-A643-4D0F-98C2-A8E16A6669F9}" = Windows Live Messenger Companion Core
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{7A7DC702-DEDE-42A8-8722-B3BA724D546F}" = Fax
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{873E4648-6F6E-47F6-A7B2-A6F8DFABDCE6}" = Windows Live Messenger
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8F1B6239-FEA0-450A-A950-B05276CE177C}" = Acer Empowering Technology
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{925F1DB6-E86E-4378-9091-D1F68B0583C9}" = iCloud
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{978C25EE-5777-46e4-8988-732C297CBDBD}" = Status
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B1FD9CE-0776-4f0b-A6F5-C6AB7B650CDF}" = Destinations
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A3B7C670-4A1E-4EE2-950E-C875BC1965D0}" = Copy
"{A5633652-3795-4829-BB0B-644F0279E279}" = Acer eDataSecurity Management
"{A64A5576-D862-44F8-89DC-2B17FCC9B86E}" = Broadcom Gigabit Integrated Controller
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}" = Acer Crystal Eye Webcam 2.0.8
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AB67580-257C-45FF-B8F4-C8C30682091A}_is1" = SIW version 2011.10.29
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}" = QuickTime
"{AF844339-2F8A-4593-81B3-9F4C54038C4E}" = Windows Live MIME IFilter
"{B0B2407C-AA1A-4812-85DA-E833D5BC3E97}" = 4300
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.3.18.0
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}" = HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe 1.4.142.1
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{CFF8B8E8-E086-4DE0-935F-FE22CAB54F80}" = Microsoft Search Enhancement Pack
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow!
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{E09575B2-498D-4C8B-A9D2-623F78574F29}" = AIO_CDB_Software
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E14ADE0E-75F3-4A46-87E5-26692DD626EC}" = Apple Mobile Device Support
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E7112940-5F8E-4918-B9FE-251F2F8DC81F}" = AIO_CDB_ProductContext
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{EB4DF488-AAEF-406F-A341-CB2AAA315B90}" = Windows Live Messenger
"{EBEAF45A-58C3-44c8-8714-87909EBD6BC2}" = 4300Trb
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F53D678E-238F-4A71-9742-08BB6774E9DC}" = Windows Live Family Safety
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FF075778-6E50-47ed-991D-3B07FD4E3250}" = TrayApp
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"AVerMedia A310 (MiniCard, DVB-T)" = AVerMedia A310 (MiniCard, DVB-T) 1.1.0.27
"Avira AntiVir Desktop" = Avira Free Antivirus
"AviSynth" = AviSynth 2.5
"AVMFBox" = FRITZ!Box
"CCleaner" = CCleaner
"ElsterFormular für Privatanwender 12.2.0.6412p" = ElsterFormular für Privatanwender
"ESET Online Scanner" = ESET Online Scanner v3
"Free YouTube Download_is1" = Free YouTube Download 2.3
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.26.706
"GridVista" = Acer GridVista
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now 5
"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2
"InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"InstallWIX_{56009CA3-423B-41F8-884A-E5B049534F15}" = Kaspersky Security Scan
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Firefox 21.0 (x86 de)" = Mozilla Firefox 21.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Security Task Manager" = Security Task Manager 1.8c
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"TomTom HOME" = TomTom HOME 2.8.2.2264
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.1
"WinLiveSuite" = Windows Live Essentials
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 02.06.2013 10:56:39 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 02.06.2013 12:09:15 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 02.06.2013 13:51:49 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 04.06.2013 11:24:31 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 04.06.2013 14:20:00 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 04.06.2013 15:37:50 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 04.06.2013 15:42:26 | Computer Name = sumo-PC | Source = System Restore | ID = 8193
Description =
Error - 04.06.2013 17:52:03 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 05.06.2013 11:28:36 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
Error - 05.06.2013 14:22:22 | Computer Name = sumo-PC | Source = EventSystem | ID = 4609
Description =
[ System Events ]
Error - 16.02.2010 15:39:56 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 17.02.2010 12:01:26 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 19.02.2010 11:47:07 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 20.02.2010 16:17:58 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 21.02.2010 07:50:15 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 22.02.2010 05:27:15 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 22.02.2010 14:17:23 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 24.02.2010 14:30:50 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 25.02.2010 13:10:47 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
Error - 26.02.2010 15:53:27 | Computer Name = sumo-PC | Source = HTTP | ID = 15016
Description =
< End of report >
defogger-Scan Im Logfile von gestern Abend ist nichts mehr drin, oder??? Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:26 on 05/06/2013 (sumo)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Avira hat am 01.06.2013 um 16:09 und 16:28 folgende Funde in Quaräntene verschoben: HTML/ExpKit.Gen3 Ich hoffe, ich habe es richt gemacht. Danke! Gruß momo68 |
|
06.06.2013, 21:01
| #4 |
| /// TB-Ausbilder | BKA-Trojaner eingefangen! Brauche Rat! Ja !! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst: Bitte lesen:Regeln für die Bereinigung
Scan mit Combofix
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
06.06.2013, 22:16
| #5 |
| | BKA-Trojaner eingefangen! Brauche Rat! Hallo ryder, danke für die Begrüßung. Bin ja echt positiv überrascht, dass Du mir so schnell hilfst! Vor lauter Freude und Aufregung  habe ich beim ComboFix-Scan vergessen, die Antivirenprogramme zu deaktivieren, so ein Mist. Was soll ich bitte machen, Scan weiter laufen lassen oder abbrechen und neu scannen.Wird wohl gleich zu Ende sein, Sorry. Gruß momo68 Hallo ryder, ComboFix ist fertig, wenn ich neu scannen soll, sage mir bitte bescheid. Code:
ATTFilter ComboFix 13-06-06.04 - sumo 06.06.2013 22:50:54.1.2 - x86
ausgeführt von:: c:\users\sumo\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\sumo\AppData\Roaming\.#
c:\users\sumo\AppData\Roaming\5365333.exe
c:\users\sumo\AppData\Roaming\9777842.exe
c:\users\sumo\AppData\Roaming\AcroIEHelpe.txt
c:\users\sumo\AppData\Roaming\Adobe\plugs
c:\users\sumo\AppData\Roaming\Adobe\shed
c:\users\sumo\AppData\Roaming\Ibenag
c:\users\sumo\AppData\Roaming\Ibenag\epruma.evl
c:\users\sumo\AppData\Roaming\Ibenag\epruma.tmp
c:\users\sumo\AppData\Roaming\MSA
c:\users\sumo\AppData\Roaming\siw_sdk.dll
c:\users\sumo\AppData\Roaming\srvblck2.tmp
c:\users\sumo\Kaspersky-Online-Scanner-kss12.0.1.117mlg_en-de_ru-de_fr-de_de-de.exe
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-05-06 bis 2013-06-06 ))))))))))))))))))))))))))))))
.
.
2013-06-06 21:00 . 2013-06-06 21:04 -------- d-----w- c:\users\sumo\AppData\Local\temp
2013-06-03 18:40 . 2013-06-03 18:40 -------- d-----w- c:\programdata\Kaspersky Lab
2013-06-03 18:40 . 2013-06-03 18:40 -------- d-----w- c:\program files\Kaspersky Lab
2013-06-02 18:30 . 2013-06-02 18:30 -------- d-----w- c:\program files\NVIDIA Corporation
2013-06-02 17:47 . 2013-06-02 17:47 -------- d-----w- c:\programdata\CSIS
2013-06-02 17:45 . 2013-06-02 17:45 4196808 ----a-w- c:\program files\HeimdalSetup_1.7.1.exe
2013-06-02 12:24 . 2013-06-02 12:24 -------- d-----w- c:\users\sumo\AppData\Local\Macromedia
2013-06-02 12:02 . 2013-06-02 12:02 -------- d-----w- c:\program files\Common Files\Java
2013-06-02 12:01 . 2013-06-02 12:00 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-06-02 00:13 . 2013-06-02 00:13 -------- d-----w- c:\users\susanne\AppData\Local\Mozilla
2013-06-02 00:13 . 2013-06-02 11:59 -------- d-----w- c:\users\susanne\AppData\Local\Mozilla Firefox
2013-06-02 00:05 . 2013-06-02 00:45 -------- d-----w- c:\users\susanne\AppData\Roaming\Apple Computer
2013-05-21 17:02 . 2013-05-21 17:02 -------- d-----w- c:\program files\iPod
2013-05-21 17:02 . 2013-05-21 17:03 -------- d-----w- c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-05-21 17:02 . 2013-05-21 17:03 -------- d-----w- c:\program files\iTunes
2013-05-15 18:16 . 2013-05-05 19:12 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2013-05-15 15:53 . 2013-04-15 14:20 638328 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2013-05-15 15:53 . 2013-04-13 10:56 37376 ----a-w- c:\windows\system32\cdd.dll
2013-05-15 15:53 . 2013-04-09 01:36 2049024 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-02 12:24 . 2012-11-18 20:05 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-06-02 12:24 . 2011-12-20 18:32 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-02 12:00 . 2012-08-20 10:41 866720 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-06-02 12:00 . 2011-01-12 23:16 788896 ----a-w- c:\windows\system32\deployJava1.dll
2013-05-15 15:36 . 2010-06-24 09:33 22240 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2013-05-13 06:19 . 2013-06-04 16:03 7016152 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CB5A9BE7-5E7E-47E7-B619-3A5C5D7C08CF}\mpengine.dll
2013-05-02 00:06 . 2009-10-03 07:15 238872 ------w- c:\windows\system32\MpSigStub.exe
2013-04-04 12:50 . 2010-12-19 12:08 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-03-26 16:23 . 2013-04-21 12:32 27152 ----a-w- c:\windows\system32\nitrolocalmon2.dll
2013-03-26 16:23 . 2013-04-21 12:32 18448 ----a-w- c:\windows\system32\nitrolocalui2.dll
2013-03-11 13:25 . 2013-04-15 16:13 3603816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-03-11 13:25 . 2013-04-15 16:13 3551080 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-09 03:45 . 2013-04-15 16:13 49152 ----a-w- c:\windows\system32\csrsrv.dll
2013-03-09 01:28 . 2013-04-15 16:13 64000 ----a-w- c:\windows\system32\smss.exe
2013-06-04 21:37 . 2013-06-04 21:37 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-03-04 22:38 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"KSS"="c:\program files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-28 6111232]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-04-23 397312]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-04 526896]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-03-07 544768]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-07 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-07 92704]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-07-02 821768]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-05-12 147456]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2008-05-12 167936]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-11 348664]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-05-15 152392]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Users^sumo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^regmonstd.lnk]
path=c:\users\sumo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
backup=c:\windows\pss\regmonstd.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-11-18 12:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/webhp?hl=de&tab=ww
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1208&m=aspire_7730g
uInternet Settings,ProxyServer = socks=127.0.0.1:28960
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\sumo\AppData\Roaming\Mozilla\Firefox\Profiles\7se23oyz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://safesearchr.lavasoft.com/?source=3336ca5f&tbp=url&toolbarid=adawaretb&u=B8D2D51FCFC1E1AA3283CA4F92F15EDB&q=
FF - prefs.js: network.proxy.type - 4
FF - ExtSQL: !HIDDEN! 2009-09-05 09:51; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-PcSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe
AddRemove-AVerMedia A310 (MiniCard, DVB-T) - c:\program files\AVerMedia\AVerMedia A310 (MiniCard
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{6AD8E59C-250C-4201-B5BA-56ADEF76FF46}\bm_installer.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-06 23:06
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2680)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\program files\Microsoft Office\Office10\MLSHEXT.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\WLANExt.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Acer\Empowering Technology\Service\ETService.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Nitro\Reader 3\NitroPDFReaderDriverService3.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-06 23:11:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-06-06 21:11
.
Vor Suchlauf: 9 Verzeichnis(se), 48.798.285.824 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 48.505.683.968 Bytes frei
.
- - End Of File - - 8BFA4EC81FEF075554C86D9E5FA3302B
7BA4C7EA1EF33A92F5F01BE63EDACB6A
Gruß momo68 |
|
07.06.2013, 17:30
| #6 |
| /// TB-Ausbilder | BKA-Trojaner eingefangen! Brauche Rat! Nein das sieht eigentlich schon ziemlich sauber aus. Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Downloade Dir bitteSchritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 3: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ --> BKA-Trojaner eingefangen! Brauche Rat! |
|
07.06.2013, 18:09
| #7 |
| | BKA-Trojaner eingefangen! Brauche Rat! Hallo ryder, ok danke, bin erst mal froh. Habe Malwarebytes und Eset Online Scanner ja schon bei mir drauf. Soll bzw. kann ich diese benutzen oder soll ich diese deinstallieren und besser die von deinem Link installieren? Sorry für diese Frage, will aber nichts falsch machen. Gruß momo68 |
|
07.06.2013, 18:17
| #8 |
| /// TB-Ausbilder | BKA-Trojaner eingefangen! Brauche Rat! Wenn du sie hast ... prima. Dann los.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
08.06.2013, 16:11
| #9 |
| | BKA-Trojaner eingefangen! Brauche Rat! Hallo ryder, gestern Abend bin ich selber abgestürzt  Deshalb kam ich erst vorhin dazu, die Sachen zu erledigen.Hier die Logfiles: Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.08.02 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 sumo :: SUMO-PC [Administrator] 08.06.2013 14:08:25 mbam-log-2013-06-08 (14-08-25).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 240524 Laufzeit: 6 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a628b58bce3d1e49af1c515fb503c7b5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-08 02:30:21
# local_time=2013-06-08 04:30:21 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 409610 409610 0 0
# compatibility_mode=1792 16777215 100 0 52013832 52013832 0 0
# compatibility_mode=5892 16776574 100 100 5335 208227169 0 0
# compatibility_mode=8192 67108863 100 0 63383829 63383829 0 0
# scanned=170173
# found=1
# cleaned=0
# scan_time=7380
C:\Users\sumo\Desktop\7ZipSetup.exe Variante von Win32/Somoto.A Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I
Habe mich wohl zu früh gefreut, so ein Mist. Security-Check: Code:
ATTFilter Results of screen317's Security Check version 0.99.64 Windows Vista Service Pack 2 x86 Internet Explorer 10 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` MVPS Hosts File Spybot - Search & Destroy Malwarebytes Anti-Malware Version 1.75.0.1300 CCleaner Java 7 Update 21 Adobe Flash Player 11.7.700.202 Mozilla Firefox (21.0) ````````Process Check: objlist.exe by Laurent```````` Windows Defender MSASCui.exe Spybot Teatimer.exe is disabled! Avira Antivir avgnt.exe Avira Antivir avguard.exe Windows Defender MSASCui.exe Kaspersky Lab Kaspersky Security Scan 2.0 kss.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
|
08.06.2013, 16:31
| #10 |
| /// TB-Ausbilder | BKA-Trojaner eingefangen! Brauche Rat! Jepp du kannst die Datei jetzt aber löschen. Die bringt Werbung mit. Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
 Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
08.06.2013, 17:00
| #11 |
| | BKA-Trojaner eingefangen! Brauche Rat! Hallo ryder, meinst Du die Datei "7Zip" löschen oder die "Win32/Somoto". Die 7Zip hatte hier über einen Link kürzlich installiert. Ist sie nicht sinnvoll, welchen Zip-Programm würdest Du denn empfehlen? Also ist der Rechner jetzt komplett sauber und es sind nicht irgendwo versteckte Programme oder ähnliches? Habe gelesen, dass der BKA-Trojaner Bilder von Kinderpornos runderläd. Ist das überhaupt richtig? Wenn ja, wo können diese sein bzw. wie kann man das finden? Ich habe nur Sorge, dass so was drauf sein könnte und ich das nicht merke oder nicht finde. Und dann habe ich irgendwann damit Ärger. Werde die o. g. Sachen durchgehen. Vieeeeeeeeeeleeeeeeeeen Dank erst mal! Gruß momo68 |
|
08.06.2013, 17:04
| #12 |
| /// TB-Ausbilder | BKA-Trojaner eingefangen! Brauche Rat! Nein das ist nicht korrekt. Der spielt nur mit der "Angst" und versucht Geld zu erpressen. Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
08.06.2013, 17:43
| #13 |
| | BKA-Trojaner eingefangen! Brauche Rat! Ok, dann bin ja erst mal beruhigt!  Ich hoffe, Du hörst von mir nichts mehr. Schönes Wochenende Gruß momo68 |
|
| Themen zu BKA-Trojaner eingefangen! Brauche Rat! |
| abgesicherten, application/pdf:, benutzerkonto, brauche, eingefangen, falsch, hallo zusammen, html/expkit.gen3, log's, malwarebytes, modus, nicht mehr, nichts, panik, plugin, rojaner gefunden, server ausgelastet, trojan.agent.gen, trojan.fakems, unterwegs, version=1.0, win32/bundled.toolbar.ask-, win32/somoto.a |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
