Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bundestrojaner heute eingefangen

Bundestrojaner heute eingefangen


Log-Analyse und Auswertung: Bundestrojaner heute eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.06.2013, 19:30   #1
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Hallo liebe Community,

Ich habe mir heute einen Bundestrojaner eingefangen. Er forderte mich auf 100 E zu bezahlen. Das tat ich natürlich nicht. Ich konnte durch Kaspersky Rescue per USB wieder auf meinem PC zugreifen. Danach machte ich einen kurzen Scan per Windows Defender und anschließend per Avira einen großen Scan. Viren habe ich gelöscht.
Zuletzt habe ich noch einmal den CCleaner laufen lassen und gelöscht (inklusive Registry).

Ich hoffe durch eure Hilfe jetzt mein System komplett bereinigen zu lassen.

Lg
Bimbus

Alt 06.06.2013, 19:35   #2
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen





Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
    Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
  • Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.





Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.
__________________
Alt 06.06.2013, 19:37   #3
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Servus,



Zitat:
Ich konnte durch Kaspersky Rescue per USB wieder auf meinem PC zugreifen. Danach machte ich einen kurzen Scan per Windows Defender und anschließend per Avira einen großen Scan. Viren habe ich gelöscht.
Und ich darf erraten, was Kaspersky, Windows Defender und Avira gelöscht haben?
Bitte poste die dazugehörigen Logdateien... andernfalls sind solche allgemeinen Informationen wertlos für mich.








Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe
  • Starte bitte dds mit einem Doppelklick.
  • Der Desktop wird verschwinden, das ist normal.
  • Setze bitte einen Haken bei
    • dds.txt ( Sollte angehakt sein )
    • attach.txt
    Ändere keine Einstellungen ohne Anweisung
  • Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
    • dds.txt
    • attach.txt
Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.






Bitte poste mit deiner nächsten Antwort
  • die beiden Logdateien von DDS,
  • die Logdatei von DeFogger,
  • die Logdatei GMER.
__________________
Alt 06.06.2013, 20:00   #4
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Von DDSDS Logfile:
DDS Logfile:
Code:
ATTFilter
DDS (Ver_2012-11-20.01) - NTFS_AMD64 
Internet Explorer: 10.0.9200.16576  BrowserJavaVersion: 10.17.2
Run by Franz at 20:46:53 on 2013-06-06
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8137.6439 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\atieclxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\taskhost.exe
E:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\PROGRA~2\TELEVI~2\bar\1.bin\64barsvc.exe
C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe
C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe
C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe
C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
E:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
E:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
E:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\svchost.exe -k secsvcs
E:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
E:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\Macromed\Flash\FlashUtil64_11_7_700_169_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
mWinlogon: Userinit = userinit.exe
BHO: PriceGong - Price Comparison: {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files (x86)\PriceGong\2.6.11\PriceGongIE.dll
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
BHO: Wajam: {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll
BHO: Logitech SetPoint: {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
BHO: Yontoo: {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll
uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
uRun: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
uRun: [Yontoo Desktop] "C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe"
uRun: [Izosmex] C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe
uRun: [Deroeskoh] C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe
mRun: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
mRun: [D-Link D-Link DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
mRun: [TelevisionFanatic Search Scope Monitor] "C:\PROGRA~2\TELEVI~2\bar\1.bin\64srchmn.exe" /m=2 /w /h
mRun: [iTunesHelper] "E:\Program Files (x86)\iTunes\iTunesHelper.exe"
mRun: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun: [avgnt] "E:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
StartupFolder: C:\Users\Franz\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\OPENOF~1.LNK - E:\Program Files (x86)\Open Office\program\quickstart.exe
mPolicies-Explorer: NoActiveDesktop = dword:1
mPolicies-Explorer: NoActiveDesktopChanges = dword:1
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
IE: Bild in &Microsoft PhotoDraw öffnen - E:\PROGRA~2\MICROS~1\Office\1031\phdintl.dll/phdContext.htm
DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxp://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.203.0.cab
TCP: NameServer = 192.168.178.1
TCP: Interfaces\{4615087B-B1A8-4D47-B88F-3A8645CB4A82} : DHCPNameServer = 192.168.178.1
TCP: Interfaces\{4615087B-B1A8-4D47-B88F-3A8645CB4A82}\577756026416568627D60264279647A70224F687022556075616475627 : DHCPNameServer = 192.168.178.1
TCP: Interfaces\{4615087B-B1A8-4D47-B88F-3A8645CB4A82}\64259445A51275C414E402255607561647562702E4F274 : DHCPNameServer = 192.168.178.2
TCP: Interfaces\{F271B764-14C9-4CE7-BD62-0BE98F989DB3} : DHCPNameServer = 192.168.178.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll
SSODL: WebCheck - <orphaned>
x64-BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre7\bin\ssv.dll
x64-BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre7\bin\jp2ssv.dll
x64-Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
x64-Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
x64-Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - <orphaned>
x64-Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
x64-SSODL: WebCheck - <orphaned>
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\
FF - plugin: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\NP64Stub.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll
FF - plugin: C:\Windows\SysWOW64\npDeployJava1.dll
FF - plugin: C:\Windows\SysWOW64\npmproxy.dll
FF - plugin: E:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R0 amd_sata;amd_sata;C:\Windows\System32\drivers\amd_sata.sys [2012-12-25 78976]
R0 amd_xata;amd_xata;C:\Windows\System32\drivers\amd_xata.sys [2012-12-25 38528]
R1 anodlwf;ANOD Network Security Filter driver;C:\Windows\System32\drivers\anodlwfx.sys [2012-12-28 15872]
R1 avkmgr;avkmgr;C:\Windows\System32\drivers\avkmgr.sys [2013-6-6 28600]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\System32\atiesrxx.exe [2012-12-19 240640]
R2 AMD FUEL Service;AMD FUEL Service;E:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2013-3-28 361984]
R2 AntiVirSchedulerService;Avira Planer;E:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2013-6-6 86752]
R2 AntiVirService;Avira Echtzeit-Scanner;E:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2013-6-6 110816]
R2 AODDriver4.2;AODDriver4.2;E:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys [2012-4-9 57472]
R2 avgntflt;avgntflt;C:\Windows\System32\drivers\avgntflt.sys [2013-6-6 100712]
R2 TelevisionFanaticService;TelevisionFanaticService;C:\PROGRA~2\TELEVI~2\bar\1.bin\64barsvc.exe [2013-1-5 42504]
R2 WajamUpdater;WajamUpdater;C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe [2013-4-4 109064]
R2 Yontoo Desktop Updater;Yontoo Desktop Updater;C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe [2013-4-5 23552]
R3 asmthub3;ASMedia USB3 Hub Service;C:\Windows\System32\drivers\asmthub3.sys [2011-9-14 129000]
R3 asmtxhci;ASMEDIA XHCI Service;C:\Windows\System32\drivers\asmtxhci.sys [2011-9-14 394216]
R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;C:\Windows\System32\drivers\AtihdW76.sys [2012-11-6 96256]
R3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;C:\Windows\System32\drivers\LEqdUsb.sys [2012-9-18 78648]
R3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;C:\Windows\System32\drivers\LHidEqd.sys [2012-9-18 15160]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\System32\drivers\Rt64win7.sys [2012-12-25 565352]
R3 usbfilter;AMD USB Filter Driver;C:\Windows\System32\drivers\usbfilter.sys [2012-12-25 47232]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 SkypeUpdate;Skype Updater;C:\Program Files (x86)\Skype\Updater\Updater.exe [2013-2-28 161384]
S3 amdiox64;AMD IO Driver;C:\Windows\System32\drivers\amdiox64.sys [2012-12-25 46136]
S3 avmeject;AVM Eject;C:\Windows\System32\drivers\avmeject.sys [2010-10-22 14120]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\System32\drivers\fwlanusb.sys [2010-10-22 460800]
S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\System32\drivers\rdpvideominiport.sys [2012-12-26 19456]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\System32\drivers\TsUsbFlt.sys [2012-12-26 57856]
S3 TsUsbGD;Remote Desktop Generic USB Device;C:\Windows\System32\drivers\TsUsbGD.sys [2012-12-26 30208]
S3 USBAAPL64;Apple Mobile USB Driver;C:\Windows\System32\drivers\usbaapl64.sys [2012-9-28 53760]
.
=============== Created Last 30 ================
.
2013-06-06 17:08:22	--------	d-----w-	C:\Program Files\CCleaner
2013-06-06 16:44:05	--------	d-sh--w-	C:\$$PendingFiles
2013-06-06 16:04:20	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Avira
2013-06-06 16:01:49	83160	----a-w-	C:\Windows\System32\drivers\avnetflt.sys
2013-06-06 15:59:07	28600	----a-w-	C:\Windows\System32\drivers\avkmgr.sys
2013-06-06 15:59:07	100712	----a-w-	C:\Windows\System32\drivers\avgntflt.sys
2013-06-06 15:59:06	--------	d-----w-	C:\ProgramData\Avira
2013-06-06 15:49:53	9460464	----a-w-	C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{FC62DBE2-2544-430E-86EE-DF0EA2E5112F}\mpengine.dll
2013-06-06 14:20:20	--------	d-----w-	C:\AMD
2013-06-02 10:56:07	14848	----a-w-	C:\Windows\System32\Spool\prtprocs\x64\MIMFPR0H.DLL
2013-06-02 10:55:49	--------	d-----w-	C:\Program Files\KONICA MINOLTA
2013-05-15 14:14:59	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Upic
2013-05-15 14:14:59	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Ihloat
2013-05-15 14:14:59	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Anotod
2013-05-13 14:49:37	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Ypbaow
2013-05-13 14:49:37	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Utig
2013-05-13 14:49:37	--------	d-----w-	C:\Users\Franz\AppData\Roaming\Egheed
2013-05-11 16:32:05	971680	----a-w-	C:\Windows\System32\deployJava1.dll
2013-05-11 16:32:05	1092512	----a-w-	C:\Windows\System32\npDeployJava1.dll
2013-05-11 16:32:03	108448	----a-w-	C:\Windows\System32\WindowsAccessBridge-64.dll
2013-05-07 19:55:13	283032	----a-w-	C:\Windows\SysWow64\PnkBstrB.xtr
2013-05-07 19:55:10	--------	d-----w-	C:\Users\Franz\AppData\Local\PunkBuster
2013-05-07 19:55:10	--------	d-----w-	C:\Users\Franz\AppData\Local\Chromium
2013-05-07 19:28:11	519000	----a-w-	C:\Windows\System32\d3dx10_40.dll
2013-05-07 19:28:11	452440	----a-w-	C:\Windows\SysWow64\d3dx10_40.dll
2013-05-07 19:28:11	2605920	----a-w-	C:\Windows\System32\D3DCompiler_40.dll
2013-05-07 19:28:11	2036576	----a-w-	C:\Windows\SysWow64\D3DCompiler_40.dll
2013-05-07 19:28:10	5631312	----a-w-	C:\Windows\System32\D3DX9_40.dll
2013-05-07 19:28:10	4379984	----a-w-	C:\Windows\SysWow64\D3DX9_40.dll
2013-05-07 19:25:39	--------	d-----w-	C:\Program Files (x86)\NVIDIA Corporation
2013-05-07 19:25:33	--------	d-----w-	C:\Program Files (x86)\Common Files\Wise Installation Wizard
2013-05-07 19:25:00	283032	----a-w-	C:\Windows\SysWow64\PnkBstrB.exe
2013-05-07 19:25:00	283032	----a-w-	C:\Windows\SysWow64\PnkBstrB.ex0
2013-05-07 19:24:59	76888	----a-w-	C:\Windows\SysWow64\PnkBstrA.exe
2013-05-07 19:24:58	3130440	----a-w-	C:\Windows\SysWow64\pbsvc_blr.exe
.
==================== Find3M  ====================
.
2013-05-13 15:03:52	71048	----a-w-	C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2013-05-13 15:03:52	691592	----a-w-	C:\Windows\SysWow64\FlashPlayerApp.exe
2013-05-02 00:06:08	278800	------w-	C:\Windows\System32\MpSigStub.exe
2013-04-13 05:49:23	135168	----a-w-	C:\Windows\apppatch\AppPatch64\AcXtrnal.dll
2013-04-13 05:49:19	350208	----a-w-	C:\Windows\apppatch\AppPatch64\AcLayers.dll
2013-04-13 05:49:19	308736	----a-w-	C:\Windows\apppatch\AppPatch64\AcGenral.dll
2013-04-13 05:49:19	111104	----a-w-	C:\Windows\apppatch\AppPatch64\acspecfc.dll
2013-04-13 04:45:16	474624	----a-w-	C:\Windows\apppatch\AcSpecfc.dll
2013-04-13 04:45:15	2176512	----a-w-	C:\Windows\apppatch\AcGenral.dll
2013-04-12 14:45:08	1656680	----a-w-	C:\Windows\System32\drivers\ntfs.sys
2013-04-10 06:01:54	265064	----a-w-	C:\Windows\System32\drivers\dxgmms1.sys
2013-04-10 06:01:53	983400	----a-w-	C:\Windows\System32\drivers\dxgkrnl.sys
2013-04-10 03:30:50	3153920	----a-w-	C:\Windows\System32\win32k.sys
2013-04-05 06:52:14	2242048	----a-w-	C:\Windows\System32\wininet.dll
2013-04-05 06:50:36	3958784	----a-w-	C:\Windows\System32\jscript9.dll
2013-04-05 06:50:31	67072	----a-w-	C:\Windows\System32\iesetup.dll
2013-04-05 06:50:31	136704	----a-w-	C:\Windows\System32\iesysprep.dll
2013-04-05 05:28:24	1767424	----a-w-	C:\Windows\SysWow64\wininet.dll
2013-04-05 05:26:26	2877440	----a-w-	C:\Windows\SysWow64\jscript9.dll
2013-04-05 05:26:21	61440	----a-w-	C:\Windows\SysWow64\iesetup.dll
2013-04-05 05:26:21	109056	----a-w-	C:\Windows\SysWow64\iesysprep.dll
2013-04-05 04:43:00	2706432	----a-w-	C:\Windows\System32\mshtml.tlb
2013-04-05 04:29:45	2706432	----a-w-	C:\Windows\SysWow64\mshtml.tlb
2013-04-05 03:51:11	89600	----a-w-	C:\Windows\System32\RegisterIEPKEYs.exe
2013-04-05 03:38:25	71680	----a-w-	C:\Windows\SysWow64\RegisterIEPKEYs.exe
2013-03-19 06:04:06	5550424	----a-w-	C:\Windows\System32\ntoskrnl.exe
2013-03-19 05:53:58	48640	----a-w-	C:\Windows\System32\wwanprotdim.dll
2013-03-19 05:53:58	230400	----a-w-	C:\Windows\System32\wwansvc.dll
2013-03-19 05:46:56	43520	----a-w-	C:\Windows\System32\csrsrv.dll
2013-03-19 05:04:13	3968856	----a-w-	C:\Windows\SysWow64\ntkrnlpa.exe
2013-03-19 05:04:10	3913560	----a-w-	C:\Windows\SysWow64\ntoskrnl.exe
2013-03-19 04:47:50	6656	----a-w-	C:\Windows\SysWow64\apisetschema.dll
2013-03-19 03:06:33	112640	----a-w-	C:\Windows\System32\smss.exe
2013-03-08 19:42:49	95648	----a-w-	C:\Windows\SysWow64\WindowsAccessBridge-32.dll
2013-03-08 19:42:48	861088	----a-w-	C:\Windows\SysWow64\npDeployJava1.dll
2013-03-08 19:42:48	782240	----a-w-	C:\Windows\SysWow64\deployJava1.dll
2006-05-03 09:06:54	163328	--sha-r-	C:\Windows\SysWOW64\flvDX.dll
2007-02-21 10:47:16	31232	--sha-r-	C:\Windows\SysWOW64\msfDX.dll
2008-03-16 12:30:52	216064	--sha-r-	C:\Windows\SysWOW64\nbDX.dll
2010-01-06 22:00:00	107520	--sha-r-	C:\Windows\SysWOW64\TAKDSDecoder.dll
.
============= FINISH: 20:47:00.81 ===============
[/CODE]
--- --- ---
--- --- ---





.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 24.12.2012 22:21:03
System Uptime: 06.06.2013 17:46:18 (3 hours ago)
.
Motherboard: ASUSTeK COMPUTER INC. | | M5A99X EVO
Processor: AMD FX(tm)-4100 Quad-Core Processor | AM3r2 | 3600/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 60 GiB total, 23.246 GiB free.
D: is CDROM ()
E: is FIXED (NTFS) - 466 GiB total, 352.75 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: AODDriver4.01
Device ID: ROOT\LEGACY_AODDRIVER4.01\0000
Manufacturer:
Name: AODDriver4.01
PNP Device ID: ROOT\LEGACY_AODDRIVER4.01\0000
Service: AODDriver4.01
.
==== System Restore Points ===================
.
RP91: 06.06.2013 17:49:47 - Windows Update
.
==== Installed Programs ======================
.
7-Zip 9.20 (x64 edition)
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader XI (11.0.03) - Deutsch
AMD Accelerated Video Transcoding
AMD APP SDK Runtime
AMD Catalyst Install Manager
AMD Drag and Drop Transcoding
AMD Fuel
AMD Media Foundation Decoders
AMD VISION Engine Control Center
AnotherLife Client Version 1.0.1
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Asmedia ASM104x USB 3.0 Host Controller Driver
aTube Catcher
Audacity 2.0.3
Avira Free Antivirus
Battlefield Heroes
Blacklight Retribution
Bonjour
Catalyst Control Center - Branding
Catalyst Control Center Graphics Previews Common
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
ccc-utility64
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCleaner
CPUID HWMonitor 1.21
D-Link DWA-140
DVD Flick 1.3.0.7
eReg
Euro Truck Simulator 1.00
Free Video to DVD Converter version 5.0.22.128
FreeRIP 3.92
Funkyplot 1.1.0-pre1
GeoGebra 4.2
Grand Theft Auto San Andreas
IrfanView (remove only)
iTunes
Java 7 Update 17
Java 7 Update 21 (64-bit)
Java Auto Updater
Java SE Development Kit 7 Update 21 (64-bit)
JMicron JMB36X Driver
KONICA MINOLTA magicolor 1600W
Logitech SetPoint 6.51
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft .NET Framework 4 Extended
Microsoft .NET Framework 4 Extended DEU Language Pack
Microsoft Office 2000 SR-1 Disc 2
Microsoft PhotoDraw 2000 V2
Microsoft Silverlight
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Mozilla Firefox 21.0 (x86 de)
Nero 7 Essentials
Nightly 23.0a1 (x64 en-US)
NVIDIA PhysX
OpenOffice.org 3.4.1
PriceGong 2.6.11
PunkBuster Services
Qtrax Player
Realtek Ethernet Controller Driver
Realtek High Definition Audio Driver
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2736428)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2789642)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2804576)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Security Update for Microsoft .NET Framework 4 Extended (KB2736428)
Security Update for Microsoft .NET Framework 4 Extended (KB2742595)
Skype™ 6.3
SUPER © v2012.build.54 (Nov 18, 2012) Version v2012.build.54
Synthesia
TeamSpeak 3 Client
TelevisionFanatic Toolbar
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
Update for Video Converter
Video Converter Packages
VirtualDJ Home FREE
VLC media player 2.0.5
Wajam
World of Tanks
XMedia Recode Version 3.1.4.8
Yontoo 2.051
.
==== End Of File ===========================


Defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:47 on 06/06/2013 (Franz)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Von Gmer:

GMER Logfile:
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-06-06 20:56:31
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000065 SAMSUNG_ rev.CXM0 59.63GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\Franz\AppData\Local\Temp\pgloypog.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 560                                                                  fffff80002fa4000 45 bytes [00, 00, 00, 00, 00, 00, 00, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 607                                                                  fffff80002fa402f 16 bytes [00, 00, 00, 00, 00, 00, 00, ...]

---- User code sections - GMER 2.1 ----

.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322                                             0000000073cf1a22 2 bytes [CF, 73]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496                                             0000000073cf1ad0 2 bytes [CF, 73]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552                                             0000000073cf1b08 2 bytes [CF, 73]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730                                             0000000073cf1bba 2 bytes [CF, 73]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762                                             0000000073cf1bda 2 bytes [CF, 73]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                      00000000759b1465 2 bytes [9B, 75]
.text     C:\Windows\SysWOW64\PnkBstrA.exe[1792] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                     00000000759b14bb 2 bytes [9B, 75]
.text     ...                                                                                                                                 * 2
.text     C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe[2012] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69                   00000000759b1465 2 bytes [9B, 75]
.text     C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe[2012] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155                  00000000759b14bb 2 bytes [9B, 75]
.text     ...                                                                                                                                 * 2
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W              0000000077dc25fd 6 bytes [68, 04, 69, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A              0000000077dd2a63 6 bytes [68, 4A, 69, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W              0000000077df4128 6 bytes [68, 90, 69, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A              0000000077dfe659 6 bytes [68, D6, 69, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetDC                            00000000759d72c4 6 bytes [68, 84, F9, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!ReleaseDC                        00000000759d7446 6 bytes [68, 02, FA, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!TranslateMessage                 00000000759d7809 6 bytes [68, 1D, A4, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetMessageW                      00000000759d78e2 6 bytes [68, 2E, 00, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetMessageA                      00000000759d7bd3 6 bytes [68, 56, 00, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetWindowDC                      00000000759d8048 6 bytes [68, C3, F9, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!RegisterClassW                   00000000759d8a65 6 bytes [68, 08, 6C, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!RegisterClassExW                 00000000759db17d 6 bytes [68, A2, 6C, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!RegisterClassExA                 00000000759ddb98 6 bytes [68, F4, 6C, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!PeekMessageW                     00000000759e05ba 6 bytes [68, 7E, 00, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!CallWindowProcW                  00000000759e0d32 6 bytes [68, 3A, 6B, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetCursorPos                     00000000759e1218 6 bytes [68, 61, FE, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!EndPaint                         00000000759e1341 6 bytes [68, E9, F8, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!BeginPaint                       00000000759e1361 6 bytes [68, 79, F8, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetMessagePos                    00000000759e2a8d 6 bytes [68, 2F, FE, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetCapture                       00000000759e2aac 6 bytes [68, 8F, FF, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetDCEx                          00000000759e3391 6 bytes [68, 29, F9, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!RegisterClassA                   00000000759e434b 6 bytes [68, 55, 6C, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!PeekMessageA                     00000000759e5f74 6 bytes [68, A9, 00, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                     00000000759e6222 6 bytes [68, D5, FA, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!CallWindowProcA                  00000000759e792f 6 bytes [68, 83, 6B, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!DefFrameProcA                    00000000759e7fbb 6 bytes [68, 65, 6A, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA                 00000000759e810c 6 bytes [68, F4, 6A, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!DefFrameProcW                    00000000759e85c1 6 bytes [68, 1C, 6A, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW                 00000000759e86b4 6 bytes [68, AE, 6A, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetUpdateRect                    00000000759fd41f 6 bytes [68, 42, FA, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!ReleaseCapture                   00000000759fed49 6 bytes [68, 3F, FF, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!SetCapture                       00000000759fed56 6 bytes [68, E5, FE, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!SwitchDesktop                    0000000075a19854 6 bytes [68, E6, 68, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!SetCursorPos                     0000000075a19cfd 6 bytes [68, A8, FE, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!GetClipboardData                 0000000075a19f1d 6 bytes [68, CC, A5, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\USER32.dll!OpenInputDesktop                 0000000075a387cb 6 bytes [68, 96, 68, D7, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WS2_32.dll!closesocket                      0000000076e53918 6 bytes [68, 7B, F5, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                      0000000076e54296 6 bytes [68, 8C, F1, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WS2_32.dll!WSASend                          0000000076e54406 6 bytes [68, D4, F5, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WS2_32.dll!send                             0000000076e56f01 6 bytes [68, B3, F5, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WS2_32.dll!gethostbyname                    0000000076e67673 6 bytes [68, 1C, F1, D6, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!InternetCloseHandle             0000000077423cc2 6 bytes [68, 36, 19, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA                  0000000077426ab7 6 bytes [68, D6, 1A, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpSendRequestW                00000000774276e6 6 bytes [68, BC, 16, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW                0000000077427e1d 6 bytes [68, 34, 16, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable      000000007747a1ad 6 bytes [68, AA, 1A, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!InternetReadFile                000000007747a5ef 6 bytes [68, A3, 19, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!InternetReadFileExA             0000000077481aa2 6 bytes [68, D1, 19, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW              000000007748a74d 6 bytes [68, 66, 17, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpEndRequestA                 000000007748ad40 6 bytes [68, A0, 18, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer          00000000774aad1d 6 bytes [68, 50, 1A, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpEndRequestW                 00000000774f56ed 6 bytes [68, EB, 18, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA              00000000774f57a6 6 bytes [68, 03, 18, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpSendRequestA                00000000774f5876 6 bytes [68, 11, 17, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA                00000000774f5b15 6 bytes [68, 78, 16, D8, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe[2504] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore              00000000776d1224 6 bytes [68, 51, 1D, D8, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess                     0000000077db08fc 6 bytes [68, A0, CF, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W                    0000000077dc25fd 6 bytes [68, BD, 57, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                              0000000077dcc45a 6 bytes [68, CB, D0, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A                    0000000077dd2a63 6 bytes [68, 03, 58, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W                    0000000077df4128 6 bytes [68, 49, 58, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A                    0000000077dfe659 6 bytes [68, 8F, 58, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\KERNEL32.dll!GetFileAttributesExW                 0000000076d5455c 6 bytes [68, 34, D3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\KERNEL32.dll!ExitProcess                          0000000076d579f8 6 bytes [68, F3, D2, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                 00000000778fc592 6 bytes [68, B1, D3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                 0000000077932538 6 bytes [68, 9A, D3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetDC                                  00000000759d72c4 6 bytes [68, 92, 18, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!ReleaseDC                              00000000759d7446 6 bytes [68, 10, 19, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!TranslateMessage                       00000000759d7809 6 bytes [68, A5, 5D, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetMessageW                            00000000759d78e2 6 bytes [68, 22, DE, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetMessageA                            00000000759d7bd3 6 bytes [68, 4A, DE, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetWindowDC                            00000000759d8048 6 bytes [68, D1, 18, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!RegisterClassW                         00000000759d8a65 6 bytes [68, C1, 5A, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!RegisterClassExW                       00000000759db17d 6 bytes [68, 5B, 5B, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!RegisterClassExA                       00000000759ddb98 6 bytes [68, AD, 5B, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!PeekMessageW                           00000000759e05ba 6 bytes [68, 72, DE, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!CallWindowProcW                        00000000759e0d32 6 bytes [68, F3, 59, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetCursorPos                           00000000759e1218 6 bytes [68, 55, DC, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!EndPaint                               00000000759e1341 6 bytes [68, F7, 17, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!BeginPaint                             00000000759e1361 6 bytes [68, 87, 17, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetMessagePos                          00000000759e2a8d 6 bytes [68, 23, DC, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetCapture                             00000000759e2aac 6 bytes [68, 83, DD, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetDCEx                                00000000759e3391 6 bytes [68, 37, 18, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!RegisterClassA                         00000000759e434b 6 bytes [68, 0E, 5B, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!PeekMessageA                           00000000759e5f74 6 bytes [68, 9D, DE, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                           00000000759e6222 6 bytes [68, E3, 19, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!CallWindowProcA                        00000000759e792f 6 bytes [68, 3C, 5A, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!DefFrameProcA                          00000000759e7fbb 6 bytes [68, 1E, 59, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA                       00000000759e810c 6 bytes [68, AD, 59, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!DefFrameProcW                          00000000759e85c1 6 bytes [68, D5, 58, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW                       00000000759e86b4 6 bytes [68, 67, 59, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetUpdateRect                          00000000759fd41f 6 bytes [68, 50, 19, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!ReleaseCapture                         00000000759fed49 6 bytes [68, 33, DD, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!SetCapture                             00000000759fed56 6 bytes [68, D9, DC, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!SwitchDesktop                          0000000075a19854 6 bytes [68, 9F, 57, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!SetCursorPos                           0000000075a19cfd 6 bytes [68, 9C, DC, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!GetClipboardData                       0000000075a19f1d 6 bytes [68, 54, 5F, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\USER32.dll!OpenInputDesktop                       0000000075a387cb 6 bytes [68, 4F, 57, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore                    00000000776d1224 6 bytes [68, 89, 7E, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WS2_32.dll!closesocket                            0000000076e53918 6 bytes [68, 27, E3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                            0000000076e54296 6 bytes [68, 38, DF, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WS2_32.dll!WSASend                                0000000076e54406 6 bytes [68, 80, E3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WS2_32.dll!send                                   0000000076e56f01 6 bytes [68, 5F, E3, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WS2_32.dll!gethostbyname                          0000000076e67673 6 bytes [68, C8, DE, 31, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!InternetCloseHandle                   0000000077423cc2 6 bytes [68, DC, 08, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA                        0000000077426ab7 6 bytes [68, 7C, 0A, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpSendRequestW                      00000000774276e6 6 bytes [68, 62, 06, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW                      0000000077427e1d 6 bytes [68, DA, 05, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable            000000007747a1ad 6 bytes [68, 50, 0A, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!InternetReadFile                      000000007747a5ef 6 bytes [68, 49, 09, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!InternetReadFileExA                   0000000077481aa2 6 bytes [68, 77, 09, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW                    000000007748a74d 6 bytes [68, 0C, 07, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpEndRequestA                       000000007748ad40 6 bytes [68, 46, 08, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer                00000000774aad1d 6 bytes [68, F6, 09, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpEndRequestW                       00000000774f56ed 6 bytes [68, 91, 08, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA                    00000000774f57a6 6 bytes [68, A9, 07, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpSendRequestA                      00000000774f5876 6 bytes [68, B7, 06, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe[2584] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA                      00000000774f5b15 6 bytes [68, 1E, 06, 32, 05, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess                             0000000077db08fc 4 bytes [68, A0, CF, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess + 5                         0000000077db0901 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W                            0000000077dc25fd 6 bytes [68, BD, 57, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                                      0000000077dcc45a 6 bytes [68, CB, D0, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A                            0000000077dd2a63 6 bytes [68, 03, 58, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W                            0000000077df4128 6 bytes [68, 49, 58, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A                            0000000077dfe659 6 bytes [68, 8F, 58, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW                         0000000076d5455c 6 bytes [68, 34, D3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\kernel32.dll!ExitProcess                                  0000000076d579f8 6 bytes [68, F3, D2, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetDC                                          00000000759d72c4 4 bytes [68, 92, 18, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetDC + 5                                      00000000759d72c9 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!ReleaseDC                                      00000000759d7446 6 bytes [68, 10, 19, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!TranslateMessage                               00000000759d7809 6 bytes [68, A5, 5D, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetMessageW                                    00000000759d78e2 6 bytes [68, 22, DE, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetMessageA                                    00000000759d7bd3 6 bytes [68, 4A, DE, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetWindowDC                                    00000000759d8048 4 bytes [68, D1, 18, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetWindowDC + 5                                00000000759d804d 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!RegisterClassW                                 00000000759d8a65 6 bytes [68, C1, 5A, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!RegisterClassExW                               00000000759db17d 6 bytes [68, 5B, 5B, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!RegisterClassExA                               00000000759ddb98 6 bytes [68, AD, 5B, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!PeekMessageW                                   00000000759e05ba 6 bytes [68, 72, DE, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!CallWindowProcW                                00000000759e0d32 6 bytes [68, F3, 59, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetCursorPos                                   00000000759e1218 6 bytes [68, 55, DC, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!EndPaint                                       00000000759e1341 4 bytes [68, F7, 17, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!EndPaint + 5                                   00000000759e1346 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!BeginPaint                                     00000000759e1361 4 bytes [68, 87, 17, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!BeginPaint + 5                                 00000000759e1366 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetMessagePos                                  00000000759e2a8d 6 bytes [68, 23, DC, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetCapture                                     00000000759e2aac 6 bytes [68, 83, DD, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetDCEx                                        00000000759e3391 4 bytes [68, 37, 18, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetDCEx + 5                                    00000000759e3396 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!RegisterClassA                                 00000000759e434b 6 bytes [68, 0E, 5B, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!PeekMessageA                                   00000000759e5f74 6 bytes [68, 9D, DE, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                                   00000000759e6222 6 bytes [68, E3, 19, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!CallWindowProcA                                00000000759e792f 6 bytes [68, 3C, 5A, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!DefFrameProcA                                  00000000759e7fbb 6 bytes [68, 1E, 59, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA                               00000000759e810c 6 bytes [68, AD, 59, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!DefFrameProcW                                  00000000759e85c1 6 bytes [68, D5, 58, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW                               00000000759e86b4 6 bytes [68, 67, 59, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetUpdateRect                                  00000000759fd41f 6 bytes [68, 50, 19, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!ReleaseCapture                                 00000000759fed49 6 bytes [68, 33, DD, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!SetCapture                                     00000000759fed56 4 bytes [68, D9, DC, 4F]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!SetCapture + 5                                 00000000759fed5b 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!SwitchDesktop                                  0000000075a19854 6 bytes [68, 9F, 57, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!SetCursorPos                                   0000000075a19cfd 6 bytes [68, 9C, DC, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!GetClipboardData                               0000000075a19f1d 6 bytes [68, 54, 5F, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!OpenInputDesktop                               0000000075a387cb 4 bytes [68, 4F, 57, 50]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\USER32.dll!OpenInputDesktop + 5                           0000000075a387d0 1 byte [C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                         00000000778fc592 6 bytes [68, B1, D3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                         0000000077932538 6 bytes [68, 9A, D3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WS2_32.dll!closesocket                                    0000000076e53918 6 bytes [68, 27, E3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                                    0000000076e54296 6 bytes [68, 38, DF, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WS2_32.dll!WSASend                                        0000000076e54406 6 bytes [68, 80, E3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WS2_32.dll!send                                           0000000076e56f01 6 bytes [68, 5F, E3, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WS2_32.dll!gethostbyname                                  0000000076e67673 6 bytes [68, C8, DE, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore                            00000000776d1224 6 bytes [68, 89, 7E, 4F, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!InternetCloseHandle                           0000000077423cc2 6 bytes [68, DC, 08, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA                                0000000077426ab7 6 bytes [68, 7C, 0A, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpSendRequestW                              00000000774276e6 6 bytes [68, 62, 06, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW                              0000000077427e1d 6 bytes [68, DA, 05, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable                    000000007747a1ad 6 bytes [68, 50, 0A, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!InternetReadFile                              000000007747a5ef 6 bytes [68, 49, 09, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!InternetReadFileExA                           0000000077481aa2 6 bytes [68, 77, 09, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW                            000000007748a74d 6 bytes [68, 0C, 07, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpEndRequestA                               000000007748ad40 6 bytes [68, 46, 08, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer                        00000000774aad1d 6 bytes [68, F6, 09, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpEndRequestW                               00000000774f56ed 6 bytes [68, 91, 08, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA                            00000000774f57a6 6 bytes [68, A9, 07, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpSendRequestA                              00000000774f5876 6 bytes [68, B7, 06, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe[2608] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA                              00000000774f5b15 6 bytes [68, 1E, 06, 50, 00, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess                               0000000077db08fc 6 bytes [68, BC, 38, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W                              0000000077dc25fd 6 bytes [68, 04, 69, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                                        0000000077dcc45a 6 bytes [68, E1, 39, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A                              0000000077dd2a63 6 bytes [68, 4A, 69, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W                              0000000077df4128 6 bytes [68, 90, 69, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A                              0000000077dfe659 6 bytes [68, D6, 69, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW                           0000000076d5455c 6 bytes [68, 4A, 3C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\kernel32.dll!ExitProcess                                    0000000076d579f8 6 bytes [68, 09, 3C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetDC                                            00000000759d72c4 6 bytes [68, 84, F9, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!ReleaseDC                                        00000000759d7446 6 bytes [68, 02, FA, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!TranslateMessage                                 00000000759d7809 6 bytes [68, 1D, A4, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetMessageW                                      00000000759d78e2 6 bytes [68, 2E, 00, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetMessageA                                      00000000759d7bd3 6 bytes [68, 56, 00, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetWindowDC                                      00000000759d8048 6 bytes [68, C3, F9, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!RegisterClassW                                   00000000759d8a65 6 bytes [68, 08, 6C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!RegisterClassExW                                 00000000759db17d 6 bytes [68, A2, 6C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!RegisterClassExA                                 00000000759ddb98 6 bytes [68, F4, 6C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!PeekMessageW                                     00000000759e05ba 6 bytes [68, 7E, 00, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!CallWindowProcW                                  00000000759e0d32 6 bytes [68, 3A, 6B, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetCursorPos                                     00000000759e1218 6 bytes [68, 61, FE, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!EndPaint                                         00000000759e1341 6 bytes [68, E9, F8, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!BeginPaint                                       00000000759e1361 6 bytes [68, 79, F8, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetMessagePos                                    00000000759e2a8d 6 bytes [68, 2F, FE, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetCapture                                       00000000759e2aac 6 bytes [68, 8F, FF, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetDCEx                                          00000000759e3391 6 bytes [68, 29, F9, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!RegisterClassA                                   00000000759e434b 6 bytes [68, 55, 6C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!PeekMessageA                                     00000000759e5f74 6 bytes [68, A9, 00, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                                     00000000759e6222 6 bytes [68, D5, FA, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!CallWindowProcA                                  00000000759e792f 6 bytes [68, 83, 6B, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!DefFrameProcA                                    00000000759e7fbb 6 bytes [68, 65, 6A, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA                                 00000000759e810c 6 bytes [68, F4, 6A, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!DefFrameProcW                                    00000000759e85c1 6 bytes [68, 1C, 6A, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW                                 00000000759e86b4 6 bytes [68, AE, 6A, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetUpdateRect                                    00000000759fd41f 6 bytes [68, 42, FA, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!ReleaseCapture                                   00000000759fed49 6 bytes [68, 3F, FF, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!SetCapture                                       00000000759fed56 6 bytes [68, E5, FE, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!SwitchDesktop                                    0000000075a19854 6 bytes [68, E6, 68, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!SetCursorPos                                     0000000075a19cfd 6 bytes [68, A8, FE, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!GetClipboardData                                 0000000075a19f1d 6 bytes [68, CC, A5, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\USER32.dll!OpenInputDesktop                                 0000000075a387cb 6 bytes [68, 96, 68, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                           00000000778fc592 6 bytes [68, C7, 3C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                           0000000077932538 6 bytes [68, B0, 3C, D3, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WS2_32.dll!closesocket                                      0000000076e53918 6 bytes [68, 7B, F5, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                                      0000000076e54296 6 bytes [68, 8C, F1, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WS2_32.dll!WSASend                                          0000000076e54406 6 bytes [68, D4, F5, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WS2_32.dll!send                                             0000000076e56f01 6 bytes [68, B3, F5, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WS2_32.dll!gethostbyname                                    0000000076e67673 6 bytes [68, 1C, F1, D2, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore                              00000000776d1224 6 bytes [68, 51, 1D, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!InternetCloseHandle                             0000000077423cc2 6 bytes [68, 36, 19, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA                                  0000000077426ab7 6 bytes [68, D6, 1A, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpSendRequestW                                00000000774276e6 6 bytes [68, BC, 16, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW                                0000000077427e1d 6 bytes [68, 34, 16, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable                      000000007747a1ad 6 bytes [68, AA, 1A, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!InternetReadFile                                000000007747a5ef 6 bytes [68, A3, 19, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!InternetReadFileExA                             0000000077481aa2 6 bytes [68, D1, 19, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW                              000000007748a74d 6 bytes [68, 66, 17, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpEndRequestA                                 000000007748ad40 6 bytes [68, A0, 18, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer                          00000000774aad1d 6 bytes [68, 50, 1A, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpEndRequestW                                 00000000774f56ed 6 bytes [68, EB, 18, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA                              00000000774f57a6 6 bytes [68, 03, 18, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpSendRequestA                                00000000774f5876 6 bytes [68, 11, 17, D4, 01, C3]
.text     C:\Users\Franz\AppData\Roaming\Upic\ysiwy.exe[2640] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA                                00000000774f5b15 6 bytes [68, 78, 16, D4, 01, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess           0000000077db08fc 6 bytes {ADD [RAX-0x60], CH; IRET ; JMP 0x9}
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W          0000000077dc25fd 6 bytes [68, BD, 57, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                    0000000077dcc45a 6 bytes [68, CB, D0, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A          0000000077dd2a63 6 bytes [68, 03, 58, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W          0000000077df4128 6 bytes [68, 49, 58, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A          0000000077dfe659 6 bytes [68, 8F, 58, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW       0000000076d5455c 6 bytes [68, 34, D3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\kernel32.dll!ExitProcess                0000000076d579f8 6 bytes [68, F3, D2, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetDC                        00000000759d72c4 6 bytes [68, 92, 18, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!ReleaseDC                    00000000759d7446 6 bytes [68, 10, 19, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!TranslateMessage             00000000759d7809 6 bytes [68, A5, 5D, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetMessageW                  00000000759d78e2 6 bytes [68, 22, DE, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetMessageA                  00000000759d7bd3 6 bytes [68, 4A, DE, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetWindowDC                  00000000759d8048 6 bytes [68, D1, 18, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!RegisterClassW               00000000759d8a65 6 bytes [68, C1, 5A, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!RegisterClassExW             00000000759db17d 6 bytes [68, 5B, 5B, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!RegisterClassExA             00000000759ddb98 6 bytes [68, AD, 5B, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!PeekMessageW                 00000000759e05ba 6 bytes [68, 72, DE, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!CallWindowProcW              00000000759e0d32 6 bytes [68, F3, 59, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetCursorPos                 00000000759e1218 6 bytes [68, 55, DC, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!EndPaint                     00000000759e1341 6 bytes [68, F7, 17, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!BeginPaint                   00000000759e1361 6 bytes [68, 87, 17, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetMessagePos                00000000759e2a8d 6 bytes [68, 23, DC, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetCapture                   00000000759e2aac 6 bytes [68, 83, DD, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetDCEx                      00000000759e3391 6 bytes [68, 37, 18, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!RegisterClassA               00000000759e434b 6 bytes [68, 0E, 5B, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!PeekMessageA                 00000000759e5f74 6 bytes [68, 9D, DE, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                 00000000759e6222 6 bytes [68, E3, 19, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!CallWindowProcA              00000000759e792f 6 bytes [68, 3C, 5A, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!DefFrameProcA                00000000759e7fbb 6 bytes [68, 1E, 59, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA             00000000759e810c 6 bytes [68, AD, 59, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!DefFrameProcW                00000000759e85c1 6 bytes [68, D5, 58, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW             00000000759e86b4 6 bytes [68, 67, 59, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetUpdateRect                00000000759fd41f 6 bytes [68, 50, 19, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!ReleaseCapture               00000000759fed49 6 bytes [68, 33, DD, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!SetCapture                   00000000759fed56 6 bytes [68, D9, DC, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!SwitchDesktop                0000000075a19854 6 bytes [68, 9F, 57, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!SetCursorPos                 0000000075a19cfd 6 bytes [68, 9C, DC, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!GetClipboardData             0000000075a19f1d 6 bytes [68, 54, 5F, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\USER32.dll!OpenInputDesktop             0000000075a387cb 6 bytes [68, 4F, 57, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW       00000000778fc592 6 bytes [68, B1, D3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA       0000000077932538 6 bytes [68, 9A, D3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WS2_32.dll!closesocket                  0000000076e53918 6 bytes [68, 27, E3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                  0000000076e54296 6 bytes [68, 38, DF, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WS2_32.dll!WSASend                      0000000076e54406 6 bytes [68, 80, E3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WS2_32.dll!send                         0000000076e56f01 6 bytes [68, 5F, E3, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WS2_32.dll!gethostbyname                0000000076e67673 6 bytes [68, C8, DE, EB, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!InternetCloseHandle         0000000077423cc2 6 bytes [68, DC, 08, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA              0000000077426ab7 6 bytes [68, 7C, 0A, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpSendRequestW            00000000774276e6 6 bytes [68, 62, 06, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW            0000000077427e1d 6 bytes [68, DA, 05, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable  000000007747a1ad 6 bytes [68, 50, 0A, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!InternetReadFile            000000007747a5ef 6 bytes [68, 49, 09, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!InternetReadFileExA         0000000077481aa2 6 bytes [68, 77, 09, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW          000000007748a74d 6 bytes [68, 0C, 07, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpEndRequestA             000000007748ad40 6 bytes [68, 46, 08, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer      00000000774aad1d 6 bytes [68, F6, 09, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpEndRequestW             00000000774f56ed 6 bytes [68, 91, 08, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA          00000000774f57a6 6 bytes [68, A9, 07, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpSendRequestA            00000000774f5876 6 bytes [68, B7, 06, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA            00000000774f5b15 6 bytes [68, 1E, 06, EC, 03, C3]
.text     C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe[2896] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore          00000000776d1224 6 bytes [68, 89, 7E, EB, 03, C3]
.text     C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe[3000] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW                  0000000076d5455c 6 bytes [68, 34, D3, FB, 01, C3]
.text     C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe[3000] C:\Windows\syswow64\kernel32.dll!ExitProcess                           0000000076d579f8 6 bytes [68, F3, D2, FB, 01, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess                              0000000077db08fc 6 bytes [68, A0, CF, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W                             0000000077dc25fd 6 bytes [68, BD, 57, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                                       0000000077dcc45a 6 bytes [68, CB, D0, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A                             0000000077dd2a63 6 bytes [68, 03, 58, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W                             0000000077df4128 6 bytes [68, 49, 58, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A                             0000000077dfe659 6 bytes [68, 8F, 58, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW                          0000000076d5455c 6 bytes [68, 34, D3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\kernel32.dll!ExitProcess                                   0000000076d579f8 6 bytes [68, F3, D2, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                          00000000778fc592 6 bytes [68, B1, D3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                          0000000077932538 6 bytes [68, 9A, D3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetDC                                           00000000759d72c4 6 bytes [68, 92, 18, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!ReleaseDC                                       00000000759d7446 6 bytes [68, 10, 19, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!TranslateMessage                                00000000759d7809 6 bytes [68, A5, 5D, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetMessageW                                     00000000759d78e2 6 bytes [68, 22, DE, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetMessageA                                     00000000759d7bd3 6 bytes [68, 4A, DE, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetWindowDC                                     00000000759d8048 6 bytes [68, D1, 18, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!RegisterClassW                                  00000000759d8a65 6 bytes [68, C1, 5A, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!RegisterClassExW                                00000000759db17d 6 bytes [68, 5B, 5B, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!RegisterClassExA                                00000000759ddb98 6 bytes [68, AD, 5B, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!PeekMessageW                                    00000000759e05ba 6 bytes [68, 72, DE, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!CallWindowProcW                                 00000000759e0d32 6 bytes [68, F3, 59, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetCursorPos                                    00000000759e1218 6 bytes [68, 55, DC, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!EndPaint                                        00000000759e1341 6 bytes [68, F7, 17, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!BeginPaint                                      00000000759e1361 6 bytes [68, 87, 17, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetMessagePos                                   00000000759e2a8d 6 bytes [68, 23, DC, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetCapture                                      00000000759e2aac 6 bytes [68, 83, DD, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetDCEx                                         00000000759e3391 6 bytes [68, 37, 18, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!RegisterClassA                                  00000000759e434b 6 bytes [68, 0E, 5B, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!PeekMessageA                                    00000000759e5f74 6 bytes [68, 9D, DE, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                                    00000000759e6222 6 bytes [68, E3, 19, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!CallWindowProcA                                 00000000759e792f 6 bytes [68, 3C, 5A, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!DefFrameProcA                                   00000000759e7fbb 6 bytes [68, 1E, 59, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA                                00000000759e810c 6 bytes [68, AD, 59, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!DefFrameProcW                                   00000000759e85c1 6 bytes [68, D5, 58, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW                                00000000759e86b4 6 bytes [68, 67, 59, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetUpdateRect                                   00000000759fd41f 6 bytes [68, 50, 19, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!ReleaseCapture                                  00000000759fed49 6 bytes [68, 33, DD, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!SetCapture                                      00000000759fed56 6 bytes [68, D9, DC, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!SwitchDesktop                                   0000000075a19854 6 bytes [68, 9F, 57, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!SetCursorPos                                    0000000075a19cfd 6 bytes [68, 9C, DC, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!GetClipboardData                                0000000075a19f1d 6 bytes [68, 54, 5F, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\USER32.dll!OpenInputDesktop                                0000000075a387cb 6 bytes [68, 4F, 57, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WS2_32.dll!closesocket                                     0000000076e53918 6 bytes [68, 27, E3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                                     0000000076e54296 6 bytes [68, 38, DF, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WS2_32.dll!WSASend                                         0000000076e54406 6 bytes [68, 80, E3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WS2_32.dll!send                                            0000000076e56f01 6 bytes [68, 5F, E3, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WS2_32.dll!gethostbyname                                   0000000076e67673 6 bytes [68, C8, DE, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore                             00000000776d1224 6 bytes [68, 89, 7E, B3, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!InternetCloseHandle                            0000000077423cc2 6 bytes [68, DC, 08, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA                                 0000000077426ab7 6 bytes [68, 7C, 0A, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpSendRequestW                               00000000774276e6 6 bytes [68, 62, 06, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW                               0000000077427e1d 6 bytes [68, DA, 05, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable                     000000007747a1ad 6 bytes [68, 50, 0A, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!InternetReadFile                               000000007747a5ef 6 bytes [68, 49, 09, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!InternetReadFileExA                            0000000077481aa2 6 bytes [68, 77, 09, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW                             000000007748a74d 6 bytes [68, 0C, 07, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpEndRequestA                                000000007748ad40 6 bytes [68, 46, 08, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer                         00000000774aad1d 6 bytes [68, F6, 09, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpEndRequestW                                00000000774f56ed 6 bytes [68, 91, 08, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA                             00000000774f57a6 6 bytes [68, A9, 07, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpSendRequestA                               00000000774f5876 6 bytes [68, B7, 06, B4, 02, C3]
.text     E:\Program Files (x86)\iTunes\iTunesHelper.exe[3308] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA                               00000000774f5b15 6 bytes [68, 1E, 06, B4, 02, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess            0000000077db08fc 4 bytes [68, A0, CF, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtCreateUserProcess + 5        0000000077db0901 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_W           0000000077dc25fd 6 bytes [68, BD, 57, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!LdrLoadDll                     0000000077dcc45a 6 bytes [68, CB, D0, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtdllDefWindowProc_A           0000000077dd2a63 6 bytes [68, 03, 58, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_W           0000000077df4128 6 bytes [68, 49, 58, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\SysWOW64\ntdll.dll!NtdllDialogWndProc_A           0000000077dfe659 6 bytes [68, 8F, 58, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\kernel32.dll!GetFileAttributesExW        0000000076d5455c 6 bytes [68, 34, D3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\kernel32.dll!ExitProcess                 0000000076d579f8 6 bytes [68, F3, D2, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW        00000000778fc592 6 bytes [68, B1, D3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA        0000000077932538 6 bytes [68, 9A, D3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetDC                         00000000759d72c4 4 bytes [68, 92, 18, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetDC + 5                     00000000759d72c9 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!ReleaseDC                     00000000759d7446 6 bytes [68, 10, 19, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!TranslateMessage              00000000759d7809 6 bytes [68, A5, 5D, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetMessageW                   00000000759d78e2 6 bytes [68, 22, DE, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetMessageA                   00000000759d7bd3 6 bytes [68, 4A, DE, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetWindowDC                   00000000759d8048 4 bytes [68, D1, 18, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetWindowDC + 5               00000000759d804d 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!RegisterClassW                00000000759d8a65 6 bytes [68, C1, 5A, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!RegisterClassExW              00000000759db17d 6 bytes [68, 5B, 5B, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!RegisterClassExA              00000000759ddb98 6 bytes [68, AD, 5B, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!PeekMessageW                  00000000759e05ba 6 bytes [68, 72, DE, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!CallWindowProcW               00000000759e0d32 6 bytes [68, F3, 59, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetCursorPos                  00000000759e1218 6 bytes [68, 55, DC, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!EndPaint                      00000000759e1341 4 bytes [68, F7, 17, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!EndPaint + 5                  00000000759e1346 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!BeginPaint                    00000000759e1361 4 bytes [68, 87, 17, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!BeginPaint + 5                00000000759e1366 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetMessagePos                 00000000759e2a8d 6 bytes [68, 23, DC, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetCapture                    00000000759e2aac 6 bytes [68, 83, DD, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetDCEx                       00000000759e3391 4 bytes [68, 37, 18, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetDCEx + 5                   00000000759e3396 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!RegisterClassA                00000000759e434b 6 bytes [68, 0E, 5B, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!PeekMessageA                  00000000759e5f74 6 bytes [68, 9D, DE, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetUpdateRgn                  00000000759e6222 6 bytes [68, E3, 19, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!CallWindowProcA               00000000759e792f 6 bytes [68, 3C, 5A, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!DefFrameProcA                 00000000759e7fbb 6 bytes [68, 1E, 59, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!DefMDIChildProcA              00000000759e810c 6 bytes [68, AD, 59, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!DefFrameProcW                 00000000759e85c1 6 bytes [68, D5, 58, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!DefMDIChildProcW              00000000759e86b4 6 bytes [68, 67, 59, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetUpdateRect                 00000000759fd41f 6 bytes [68, 50, 19, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!ReleaseCapture                00000000759fed49 6 bytes [68, 33, DD, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!SetCapture                    00000000759fed56 4 bytes [68, D9, DC, 1E]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!SetCapture + 5                00000000759fed5b 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!SwitchDesktop                 0000000075a19854 6 bytes [68, 9F, 57, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!SetCursorPos                  0000000075a19cfd 6 bytes [68, 9C, DC, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!GetClipboardData              0000000075a19f1d 6 bytes [68, 54, 5F, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!OpenInputDesktop              0000000075a387cb 4 bytes [68, 4F, 57, 1F]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\USER32.dll!OpenInputDesktop + 5          0000000075a387d0 1 byte [C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!InternetCloseHandle          0000000077423cc2 6 bytes [68, DC, 08, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpQueryInfoA               0000000077426ab7 6 bytes [68, 7C, 0A, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpSendRequestW             00000000774276e6 6 bytes [68, 62, 06, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpOpenRequestW             0000000077427e1d 6 bytes [68, DA, 05, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!InternetQueryDataAvailable   000000007747a1ad 6 bytes [68, 50, 0A, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!InternetReadFile             000000007747a5ef 6 bytes [68, 49, 09, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!InternetReadFileExA          0000000077481aa2 6 bytes [68, 77, 09, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpSendRequestExW           000000007748a74d 6 bytes [68, 0C, 07, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpEndRequestA              000000007748ad40 6 bytes [68, 46, 08, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!InternetSetFilePointer       00000000774aad1d 6 bytes [68, F6, 09, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpEndRequestW              00000000774f56ed 6 bytes [68, 91, 08, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpSendRequestExA           00000000774f57a6 6 bytes [68, A9, 07, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpSendRequestA             00000000774f5876 6 bytes [68, B7, 06, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WININET.dll!HttpOpenRequestA             00000000774f5b15 6 bytes [68, 1E, 06, 1F, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WS2_32.dll!closesocket                   0000000076e53918 6 bytes [68, 27, E3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WS2_32.dll!getaddrinfo                   0000000076e54296 6 bytes [68, 38, DF, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WS2_32.dll!WSASend                       0000000076e54406 6 bytes [68, 80, E3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WS2_32.dll!send                          0000000076e56f01 6 bytes [68, 5F, E3, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\WS2_32.dll!gethostbyname                 0000000076e67673 6 bytes [68, C8, DE, 1E, 00, C3]
.text     C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[3772] C:\Windows\syswow64\CRYPT32.dll!PFXImportCertStore           00000000776d1224 6 bytes [68, 89, 7E, 1E, 00, C3]

---- Threads - GMER 2.1 ----

Thread    C:\Windows\System32\svchost.exe [4044:3576]                                                                                         000007fee9c79688

---- Registry - GMER 2.1 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                                                   ????????? ???????????????????e?0????????????????????????????????????????{4d36e972-e325-11ce-bfc1-08002be10318}??????????????? ???????a???????????j?,??????(??????????????T??@cpu.inf,%amdppm.devicedesc%;AMD-Prozessor?MEM??@cpu.inf,%amdppm.devicedesc%;AMD-Prozessor??????????????nettun.inf??????@monitor.inf,%generic%;(Standardmonitortypen)????e?e?e?e?e?e?/?e?????e???e?f?f??@oem7.inf,%amd%;AMD?;Standard AHCI 1.0 Serieller-ATA-Controller?????{36fc9e60-c465-11cf-8056-444553540000}\0003?????{36fc9e60-c465-11cf-8056-444553540000}\0004?????{36fc9e60-c465-11cf-8056-444553540000}\0005?????320500?)????????????????????{4d36e972-e325-11ce-bfc1-08002be10318}??????@%SystemRoot%\system32\drivers\fileinfo.sys,-100????@%systemroot%\system32\drivers\RDPENCDD.sys,-101?????i?j?j?i?j?????????i????????ch??????? ???????????????????????????j????????????r????????gBD??? ???????m???????? ???????"?????n???????????????????????????????????????????????????????????????????????????{00000000-0000-0000-0000-000000000000}??????{71a27cdd-812a-11d0

---- EOF - GMER 2.1 ----
--- --- ---

Alt 07.06.2013, 16:34   #5
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Servus,





Lesestoff:
Banking-Trojaner
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.







Schritt 1
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.







Schritt 2
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers






Bitte poste mit deiner nächsten Antwort
  • die Logdatei von ComboFix,
  • die Logdatei von MBAR.
Alt 07.06.2013, 18:01   #6
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Bei combo fix sagte es mir das avira noch läuft. das hatte ich beendet, aber die meldung kam immernoch, da hab ich avira deinstalliert und den pc neugestartet. die meldung kam aber immernoch, obwohl es deinstalliert war. den suchlauf machte ich dann trotzdem.

COmbo Fix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-06-07.03 - Franz 07.06.2013  18:35:59.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8137.6794 [GMT 2:00]
ausgeführt von:: c:\users\Franz\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\TelevisionFanatic
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64bar.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64barsvc.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64datact.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64dyn.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64feedmg.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64highin.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64hkstub.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64htmlmu.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64httpct.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64idle.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64impipe.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64medint.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64mlbtn.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64msg.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64Plugin.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64radio.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64regfft.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64reghk.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64script.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64skin.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64sknlcr.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64skplay.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64SrchMn.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64tpinst.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\64uabtn.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\BOOTSTRAP.JS
c:\program files (x86)\TelevisionFanatic\bar\1.bin\CHROME.MANIFEST
c:\program files (x86)\TelevisionFanatic\bar\1.bin\chrome\64ffxtbr.jar
c:\program files (x86)\TelevisionFanatic\bar\1.bin\CREXT.DLL
c:\program files (x86)\TelevisionFanatic\bar\1.bin\CrExtP64.exe
c:\program files (x86)\TelevisionFanatic\bar\1.bin\INSTALL.RDF
c:\program files (x86)\TelevisionFanatic\bar\1.bin\installKeys.js
c:\program files (x86)\TelevisionFanatic\bar\1.bin\LOGO.BMP
c:\program files (x86)\TelevisionFanatic\bar\1.bin\NP64Stub.dll
c:\program files (x86)\TelevisionFanatic\bar\1.bin\T8EXTEX.DLL
c:\program files (x86)\TelevisionFanatic\bar\1.bin\T8EXTPEX.DLL
c:\program files (x86)\TelevisionFanatic\bar\1.bin\T8HTML.DLL
c:\program files (x86)\TelevisionFanatic\bar\1.bin\T8RES.DLL
c:\program files (x86)\TelevisionFanatic\bar\1.bin\T8TICKER.DLL
c:\program files (x86)\TelevisionFanatic\bar\gen1\COMMON.T8S
c:\program files (x86)\TelevisionFanatic\bar\IE9Mesg\COMMON.T8S
c:\program files (x86)\TelevisionFanatic\bar\Message\COMMON.T8S
c:\program files (x86)\TelevisionFanatic\bar\Settings\s_pid.dat
c:\users\Franz\AppData\Roaming\skype.dat
c:\users\Franz\AppData\Roaming\Upic
c:\users\Franz\AppData\Roaming\Upic\ysiwy.exe
c:\users\Franz\AppData\Roaming\Ypbaow
c:\users\Franz\AppData\Roaming\Ypbaow\oqmua.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_TelevisionFanaticService
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-07 bis 2013-06-07  ))))))))))))))))))))))))))))))
.
.
2013-06-07 16:39 . 2013-06-07 16:39	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-06-06 17:08 . 2013-06-06 17:08	--------	d-----w-	c:\program files\CCleaner
2013-06-06 16:44 . 2013-06-06 16:44	--------	d-sh--w-	C:\$$PendingFiles
2013-06-06 15:49 . 2013-05-13 06:37	9460464	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{FC62DBE2-2544-430E-86EE-DF0EA2E5112F}\mpengine.dll
2013-06-06 14:23 . 2013-06-06 14:23	--------	d-----w-	c:\programdata\ATI
2013-06-06 14:20 . 2013-06-06 14:20	--------	d-----w-	C:\AMD
2013-06-02 10:56 . 2009-03-16 00:05	14848	----a-w-	c:\windows\system32\Spool\prtprocs\x64\MIMFPR0H.DLL
2013-06-02 10:55 . 2013-06-02 10:55	--------	d-----w-	c:\program files\KONICA MINOLTA
2013-05-15 14:14 . 2013-06-05 11:44	--------	d-----w-	c:\users\Franz\AppData\Roaming\Anotod
2013-05-15 14:14 . 2013-05-15 14:14	--------	d-----w-	c:\users\Franz\AppData\Roaming\Ihloat
2013-05-13 14:49 . 2013-06-06 14:47	--------	d-----w-	c:\users\Franz\AppData\Roaming\Utig
2013-05-13 14:49 . 2013-05-13 14:49	--------	d-----w-	c:\users\Franz\AppData\Roaming\Egheed
2013-05-11 16:32 . 2013-05-11 16:32	971680	----a-w-	c:\windows\system32\deployJava1.dll
2013-05-11 16:32 . 2013-05-11 16:32	311200	----a-w-	c:\windows\system32\javaws.exe
2013-05-11 16:32 . 2013-05-11 16:32	1092512	----a-w-	c:\windows\system32\npDeployJava1.dll
2013-05-11 16:32 . 2013-05-11 16:32	188832	----a-w-	c:\windows\system32\javaw.exe
2013-05-11 16:32 . 2013-05-11 16:32	188320	----a-w-	c:\windows\system32\java.exe
2013-05-11 16:32 . 2013-05-11 16:32	108448	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-07 15:53 . 2013-05-07 19:55	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2013-06-07 15:53 . 2013-05-07 19:25	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2013-06-02 15:17 . 2013-05-07 19:25	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2013-05-18 15:31 . 2013-05-07 19:24	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2013-05-15 15:02 . 2012-12-24 22:22	75016696	----a-w-	c:\windows\system32\MRT.exe
2013-05-13 15:03 . 2012-12-25 13:03	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-05-13 15:03 . 2012-12-25 13:03	691592	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-05-07 20:19 . 2013-05-07 20:19	97280	----a-w-	c:\windows\system32\mshtmled.dll
2013-05-07 20:19 . 2013-05-07 20:19	92160	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2013-05-07 20:19 . 2013-05-07 20:19	905728	----a-w-	c:\windows\system32\mshtmlmedia.dll
2013-05-07 20:19 . 2013-05-07 20:19	81408	----a-w-	c:\windows\system32\icardie.dll
2013-05-07 20:19 . 2013-05-07 20:19	77312	----a-w-	c:\windows\system32\tdc.ocx
2013-05-07 20:19 . 2013-05-07 20:19	762368	----a-w-	c:\windows\system32\ieapfltr.dll
2013-05-07 20:19 . 2013-05-07 20:19	73728	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2013-05-07 20:19 . 2013-05-07 20:19	719360	----a-w-	c:\windows\SysWow64\mshtmlmedia.dll
2013-05-07 20:19 . 2013-05-07 20:19	62976	----a-w-	c:\windows\system32\pngfilt.dll
2013-05-07 20:19 . 2013-05-07 20:19	61952	----a-w-	c:\windows\SysWow64\tdc.ocx
2013-05-07 20:19 . 2013-05-07 20:19	599552	----a-w-	c:\windows\system32\vbscript.dll
2013-05-07 20:19 . 2013-05-07 20:19	523264	----a-w-	c:\windows\SysWow64\vbscript.dll
2013-05-07 20:19 . 2013-05-07 20:19	52224	----a-w-	c:\windows\system32\msfeedsbs.dll
2013-05-07 20:19 . 2013-05-07 20:19	51200	----a-w-	c:\windows\system32\imgutil.dll
2013-05-07 20:19 . 2013-05-07 20:19	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2013-05-07 20:19 . 2013-05-07 20:19	48640	----a-w-	c:\windows\system32\mshtmler.dll
2013-05-07 20:19 . 2013-05-07 20:19	452096	----a-w-	c:\windows\system32\dxtmsft.dll
2013-05-07 20:19 . 2013-05-07 20:19	441856	----a-w-	c:\windows\system32\html.iec
2013-05-07 20:19 . 2013-05-07 20:19	38400	----a-w-	c:\windows\SysWow64\imgutil.dll
2013-05-07 20:19 . 2013-05-07 20:19	361984	----a-w-	c:\windows\SysWow64\html.iec
2013-05-07 20:19 . 2013-05-07 20:19	281600	----a-w-	c:\windows\system32\dxtrans.dll
2013-05-07 20:19 . 2013-05-07 20:19	27648	----a-w-	c:\windows\system32\licmgr10.dll
2013-05-07 20:19 . 2013-05-07 20:19	270848	----a-w-	c:\windows\system32\iedkcs32.dll
2013-05-07 20:19 . 2013-05-07 20:19	247296	----a-w-	c:\windows\system32\webcheck.dll
2013-05-07 20:19 . 2013-05-07 20:19	235008	----a-w-	c:\windows\system32\url.dll
2013-05-07 20:19 . 2013-05-07 20:19	23040	----a-w-	c:\windows\SysWow64\licmgr10.dll
2013-05-07 20:19 . 2013-05-07 20:19	226304	----a-w-	c:\windows\system32\elshyph.dll
2013-05-07 20:19 . 2013-05-07 20:19	216064	----a-w-	c:\windows\system32\msls31.dll
2013-05-07 20:19 . 2013-05-07 20:19	197120	----a-w-	c:\windows\system32\msrating.dll
2013-05-07 20:19 . 2013-05-07 20:19	185344	----a-w-	c:\windows\SysWow64\elshyph.dll
2013-05-07 20:19 . 2013-05-07 20:19	173568	----a-w-	c:\windows\system32\ieUnatt.exe
2013-05-07 20:19 . 2013-05-07 20:19	167424	----a-w-	c:\windows\system32\iexpress.exe
2013-05-07 20:19 . 2013-05-07 20:19	158720	----a-w-	c:\windows\SysWow64\msls31.dll
2013-05-07 20:19 . 2013-05-07 20:19	1509376	----a-w-	c:\windows\system32\inetcpl.cpl
2013-05-07 20:19 . 2013-05-07 20:19	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2013-05-07 20:19 . 2013-05-07 20:19	149504	----a-w-	c:\windows\system32\occache.dll
2013-05-07 20:19 . 2013-05-07 20:19	144896	----a-w-	c:\windows\system32\wextract.exe
2013-05-07 20:19 . 2013-05-07 20:19	1441280	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2013-05-07 20:19 . 2013-05-07 20:19	1400416	----a-w-	c:\windows\system32\ieapfltr.dat
2013-05-07 20:19 . 2013-05-07 20:19	138752	----a-w-	c:\windows\SysWow64\wextract.exe
2013-05-07 20:19 . 2013-05-07 20:19	13824	----a-w-	c:\windows\system32\mshta.exe
2013-05-07 20:19 . 2013-05-07 20:19	137216	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2013-05-07 20:19 . 2013-05-07 20:19	136192	----a-w-	c:\windows\system32\iepeers.dll
2013-05-07 20:19 . 2013-05-07 20:19	135680	----a-w-	c:\windows\system32\IEAdvpack.dll
2013-05-07 20:19 . 2013-05-07 20:19	12800	----a-w-	c:\windows\SysWow64\mshta.exe
2013-05-07 20:19 . 2013-05-07 20:19	12800	----a-w-	c:\windows\system32\msfeedssync.exe
2013-05-07 20:19 . 2013-05-07 20:19	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2013-05-07 20:19 . 2013-05-07 20:19	1054720	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2013-05-07 20:19 . 2013-05-07 20:19	102912	----a-w-	c:\windows\system32\inseng.dll
2013-05-02 00:06 . 2010-11-21 03:27	278800	------w-	c:\windows\system32\MpSigStub.exe
2013-04-13 05:49 . 2013-05-15 13:48	135168	----a-w-	c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2013-04-13 05:49 . 2013-05-15 13:48	350208	----a-w-	c:\windows\apppatch\AppPatch64\AcLayers.dll
2013-04-13 05:49 . 2013-05-15 13:48	308736	----a-w-	c:\windows\apppatch\AppPatch64\AcGenral.dll
2013-04-13 05:49 . 2013-05-15 13:48	111104	----a-w-	c:\windows\apppatch\AppPatch64\acspecfc.dll
2013-04-13 04:45 . 2013-05-15 13:48	474624	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-15 13:48	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-04-12 14:45 . 2013-04-23 19:05	1656680	----a-w-	c:\windows\system32\drivers\ntfs.sys
2013-04-05 11:05 . 2013-04-05 11:05	69632	----a-r-	c:\users\Franz\AppData\Roaming\Microsoft\Installer\{58C91689-85E3-4B25-ADEC-2697986DF817}\ARPPRODUCTICON.exe
2013-04-05 11:05 . 2013-04-05 11:05	49152	----a-r-	c:\users\Franz\AppData\Roaming\Microsoft\Installer\{58C91689-85E3-4B25-ADEC-2697986DF817}\UNINST_Uninstall_Q_336D8C9DB2424DE5BC518E574B25652F.exe
2013-03-19 06:04 . 2013-04-10 13:10	5550424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-19 05:46 . 2013-04-10 13:10	43520	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-19 05:04 . 2013-04-10 13:10	3968856	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2013-03-19 05:04 . 2013-04-10 13:10	3913560	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2013-03-19 04:47 . 2013-04-10 13:10	6656	----a-w-	c:\windows\SysWow64\apisetschema.dll
2013-03-19 03:06 . 2013-04-10 13:10	112640	----a-w-	c:\windows\system32\smss.exe
2006-05-03 09:06	163328	--sha-r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 10:47	31232	--sha-r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 12:30	216064	--sha-r-	c:\windows\SysWOW64\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\SysWOW64\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}]
2013-03-04 08:17	454496	----a-w-	c:\program files (x86)\PriceGong\2.6.11\PriceGongIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
2013-03-23 01:59	197920	----a-w-	c:\program files (x86)\Yontoo\YontooIEClient.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-04 149040]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2013-05-09 18678376]
"Yontoo Desktop"="c:\users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe" [2013-03-23 42784]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-07 43608]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"D-Link D-Link DWA-140"="c:\program files (x86)\D-Link\DWA-140 revB\AirNCFG.exe" [2011-06-29 1074496]
"iTunesHelper"="e:\program files (x86)\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"StartCCC"="e:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2013-03-28 642656]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
c:\users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - e:\program files (x86)\Open Office\program\quickstart.exe [2012-8-13 1199104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 AODDriver4.01;AODDriver4.01;e:\programme\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys;e:\programme\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys;c:\windows\SYSNATIVE\DRIVERS\amdiox64.sys [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys;c:\windows\SYSNATIVE\drivers\avmeject.sys [x]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys;c:\windows\SYSNATIVE\DRIVERS\fwlanusb.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys;c:\windows\SYSNATIVE\DRIVERS\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys;c:\windows\SYSNATIVE\DRIVERS\amd_xata.sys [x]
S1 anodlwf;ANOD Network Security Filter driver;c:\windows\system32\DRIVERS\anodlwfx.sys;c:\windows\SYSNATIVE\DRIVERS\anodlwfx.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;e:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe;e:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AODDriver4.2;AODDriver4.2;e:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys;e:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
S2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
S2 WajamUpdater;WajamUpdater;c:\program files (x86)\Wajam\Updater\WajamUpdater.exe;c:\program files (x86)\Wajam\Updater\WajamUpdater.exe [x]
S2 Yontoo Desktop Updater;Yontoo Desktop Updater;c:\program files (x86)\Yontoo\Y2Desktop.Updater.exe;c:\program files (x86)\Yontoo\Y2Desktop.Updater.exe [x]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys;c:\windows\SYSNATIVE\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys;c:\windows\SYSNATIVE\DRIVERS\asmtxhci.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\DRIVERS\LEqdUsb.Sys;c:\windows\SYSNATIVE\DRIVERS\LEqdUsb.Sys [x]
S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\DRIVERS\LHidEqd.Sys;c:\windows\SYSNATIVE\DRIVERS\LHidEqd.Sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys;c:\windows\SYSNATIVE\DRIVERS\usbfilter.sys [x]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-11-19 11613288]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2012-11-04 2419512]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Bild in &Microsoft PhotoDraw öffnen - e:\progra~2\MICROS~1\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-Izosmex - c:\users\Franz\AppData\Roaming\Ypbaow\oqmua.exe
Wow6432Node-HKCU-Run-Deroeskoh - c:\users\Franz\AppData\Roaming\Upic\ysiwy.exe
Wow6432Node-HKLM-Run-TelevisionFanatic Search Scope Monitor - c:\progra~2\TELEVI~2\bar\1.bin\64srchmn.exe
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
AddRemove-DSite - c:\users\Franz\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe
AddRemove-Video Converter Packages - c:\users\Franz\AppData\Roaming\Video Converter Packages\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\windows\SysWOW64\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-07  18:41:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-06-07 16:41
.
Vor Suchlauf: 24193126400 Bytes frei
Nach Suchlauf: 23784968192 Bytes frei
.
- - End Of File - - 790BA1603ABA349298FA3F50526D9299
--- --- ---

Mbar:

Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.06.07.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Franz :: FRANZ-PC [administrator]

07.06.2013 18:50:18
mbar-log-2013-06-07 (18-50-18).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: Deep Anti-Rootkit Scan | PUP
Objects scanned: 238432
Time elapsed: 3 minute(s), 50 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-1367919483-3471042975-2019346214-1000\$dd51c1233024617d827ae50ff539093e\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-1367919483-3471042975-2019346214-1000\$dd51c1233024617d827ae50ff539093e\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-1367919483-3471042975-2019346214-1000\$dd51c1233024617d827ae50ff539093e (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 7
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\n (Trojan.0Access) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-1367919483-3471042975-2019346214-1000\$dd51c1233024617d827ae50ff539093e\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-1367919483-3471042975-2019346214-1000\$dd51c1233024617d827ae50ff539093e\n (Trojan.0Access) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\U\00000001.@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\U\80000000.@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$dd51c1233024617d827ae50ff539093e\U\800000cb.@ (Trojan.Siredef.C) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
Geändert von Bimbus (07.06.2013 um 18:07 Uhr)

Alt 08.06.2013, 06:39   #7
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Servus,



bin am Sonntag Abend wieder hier.

So geht es erst mal weiter:




Schritt 1
Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

    Code:
    ATTFilter
    Folder::
c:\users\Franz\AppData\Roaming\Anotod
c:\users\Franz\AppData\Roaming\Ihloat
c:\users\Franz\AppData\Roaming\Utig
c:\users\Franz\AppData\Roaming\Egheed
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!







Schritt 2
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.







Schritt 4
Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)





Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • die Logdatei von JRT,
  • die beiden Logdateien von FRST.
Alt 08.06.2013, 12:01   #8
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Combo Fix:

Code:
ATTFilter
ComboFix 13-06-07.03 - Franz 08.06.2013  12:39:00.2.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8137.6540 [GMT 2:00]
ausgeführt von:: c:\users\Franz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Franz\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Franz\AppData\Roaming\Anotod
c:\users\Franz\AppData\Roaming\Anotod\kualc.tek
c:\users\Franz\AppData\Roaming\Anotod\kualc.tmp
c:\users\Franz\AppData\Roaming\Egheed
c:\users\Franz\AppData\Roaming\Egheed\zyar.yto
c:\users\Franz\AppData\Roaming\Ihloat
c:\users\Franz\AppData\Roaming\Ihloat\uvop.ecu
c:\users\Franz\AppData\Roaming\Utig
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-08 bis 2013-06-08  ))))))))))))))))))))))))))))))
.
.
2013-06-08 10:41 . 2013-06-08 10:41	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-06-08 10:35 . 2013-05-13 06:37	9460464	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AF38A684-FA62-4F71-85B0-471B7CD567B4}\mpengine.dll
2013-06-07 16:48 . 2013-06-07 16:48	--------	d-----w-	c:\programdata\Malwarebytes
2013-06-06 17:08 . 2013-06-06 17:08	--------	d-----w-	c:\program files\CCleaner
2013-06-06 16:44 . 2013-06-06 16:44	--------	d-sh--w-	C:\$$PendingFiles
2013-06-06 14:23 . 2013-06-06 14:23	--------	d-----w-	c:\programdata\ATI
2013-06-06 14:20 . 2013-06-06 14:20	--------	d-----w-	C:\AMD
2013-06-02 10:56 . 2009-03-16 00:05	14848	----a-w-	c:\windows\system32\Spool\prtprocs\x64\MIMFPR0H.DLL
2013-06-02 10:55 . 2013-06-02 10:55	--------	d-----w-	c:\program files\KONICA MINOLTA
2013-05-15 13:48 . 2013-04-10 06:01	265064	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2013-05-11 16:32 . 2013-05-11 16:32	971680	----a-w-	c:\windows\system32\deployJava1.dll
2013-05-11 16:32 . 2013-05-11 16:32	311200	----a-w-	c:\windows\system32\javaws.exe
2013-05-11 16:32 . 2013-05-11 16:32	1092512	----a-w-	c:\windows\system32\npDeployJava1.dll
2013-05-11 16:32 . 2013-05-11 16:32	188832	----a-w-	c:\windows\system32\javaw.exe
2013-05-11 16:32 . 2013-05-11 16:32	188320	----a-w-	c:\windows\system32\java.exe
2013-05-11 16:32 . 2013-05-11 16:32	108448	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-07 18:38 . 2013-05-07 19:55	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2013-06-07 18:38 . 2013-05-07 19:25	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2013-06-07 15:53 . 2013-05-07 19:25	283032	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2013-05-18 15:31 . 2013-05-07 19:24	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2013-05-15 15:02 . 2012-12-24 22:22	75016696	----a-w-	c:\windows\system32\MRT.exe
2013-05-13 15:03 . 2012-12-25 13:03	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-05-13 15:03 . 2012-12-25 13:03	691592	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-05-07 20:19 . 2013-05-07 20:19	97280	----a-w-	c:\windows\system32\mshtmled.dll
2013-05-07 20:19 . 2013-05-07 20:19	92160	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2013-05-07 20:19 . 2013-05-07 20:19	905728	----a-w-	c:\windows\system32\mshtmlmedia.dll
2013-05-07 20:19 . 2013-05-07 20:19	81408	----a-w-	c:\windows\system32\icardie.dll
2013-05-07 20:19 . 2013-05-07 20:19	77312	----a-w-	c:\windows\system32\tdc.ocx
2013-05-07 20:19 . 2013-05-07 20:19	762368	----a-w-	c:\windows\system32\ieapfltr.dll
2013-05-07 20:19 . 2013-05-07 20:19	73728	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2013-05-07 20:19 . 2013-05-07 20:19	719360	----a-w-	c:\windows\SysWow64\mshtmlmedia.dll
2013-05-07 20:19 . 2013-05-07 20:19	62976	----a-w-	c:\windows\system32\pngfilt.dll
2013-05-07 20:19 . 2013-05-07 20:19	61952	----a-w-	c:\windows\SysWow64\tdc.ocx
2013-05-07 20:19 . 2013-05-07 20:19	599552	----a-w-	c:\windows\system32\vbscript.dll
2013-05-07 20:19 . 2013-05-07 20:19	523264	----a-w-	c:\windows\SysWow64\vbscript.dll
2013-05-07 20:19 . 2013-05-07 20:19	52224	----a-w-	c:\windows\system32\msfeedsbs.dll
2013-05-07 20:19 . 2013-05-07 20:19	51200	----a-w-	c:\windows\system32\imgutil.dll
2013-05-07 20:19 . 2013-05-07 20:19	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2013-05-07 20:19 . 2013-05-07 20:19	48640	----a-w-	c:\windows\system32\mshtmler.dll
2013-05-07 20:19 . 2013-05-07 20:19	452096	----a-w-	c:\windows\system32\dxtmsft.dll
2013-05-07 20:19 . 2013-05-07 20:19	441856	----a-w-	c:\windows\system32\html.iec
2013-05-07 20:19 . 2013-05-07 20:19	38400	----a-w-	c:\windows\SysWow64\imgutil.dll
2013-05-07 20:19 . 2013-05-07 20:19	361984	----a-w-	c:\windows\SysWow64\html.iec
2013-05-07 20:19 . 2013-05-07 20:19	281600	----a-w-	c:\windows\system32\dxtrans.dll
2013-05-07 20:19 . 2013-05-07 20:19	27648	----a-w-	c:\windows\system32\licmgr10.dll
2013-05-07 20:19 . 2013-05-07 20:19	270848	----a-w-	c:\windows\system32\iedkcs32.dll
2013-05-07 20:19 . 2013-05-07 20:19	247296	----a-w-	c:\windows\system32\webcheck.dll
2013-05-07 20:19 . 2013-05-07 20:19	235008	----a-w-	c:\windows\system32\url.dll
2013-05-07 20:19 . 2013-05-07 20:19	23040	----a-w-	c:\windows\SysWow64\licmgr10.dll
2013-05-07 20:19 . 2013-05-07 20:19	226304	----a-w-	c:\windows\system32\elshyph.dll
2013-05-07 20:19 . 2013-05-07 20:19	216064	----a-w-	c:\windows\system32\msls31.dll
2013-05-07 20:19 . 2013-05-07 20:19	197120	----a-w-	c:\windows\system32\msrating.dll
2013-05-07 20:19 . 2013-05-07 20:19	185344	----a-w-	c:\windows\SysWow64\elshyph.dll
2013-05-07 20:19 . 2013-05-07 20:19	173568	----a-w-	c:\windows\system32\ieUnatt.exe
2013-05-07 20:19 . 2013-05-07 20:19	167424	----a-w-	c:\windows\system32\iexpress.exe
2013-05-07 20:19 . 2013-05-07 20:19	158720	----a-w-	c:\windows\SysWow64\msls31.dll
2013-05-07 20:19 . 2013-05-07 20:19	1509376	----a-w-	c:\windows\system32\inetcpl.cpl
2013-05-07 20:19 . 2013-05-07 20:19	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2013-05-07 20:19 . 2013-05-07 20:19	149504	----a-w-	c:\windows\system32\occache.dll
2013-05-07 20:19 . 2013-05-07 20:19	144896	----a-w-	c:\windows\system32\wextract.exe
2013-05-07 20:19 . 2013-05-07 20:19	1441280	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2013-05-07 20:19 . 2013-05-07 20:19	1400416	----a-w-	c:\windows\system32\ieapfltr.dat
2013-05-07 20:19 . 2013-05-07 20:19	138752	----a-w-	c:\windows\SysWow64\wextract.exe
2013-05-07 20:19 . 2013-05-07 20:19	13824	----a-w-	c:\windows\system32\mshta.exe
2013-05-07 20:19 . 2013-05-07 20:19	137216	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2013-05-07 20:19 . 2013-05-07 20:19	136192	----a-w-	c:\windows\system32\iepeers.dll
2013-05-07 20:19 . 2013-05-07 20:19	135680	----a-w-	c:\windows\system32\IEAdvpack.dll
2013-05-07 20:19 . 2013-05-07 20:19	12800	----a-w-	c:\windows\SysWow64\mshta.exe
2013-05-07 20:19 . 2013-05-07 20:19	12800	----a-w-	c:\windows\system32\msfeedssync.exe
2013-05-07 20:19 . 2013-05-07 20:19	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2013-05-07 20:19 . 2013-05-07 20:19	1054720	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2013-05-07 20:19 . 2013-05-07 20:19	102912	----a-w-	c:\windows\system32\inseng.dll
2013-05-02 00:06 . 2010-11-21 03:27	278800	------w-	c:\windows\system32\MpSigStub.exe
2013-04-13 05:49 . 2013-05-15 13:48	135168	----a-w-	c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2013-04-13 05:49 . 2013-05-15 13:48	350208	----a-w-	c:\windows\apppatch\AppPatch64\AcLayers.dll
2013-04-13 05:49 . 2013-05-15 13:48	308736	----a-w-	c:\windows\apppatch\AppPatch64\AcGenral.dll
2013-04-13 05:49 . 2013-05-15 13:48	111104	----a-w-	c:\windows\apppatch\AppPatch64\acspecfc.dll
2013-04-13 04:45 . 2013-05-15 13:48	474624	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-15 13:48	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-04-12 14:45 . 2013-04-23 19:05	1656680	----a-w-	c:\windows\system32\drivers\ntfs.sys
2013-04-05 11:05 . 2013-04-05 11:05	69632	----a-r-	c:\users\Franz\AppData\Roaming\Microsoft\Installer\{58C91689-85E3-4B25-ADEC-2697986DF817}\ARPPRODUCTICON.exe
2013-04-05 11:05 . 2013-04-05 11:05	49152	----a-r-	c:\users\Franz\AppData\Roaming\Microsoft\Installer\{58C91689-85E3-4B25-ADEC-2697986DF817}\UNINST_Uninstall_Q_336D8C9DB2424DE5BC518E574B25652F.exe
2013-03-19 06:04 . 2013-04-10 13:10	5550424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-19 05:46 . 2013-04-10 13:10	43520	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-19 05:04 . 2013-04-10 13:10	3968856	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2013-03-19 05:04 . 2013-04-10 13:10	3913560	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2013-03-19 04:47 . 2013-04-10 13:10	6656	----a-w-	c:\windows\SysWow64\apisetschema.dll
2013-03-19 03:06 . 2013-04-10 13:10	112640	----a-w-	c:\windows\system32\smss.exe
2006-05-03 09:06	163328	--sha-r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 10:47	31232	--sha-r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 12:30	216064	--sha-r-	c:\windows\SysWOW64\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\SysWOW64\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}]
2013-03-04 08:17	454496	----a-w-	c:\program files (x86)\PriceGong\2.6.11\PriceGongIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
2013-03-23 01:59	197920	----a-w-	c:\program files (x86)\Yontoo\YontooIEClient.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-04 149040]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2013-05-09 18678376]
"Yontoo Desktop"="c:\users\Franz\AppData\Roaming\Yontoo\YontooDesktop.exe" [2013-03-23 42784]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-07 43608]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"D-Link D-Link DWA-140"="c:\program files (x86)\D-Link\DWA-140 revB\AirNCFG.exe" [2011-06-29 1074496]
"iTunesHelper"="e:\program files (x86)\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"StartCCC"="e:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2013-03-28 642656]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
c:\users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - e:\program files (x86)\Open Office\program\quickstart.exe [2012-8-13 1199104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 AODDriver4.01;AODDriver4.01;e:\programme\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys;e:\programme\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys;c:\windows\SYSNATIVE\DRIVERS\amdiox64.sys [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys;c:\windows\SYSNATIVE\drivers\avmeject.sys [x]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys;c:\windows\SYSNATIVE\DRIVERS\fwlanusb.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys;c:\windows\SYSNATIVE\DRIVERS\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys;c:\windows\SYSNATIVE\DRIVERS\amd_xata.sys [x]
S1 anodlwf;ANOD Network Security Filter driver;c:\windows\system32\DRIVERS\anodlwfx.sys;c:\windows\SYSNATIVE\DRIVERS\anodlwfx.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;e:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe;e:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AODDriver4.2;AODDriver4.2;e:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys;e:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
S2 WajamUpdater;WajamUpdater;c:\program files (x86)\Wajam\Updater\WajamUpdater.exe;c:\program files (x86)\Wajam\Updater\WajamUpdater.exe [x]
S2 Yontoo Desktop Updater;Yontoo Desktop Updater;c:\program files (x86)\Yontoo\Y2Desktop.Updater.exe;c:\program files (x86)\Yontoo\Y2Desktop.Updater.exe [x]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys;c:\windows\SYSNATIVE\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys;c:\windows\SYSNATIVE\DRIVERS\asmtxhci.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\DRIVERS\LEqdUsb.Sys;c:\windows\SYSNATIVE\DRIVERS\LEqdUsb.Sys [x]
S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\DRIVERS\LHidEqd.Sys;c:\windows\SYSNATIVE\DRIVERS\LHidEqd.Sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys;c:\windows\SYSNATIVE\DRIVERS\usbfilter.sys [x]
.
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-11-19 11613288]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2012-11-04 2419512]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Bild in &Microsoft PhotoDraw öffnen - e:\progra~2\MICROS~1\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-06-08  12:43:06
ComboFix-quarantined-files.txt  2013-06-08 10:43
ComboFix2.txt  2013-06-07 16:41
.
Vor Suchlauf: 23470575616 Bytes frei
Nach Suchlauf: 24697978880 Bytes frei
.
- - End Of File - - F976280D0E432CC16A25742F1DD35FC4
ADWCleaner:

Code:
ATTFilter
# AdwCleaner v2.302 - Datei am 08/06/2013 um 12:46:13 erstellt
# Aktualisiert am 06/06/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Franz - FRANZ-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Franz\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : WajamUpdater
Gestoppt & Gelöscht : Yontoo Desktop Updater

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\END
Datei Gelöscht : C:\Users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\searchplugins\search.xml
Ordner Gelöscht : C:\Program Files (x86)\PriceGong
Ordner Gelöscht : C:\Program Files (x86)\Wajam
Ordner Gelöscht : C:\Program Files (x86)\Yontoo
Ordner Gelöscht : C:\ProgramData\FreeRIP
Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\Franz\AppData\Local\PackageAware
Ordner Gelöscht : C:\Users\Franz\AppData\Local\TelevisionFanatic
Ordner Gelöscht : C:\Users\Franz\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\Franz\AppData\LocalLow\TelevisionFanatic
Ordner Gelöscht : C:\Users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FreeRIP
Ordner Gelöscht : C:\Users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam
Ordner Gelöscht : C:\Users\Franz\AppData\Roaming\Yontoo

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN PIP
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\PIP
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\Wajam
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{03119103-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{04D2B915-19FF-41E9-994D-95DC898BEA43}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F02C0832-C85C-4B93-8C6F-9DF20121A10D}
Schlüssel Gelöscht : HKLM\Software\PIP
Schlüssel Gelöscht : HKLM\Software\Wajam
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{04D2B915-19FF-41E9-994D-95DC898BEA43}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{13119113-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{33119133-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C98D5B61-B0EA-4D48-9839-1079D352D880}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F02C0832-C85C-4B93-8C6F-9DF20121A10D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Yontoo Desktop]
Wert Gelöscht : HKCU\Software\Mozilla\Firefox\Extensions [{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16576

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v21.0 (de)

Datei : C:\Users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\prefs.js

C:\Users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [8238 octets] - [08/06/2013 12:46:13]

########## EOF - C:\AdwCleaner[S1].txt - [8298 octets] ##########
JRT:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.9.4 (05.06.2013:1)
OS: Windows 7 Home Premium x64
Ran by Franz on 08.06.2013 at 12:51:25.16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 08.06.2013 at 12:54:01.14
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
FRST:

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 08-06-2013
Ran by Franz (administrator) on 08-06-2013 12:55:46
Running from C:\Users\Franz\Desktop
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Advanced Micro Devices, Inc.) E:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Apple Inc.) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\Windows\SysWOW64\PnkBstrA.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Logitech, Inc.) C:\Program Files\Logitech\SetPointP\SetPoint.exe
(Nero AG) C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
(Skype Technologies S.A.) C:\Program Files (x86)\Skype\Phone\Skype.exe
(Nero AG) C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
(Logitech, Inc.) C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
(D-Link Corp.) C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
(Apple Inc.) E:\Program Files (x86)\iTunes\iTunesHelper.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Nero AG) C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
(Advanced Micro Devices Inc.) E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Mozilla Corporation) E:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) E:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_7_700_169.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_7_700_169.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [11613288 2010-11-19] (Realtek Semiconductor)
HKLM\...\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming [2419512 2012-11-04] (Logitech, Inc.)
Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.)
HKCU\...\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [149040 2007-05-04] (Nero AG)
HKCU\...\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun [18678376 2013-05-09] (Skype Technologies S.A.)
HKCU\...\Policies\system: [DisableRegistryTools] 0
HKCU\...\Policies\system: [DisableTaskMgr] 0
HKLM-x32\...\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe [43608 2010-09-07] ()
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.)
HKLM-x32\...\Run: [D-Link D-Link DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe [1074496 2011-06-29] (D-Link Corp.)
HKLM-x32\...\Run: [iTunesHelper] "E:\Program Files (x86)\iTunes\iTunesHelper.exe" [x]
HKLM-x32\...\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [x]
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
Startup: C:\Users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> E:\Program Files (x86)\Open Office\program\quickstart.exe ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre7\bin\ssv.dll No File
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre7\bin\jp2ssv.dll No File
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Logitech SetPoint - {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll (Logitech, Inc.)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: HKLM-x32 {784797A8-342D-4072-9486-03C8D0F2F0A1} hxxp://www.battlefieldheroes.com/static/updater/BFHUpdater_5.0.203.0.cab
Handler: ipp - No CLSID Value - 
Handler: msdaipp - No CLSID Value - 
Handler-x32: ipp - No CLSID Value - 
Handler-x32: msdaipp - No CLSID Value - 
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Franz\AppData\Roaming\Mozilla\Firefox\Profiles\aa1r13wa.default-1368456930541
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll ()
FF Plugin: @java.com/DTPlugin,version=10.21.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.21.2 - E:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @videolan.org/vlc,version=2.0.5 - E:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_169.dll ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 - E:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin-x32: @java.com/DTPlugin,version=10.17.2 - C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.17.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @TelevisionFanatic.com/Plugin - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\NP64Stub.dll No File
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

==================== Services (Whitelisted) =================

R2 AMD FUEL Service; E:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2013-03-28] (Advanced Micro Devices, Inc.)
R3 NMIndexingService; C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe [267824 2007-05-04] (Nero AG)
R2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2013-05-18] ()

==================== Drivers (Whitelisted) ====================

R1 anodlwf; C:\Windows\System32\DRIVERS\anodlwfx.sys [15872 2011-02-21] ()
R2 AODDriver4.2; E:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [57472 2012-04-09] (Advanced Micro Devices)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [14120 2010-10-22] (AVM Berlin)
S3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [460800 2010-10-22] (AVM GmbH)
R3 netr28ux; C:\Windows\System32\DRIVERS\Dnetr28ux.sys [1617472 2011-04-28] (Ralink Technology Corp.)
S2 AODDriver4.01; \??\E:\Programme\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-08 12:55 - 2013-06-08 12:55 - 00000000 ____D C:\FRST
2013-06-08 12:54 - 2013-06-08 12:55 - 01919210 ____A (Farbar) C:\Users\Franz\Desktop\FRST64.exe
2013-06-08 12:54 - 2013-06-08 12:54 - 00000625 ____A C:\Users\Franz\Desktop\JRT.txt
2013-06-08 12:51 - 2013-06-08 12:51 - 00000000 ____D C:\Windows\ERUNT
2013-06-08 12:51 - 2013-06-08 12:51 - 00000000 ____D C:\JRT
2013-06-08 12:50 - 2013-06-08 12:51 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Franz\Desktop\JRT.exe
2013-06-08 12:46 - 2013-06-08 12:46 - 00008357 ____A C:\AdwCleaner[S1].txt
2013-06-08 12:45 - 2013-06-08 12:45 - 00640135 ____A C:\Users\Franz\Desktop\adwcleaner.exe
2013-06-08 12:43 - 2013-06-08 12:43 - 00021064 ____A C:\ComboFix.txt
2013-06-08 12:33 - 2013-06-08 12:32 - 05078746 ____R (Swearware) C:\Users\Franz\Desktop\ComboFix.exe
2013-06-07 18:48 - 2013-06-07 18:48 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-07 18:47 - 2013-06-07 18:48 - 13169742 ____A C:\Users\Franz\Desktop\mbar-1.06.0.1003.zip
2013-06-07 18:32 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-06-07 18:32 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-06-07 18:32 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-06-07 18:32 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-06-07 18:32 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-06-07 18:32 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-06-07 18:32 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-06-07 18:32 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-06-07 18:31 - 2013-06-08 12:43 - 00000000 ____D C:\Qoobox
2013-06-07 18:31 - 2013-06-07 18:40 - 00000000 ____D C:\Windows\erdnt
2013-06-07 17:46 - 2013-06-08 12:47 - 00099610 ____A C:\Windows\PFRO.log
2013-06-07 17:46 - 2013-06-08 12:47 - 00001064 ____A C:\Windows\setupact.log
2013-06-07 17:46 - 2013-06-07 17:46 - 00000000 ____A C:\Windows\setuperr.log
2013-06-06 20:56 - 2013-06-06 20:56 - 00089699 ____A C:\Users\Franz\Desktop\gmer.txt
2013-06-06 20:49 - 2013-06-06 20:49 - 00377856 ____A C:\Users\Franz\Desktop\gmer_2.1.19163.exe
2013-06-06 20:47 - 2013-06-06 20:47 - 00017367 ____A C:\Users\Franz\Desktop\dds.txt
2013-06-06 20:47 - 2013-06-06 20:47 - 00005314 ____A C:\Users\Franz\Desktop\attach.txt
2013-06-06 20:47 - 2013-06-06 20:47 - 00000000 ____A C:\Users\Franz\defogger_reenable
2013-06-06 20:46 - 2013-06-06 20:46 - 00688992 ____R (Swearware) C:\Users\Franz\Desktop\dds.exe
2013-06-06 20:41 - 2013-06-06 20:41 - 00069558 ____A C:\Users\Franz\Desktop\OTL.Txt
2013-06-06 20:37 - 2013-06-06 20:47 - 00000472 ____A C:\Users\Franz\Desktop\defogger_disable.log
2013-06-06 20:08 - 2013-06-06 20:08 - 00602112 ____A (OldTimer Tools) C:\Users\Franz\Desktop\OTL.exe
2013-06-06 19:08 - 2013-06-06 19:08 - 00000822 ____A C:\Users\Public\Desktop\CCleaner.lnk
2013-06-06 19:08 - 2013-06-06 19:08 - 00000000 ____D C:\Program Files\CCleaner
2013-06-06 18:44 - 2013-06-06 18:44 - 00000000 __SHD C:\$$PendingFiles
2013-06-06 16:23 - 2013-06-06 16:23 - 00000000 ____D C:\ProgramData\ATI
2013-06-06 16:20 - 2013-06-06 16:20 - 00000000 ____D C:\AMD
2013-06-02 12:55 - 2013-06-02 12:55 - 00000000 ____D C:\Program Files\KONICA MINOLTA
2013-06-02 12:25 - 2013-06-02 12:25 - 00000824 ____A C:\Users\Public\Desktop\AnotherLife Client.lnk
2013-06-01 12:51 - 2013-06-01 12:51 - 00000762 ____A C:\Users\Public\Desktop\Funkyplot.lnk
2013-05-18 18:12 - 2013-05-18 18:12 - 00000181 ____A C:\Users\Franz\Desktop\Battlefield Heroes.url
2013-05-18 17:20 - 2013-05-18 18:12 - 00000000 ____D C:\Users\Franz\Documents\Battlefield Heroes
2013-05-15 17:00 - 2013-04-05 08:52 - 02242048 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-05-15 17:00 - 2013-04-05 08:52 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-05-15 17:00 - 2013-04-05 08:52 - 00051712 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-05-15 17:00 - 2013-04-05 08:50 - 19231232 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 15404032 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 03958784 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 02647552 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00855552 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00603136 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00136704 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00053248 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-05-15 17:00 - 2013-04-05 08:50 - 00039936 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-05-15 17:00 - 2013-04-05 07:28 - 01767424 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-05-15 17:00 - 2013-04-05 07:28 - 01130496 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 14323712 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 02877440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00690688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00493056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00109056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00061440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00039424 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-05-15 17:00 - 2013-04-05 07:26 - 00033280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-05-15 17:00 - 2013-04-05 06:43 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-05-15 17:00 - 2013-04-05 06:29 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-05-15 17:00 - 2013-04-05 05:51 - 00089600 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-05-15 17:00 - 2013-04-05 05:38 - 00071680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-05-15 15:48 - 2013-04-10 08:01 - 00983400 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\dxgkrnl.sys
2013-05-15 15:48 - 2013-04-10 08:01 - 00265064 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\dxgmms1.sys
2013-05-15 15:48 - 2013-04-10 05:30 - 03153920 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-05-15 15:48 - 2013-03-19 07:53 - 00230400 ____A (Microsoft Corporation) C:\Windows\System32\wwansvc.dll
2013-05-15 15:48 - 2013-03-19 07:53 - 00048640 ____A (Microsoft Corporation) C:\Windows\System32\wwanprotdim.dll
2013-05-15 15:48 - 2013-02-27 08:02 - 00111448 ____A (Microsoft Corporation) C:\Windows\System32\consent.exe
2013-05-15 15:48 - 2013-02-27 07:52 - 14172672 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll
2013-05-15 15:48 - 2013-02-27 07:52 - 00197120 ____A (Microsoft Corporation) C:\Windows\System32\shdocvw.dll
2013-05-15 15:48 - 2013-02-27 07:48 - 01930752 ____A (Microsoft Corporation) C:\Windows\System32\authui.dll
2013-05-15 15:48 - 2013-02-27 07:47 - 00070144 ____A (Microsoft Corporation) C:\Windows\System32\appinfo.dll
2013-05-15 15:48 - 2013-02-27 06:55 - 12872704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\shell32.dll
2013-05-15 15:48 - 2013-02-27 06:55 - 00180224 ____A (Microsoft Corporation) C:\Windows\SysWOW64\shdocvw.dll
2013-05-15 15:48 - 2013-02-27 06:49 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\authui.dll
2013-05-15 15:48 - 2011-02-03 13:25 - 00144384 ____A (Microsoft Corporation) C:\Windows\System32\cdd.dll
2013-05-14 18:07 - 2013-05-21 20:31 - 00000852 ____A C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-05-11 18:32 - 2013-05-11 18:32 - 01092512 ____A (Oracle Corporation) C:\Windows\System32\npDeployJava1.dll
2013-05-11 18:32 - 2013-05-11 18:32 - 00971680 ____A (Oracle Corporation) C:\Windows\System32\deployJava1.dll
2013-05-11 18:32 - 2013-05-11 18:32 - 00311200 ____A (Oracle Corporation) C:\Windows\System32\javaws.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00188832 ____A (Oracle Corporation) C:\Windows\System32\javaw.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00188320 ____A (Oracle Corporation) C:\Windows\System32\java.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00108448 ____A (Oracle Corporation) C:\Windows\System32\WindowsAccessBridge-64.dll
2013-05-09 00:40 - 2013-06-07 20:06 - 00000000 ____D C:\Users\Franz\Desktop\mbar

==================== One Month Modified Files and Folders =======

2013-06-08 12:55 - 2013-06-08 12:55 - 00000000 ____D C:\FRST
2013-06-08 12:55 - 2013-06-08 12:54 - 01919210 ____A (Farbar) C:\Users\Franz\Desktop\FRST64.exe
2013-06-08 12:54 - 2013-06-08 12:54 - 00000625 ____A C:\Users\Franz\Desktop\JRT.txt
2013-06-08 12:54 - 2012-12-25 17:22 - 00000000 ____D C:\Users\Franz\AppData\Roaming\Skype
2013-06-08 12:54 - 2011-04-12 09:43 - 00696832 ____A C:\Windows\System32\perfh007.dat
2013-06-08 12:54 - 2011-04-12 09:43 - 00148128 ____A C:\Windows\System32\perfc007.dat
2013-06-08 12:54 - 2009-07-14 07:13 - 01613340 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-08 12:54 - 2009-07-14 06:45 - 00021856 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-08 12:54 - 2009-07-14 06:45 - 00021856 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-08 12:51 - 2013-06-08 12:51 - 00000000 ____D C:\Windows\ERUNT
2013-06-08 12:51 - 2013-06-08 12:51 - 00000000 ____D C:\JRT
2013-06-08 12:51 - 2013-06-08 12:50 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Franz\Desktop\JRT.exe
2013-06-08 12:47 - 2013-06-07 17:46 - 00099610 ____A C:\Windows\PFRO.log
2013-06-08 12:47 - 2013-06-07 17:46 - 00001064 ____A C:\Windows\setupact.log
2013-06-08 12:47 - 2012-12-24 23:21 - 01285297 ____A C:\Windows\WindowsUpdate.log
2013-06-08 12:46 - 2013-06-08 12:46 - 00008357 ____A C:\AdwCleaner[S1].txt
2013-06-08 12:45 - 2013-06-08 12:45 - 00640135 ____A C:\Users\Franz\Desktop\adwcleaner.exe
2013-06-08 12:43 - 2013-06-08 12:43 - 00021064 ____A C:\ComboFix.txt
2013-06-08 12:43 - 2013-06-07 18:31 - 00000000 ____D C:\Qoobox
2013-06-08 12:41 - 2009-07-14 04:34 - 00000215 ____A C:\Windows\system.ini
2013-06-08 12:32 - 2013-06-08 12:33 - 05078746 ____R (Swearware) C:\Users\Franz\Desktop\ComboFix.exe
2013-06-07 20:38 - 2013-05-07 21:55 - 00283032 ____A C:\Windows\SysWOW64\PnkBstrB.xtr
2013-06-07 20:38 - 2013-05-07 21:25 - 00283032 ____A C:\Windows\SysWOW64\PnkBstrB.exe
2013-06-07 20:06 - 2013-05-09 00:40 - 00000000 ____D C:\Users\Franz\Desktop\mbar
2013-06-07 18:48 - 2013-06-07 18:48 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-07 18:48 - 2013-06-07 18:47 - 13169742 ____A C:\Users\Franz\Desktop\mbar-1.06.0.1003.zip
2013-06-07 18:40 - 2013-06-07 18:31 - 00000000 ____D C:\Windows\erdnt
2013-06-07 18:39 - 2009-07-14 04:34 - 60555264 ____A C:\Windows\System32\config\software.bak
2013-06-07 18:39 - 2009-07-14 04:34 - 44040192 ____A C:\Windows\System32\config\components.bak
2013-06-07 18:39 - 2009-07-14 04:34 - 18087936 ____A C:\Windows\System32\config\system.bak
2013-06-07 18:39 - 2009-07-14 04:34 - 00262144 ____A C:\Windows\System32\config\security.bak
2013-06-07 18:39 - 2009-07-14 04:34 - 00262144 ____A C:\Windows\System32\config\sam.bak
2013-06-07 18:39 - 2009-07-14 04:34 - 00262144 ____A C:\Windows\System32\config\default.bak
2013-06-07 17:53 - 2013-05-07 21:25 - 00283032 ____A C:\Windows\SysWOW64\PnkBstrB.ex0
2013-06-07 17:46 - 2013-06-07 17:46 - 00000000 ____A C:\Windows\setuperr.log
2013-06-06 20:56 - 2013-06-06 20:56 - 00089699 ____A C:\Users\Franz\Desktop\gmer.txt
2013-06-06 20:49 - 2013-06-06 20:49 - 00377856 ____A C:\Users\Franz\Desktop\gmer_2.1.19163.exe
2013-06-06 20:47 - 2013-06-06 20:47 - 00017367 ____A C:\Users\Franz\Desktop\dds.txt
2013-06-06 20:47 - 2013-06-06 20:47 - 00005314 ____A C:\Users\Franz\Desktop\attach.txt
2013-06-06 20:47 - 2013-06-06 20:47 - 00000000 ____A C:\Users\Franz\defogger_reenable
2013-06-06 20:47 - 2013-06-06 20:37 - 00000472 ____A C:\Users\Franz\Desktop\defogger_disable.log
2013-06-06 20:47 - 2012-12-24 23:21 - 00000000 ____D C:\users\Franz
2013-06-06 20:46 - 2013-06-06 20:46 - 00688992 ____R (Swearware) C:\Users\Franz\Desktop\dds.exe
2013-06-06 20:41 - 2013-06-06 20:41 - 00069558 ____A C:\Users\Franz\Desktop\OTL.Txt
2013-06-06 20:08 - 2013-06-06 20:08 - 00602112 ____A (OldTimer Tools) C:\Users\Franz\Desktop\OTL.exe
2013-06-06 19:09 - 2012-12-24 23:13 - 00000000 ____D C:\Windows\Panther
2013-06-06 19:08 - 2013-06-06 19:08 - 00000822 ____A C:\Users\Public\Desktop\CCleaner.lnk
2013-06-06 19:08 - 2013-06-06 19:08 - 00000000 ____D C:\Program Files\CCleaner
2013-06-06 19:07 - 2013-04-05 13:04 - 00000000 ____D C:\Users\Franz\AppData\Roaming\Video Converter Packages
2013-06-06 18:44 - 2013-06-06 18:44 - 00000000 __SHD C:\$$PendingFiles
2013-06-06 18:41 - 2013-01-24 16:54 - 00000000 ____D C:\Program Files (x86)\AMD AVT
2013-06-06 18:41 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-06-06 18:41 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\registration
2013-06-06 18:41 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\AppCompat
2013-06-06 17:46 - 2009-07-14 07:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-06 16:23 - 2013-06-06 16:23 - 00000000 ____D C:\ProgramData\ATI
2013-06-06 16:23 - 2012-12-25 13:28 - 00000000 ____D C:\ProgramData\AMD
2013-06-06 16:20 - 2013-06-06 16:20 - 00000000 ____D C:\AMD
2013-06-02 12:55 - 2013-06-02 12:55 - 00000000 ____D C:\Program Files\KONICA MINOLTA
2013-06-02 12:25 - 2013-06-02 12:25 - 00000824 ____A C:\Users\Public\Desktop\AnotherLife Client.lnk
2013-06-01 12:51 - 2013-06-01 12:51 - 00000762 ____A C:\Users\Public\Desktop\Funkyplot.lnk
2013-05-26 11:34 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache
2013-05-25 19:05 - 2013-01-29 13:50 - 00001534 ____A C:\ProgramData\ss.ini
2013-05-24 18:14 - 2012-12-25 17:23 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-05-24 18:14 - 2012-12-25 17:22 - 00000000 ____D C:\ProgramData\Skype
2013-05-21 20:31 - 2013-05-14 18:07 - 00000852 ____A C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-05-18 18:12 - 2013-05-18 18:12 - 00000181 ____A C:\Users\Franz\Desktop\Battlefield Heroes.url
2013-05-18 18:12 - 2013-05-18 17:20 - 00000000 ____D C:\Users\Franz\Documents\Battlefield Heroes
2013-05-18 17:31 - 2013-05-07 21:24 - 00076888 ____A C:\Windows\SysWOW64\PnkBstrA.exe
2013-05-18 17:25 - 2013-05-07 21:55 - 00000000 ____D C:\Users\Franz\AppData\Local\PunkBuster
2013-05-15 17:57 - 2009-07-14 06:45 - 00431216 ____A C:\Windows\System32\FNTCACHE.DAT
2013-05-15 17:02 - 2012-12-25 00:22 - 75016696 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-05-13 17:03 - 2012-12-25 15:03 - 00691592 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-05-13 17:03 - 2012-12-25 15:03 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-05-13 17:03 - 2012-12-25 14:58 - 00000000 ____D C:\ProgramData\Adobe
2013-05-11 18:32 - 2013-05-11 18:32 - 01092512 ____A (Oracle Corporation) C:\Windows\System32\npDeployJava1.dll
2013-05-11 18:32 - 2013-05-11 18:32 - 00971680 ____A (Oracle Corporation) C:\Windows\System32\deployJava1.dll
2013-05-11 18:32 - 2013-05-11 18:32 - 00311200 ____A (Oracle Corporation) C:\Windows\System32\javaws.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00188832 ____A (Oracle Corporation) C:\Windows\System32\javaw.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00188320 ____A (Oracle Corporation) C:\Windows\System32\java.exe
2013-05-11 18:32 - 2013-05-11 18:32 - 00108448 ____A (Oracle Corporation) C:\Windows\System32\WindowsAccessBridge-64.dll

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-05 14:11

==================== End Of Log ============================
Addition:

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 08-06-2013
Ran by Franz at 2013-06-08 12:56:01 Run:
Running from C:\Users\Franz\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

7-Zip 9.20 (x64 edition) (Version: 9.20.00.0)
Adobe Flash Player 11 ActiveX (Version: 11.7.700.169)
Adobe Flash Player 11 Plugin (Version: 11.7.700.169)
Adobe Reader XI (11.0.03) - Deutsch (Version: 11.0.03)
AMD Accelerated Video Transcoding (Version: 12.5.100.21219)
AMD APP SDK Runtime (Version: 10.0.1084.4)
AMD Catalyst Install Manager (Version: 8.0.903.0)
AMD Drag and Drop Transcoding (Version: 2.00.0000)
AMD Fuel (Version: 2012.1219.1521.27485)
AMD Media Foundation Decoders (Version: 1.0.71219.1540)
AMD VISION Engine Control Center (Version: 2012.1219.1521.27485)
AnotherLife Client Version 1.0.1 (Version: 1.0.1)
Apple Application Support (Version: 2.3.2)
Apple Mobile Device Support (Version: 6.0.1.3)
Apple Software Update (Version: 2.1.3.127)
Asmedia ASM104x USB 3.0 Host Controller Driver (Version: 1.14.1.0)
aTube Catcher (Version: 2.9.1347)
Audacity 2.0.3 (Version: 2.0.3)
Battlefield Heroes
Blacklight Retribution
Bonjour (Version: 3.0.0.10)
Catalyst Control Center - Branding (Version: 1.00.0000)
Catalyst Control Center Graphics Previews Common (Version: 2012.1219.1521.27485)
Catalyst Control Center InstallProxy (Version: 2012.1219.1521.27485)
Catalyst Control Center Localization All (Version: 2012.1219.1521.27485)
CCC Help Chinese Standard (Version: 2012.1219.1520.27485)
CCC Help Chinese Traditional (Version: 2012.1219.1520.27485)
CCC Help Czech (Version: 2012.1219.1520.27485)
CCC Help Danish (Version: 2012.1219.1520.27485)
CCC Help Dutch (Version: 2012.1219.1520.27485)
CCC Help English (Version: 2012.1219.1520.27485)
CCC Help Finnish (Version: 2012.1219.1520.27485)
CCC Help French (Version: 2012.1219.1520.27485)
CCC Help German (Version: 2012.1219.1520.27485)
CCC Help Greek (Version: 2012.1219.1520.27485)
CCC Help Hungarian (Version: 2012.1219.1520.27485)
CCC Help Italian (Version: 2012.1219.1520.27485)
CCC Help Japanese (Version: 2012.1219.1520.27485)
CCC Help Korean (Version: 2012.1219.1520.27485)
CCC Help Norwegian (Version: 2012.1219.1520.27485)
CCC Help Polish (Version: 2012.1219.1520.27485)
CCC Help Portuguese (Version: 2012.1219.1520.27485)
CCC Help Russian (Version: 2012.1219.1520.27485)
CCC Help Spanish (Version: 2012.1219.1520.27485)
CCC Help Swedish (Version: 2012.1219.1520.27485)
CCC Help Thai (Version: 2012.1219.1520.27485)
CCC Help Turkish (Version: 2012.1219.1520.27485)
ccc-utility64 (Version: 2012.1219.1521.27485)
CCleaner (Version: 4.02)
CPUID HWMonitor 1.21
D-Link DWA-140
DVD Flick 1.3.0.7 (Version: 1.3.0.7)
eReg (Version: 1.20.138.34)
Euro Truck Simulator 1.00 (Version: 1.00)
Free Video to DVD Converter version 5.0.22.128 (Version: 5.0.22.128)
FreeRIP 3.92 (Version: 3.92)
Funkyplot 1.1.0-pre1
GeoGebra 4.2 (Version: 4.2.17.0)
Grand Theft Auto San Andreas (Version: 1.00.00001)
IrfanView (remove only) (Version: 4.35)
iTunes (Version: 11.0.1.12)
Java 7 Update 17 (Version: 7.0.170)
Java 7 Update 21 (64-bit) (Version: 7.0.210)
Java Auto Updater (Version: 2.1.9.0)
Java SE Development Kit 7 Update 21 (64-bit) (Version: 1.7.0.210)
JMicron JMB36X Driver (Version: 1.17.62.0)
KONICA MINOLTA magicolor 1600W
Logitech SetPoint 6.51 (Version: 6.51.8)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Office 2000 SR-1 Disc 2 (Version: 9.00.3821)
Microsoft PhotoDraw 2000 V2 (Version: 2.00.00.1429)
Microsoft Silverlight (Version: 5.0.61118.0)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319 (Version: 10.0.30319)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 21.0 (x86 de) (Version: 21.0)
Nero 7 Essentials (Version: 7.02.8078)
Nightly 23.0a1 (x64 en-US) (Version: 23.0a1)
NVIDIA PhysX (Version: 9.10.0513)
OpenOffice.org 3.4.1 (Version: 3.41.9593)
PunkBuster Services (Version: 0.990)
Qtrax Player
Qtrax Player (Version: 1.00.0001)
Realtek Ethernet Controller Driver (Version: 7.48.823.2011)
Realtek High Definition Audio Driver (Version: 6.0.1.6251)
Skype™ 6.3 (Version: 6.3.107)
SUPER © v2012.build.54 (Nov 18, 2012) Version v2012.build.54 (Version: v2012.build.54)
Synthesia (Version: 8.5)
TeamSpeak 3 Client (Version: 3.0.10)
TelevisionFanatic Toolbar
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (Version: 1)
VirtualDJ Home FREE (Version: 7.3)
VLC media player 2.0.5 (Version: 2.0.5)
World of Tanks
XMedia Recode Version 3.1.4.8 (Version: 3.1.4.8)

==================== Restore Points  =========================

07-06-2013 16:57:17 Malwarebytes Anti-Rootkit Restore Point

==================== Faulty Device Manager Devices =============

Name: AODDriver4.01
Description: AODDriver4.01
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: AODDriver4.01
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Event log errors: =========================

Application errors:
==================

System errors:
=============

Microsoft Office Sessions:
=========================

CodeIntegrity Errors:
===================================
  Date: 2013-06-08 12:41:40.092
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-06-08 12:41:40.061
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-06-08 12:41:40.030
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-06-08 12:41:39.998
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-06-07 18:39:06.395
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-06-07 18:39:06.363
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2012-12-25 20:55:11.337
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\SysWOW64\mbmiodrvr.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2012-12-25 20:55:11.322
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\SysWOW64\mbmiodrvr.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Memory info =========================== 

Percentage of memory in use: 19%
Total physical RAM: 8137.36 MB
Available physical RAM: 6590.95 MB
Total Pagefile: 16272.9 MB
Available Pagefile: 14444.43 MB
Total Virtual: 8192 MB
Available Virtual: 8191.8 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:59.53 GB) (Free:22.98 GB) NTFS (Disk=0 Partition=2)
Drive e: () (Fixed) (Total:465.76 GB) (Free:352.95 GB) NTFS (Disk=1 Partition=1)

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 60 GB) (Disk ID: 9512B1A9)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=60 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 569F41DD)
Partition 1: (Not Active) - (Size=466 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Alt 09.06.2013, 09:45   #9
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Servus,



führe bitte die folgenden Kontrollsuchläufe durch und poste die Logdateien dazu:




Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.








ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset







Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
Alt 09.06.2013, 11:55   #10
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Maleware:

Code:
ATTFilter
www.malwarebytes.org

Datenbank Version: v2013.06.09.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Franz :: FRANZ-PC [Administrator]

09.06.2013 12:00:12
mbam-log-2013-06-09 (12-00-12).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 209899
Laufzeit: 1 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Eset:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4daa199a493ded4b9929c02e889c024a
# engine=14029
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-09 10:53:08
# local_time=2013-06-09 12:53:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 86112 122405038 0 0
# scanned=139734
# found=5
# cleaned=0
# scan_time=2624
sh=9F95EAD4DC10FFCD642EFF5ECC82C1846EF2E9AE ft=1 fh=b74ecf2d75355400 vn="a variant of Win32/Kryptik.BCYN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Franz\AppData\Roaming\skype.dat.vir"
sh=136826F8845D2CDADBCD97989BFCE780603E514D ft=1 fh=d4dd4b92d6d99772 vn="a variant of Win32/Injector.AHCC trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Franz\AppData\Roaming\Upic\ysiwy.exe.vir"
sh=6DE94DA7EF6FD3349EB7555AA2719E791B448FC6 ft=1 fh=1854503bd3d1adc8 vn="Win32/Spy.Zbot.AAO trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Franz\AppData\Roaming\Ypbaow\oqmua.exe.vir"
sh=5E16F3AE5EB608CA5F34E91C351436A5121B6C41 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.OMW trojan" ac=I fn="C:\Users\Franz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\3f079770-5d0c8b66"
sh=5E16F3AE5EB608CA5F34E91C351436A5121B6C41 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.OMW trojan" ac=I fn="C:\Users\Franz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\6a595006-213733aa"
SecurityCheck:

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.64  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java 7 Update 17  
 Java version out of Date! 
 Adobe Flash Player 11.7.700.169  
 Adobe Reader XI  
 Mozilla Firefox (21.0) 
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Alt 09.06.2013, 20:13   #11
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Servus,



die Funde von ESET befinden sich bereits in der Quarantäne von ComboFix und können keinen Schaden mehr anrichten.





Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
ATTFilter
:files
C:\Users\Franz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0

:Commands
[reboot]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread






Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier:
    Java Download (32 bit)
    Java Download (64 bit)
  • Speichere die Datei auf deinem Desktop.
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 21 ) installieren.
  • Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
schneller Plugin-Test: PluginCheck





Schritt 2
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.







Schritt 3
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.


Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • WOT (Web of trust)
    Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.


Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC


Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
Miekemoes Blogspot ( MVP )


Was du vermeiden solltest:
  • Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
  • Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.



Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen?


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 10.06.2013, 19:00   #12
Bimbus
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Alles erledigt.

Danke für eure Hilfe! Macht weiter so!
Alt 11.06.2013, 15:55   #13
M-K-D-B
/// TB-Ausbilder
 
Bundestrojaner heute eingefangen - Standard

Bundestrojaner heute eingefangen


Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Antwort

Themen zu Bundestrojaner heute eingefangen
bundestrojaner, ccleaner, community, eingefangen, java/exploit.agent.omw, kaspersky, schließe, system, trojan.0access, trojan.siredef.c, win32/injector.ahcc, win32/kryptik.bcyn, win32/spy.zbot.aao, windows


« Hab ich mir was eingefangen? wssetup.exe Perion Network Ltd. | Nach Hotelbesuch braucht PC ewig bis Internet und weitere Programme starten »


Ähnliche Themen: Bundestrojaner heute eingefangen


  1. Worm:Win32/Ramnit.A heute auf dem Pc eingefangen. Windows 8
    Plagegeister aller Art und deren Bekämpfung - 08.01.2015 (7)
  2. Win 7: GVU heute eingefangen. Wie entfernen? Winunlocker geht nicht
    Log-Analyse und Auswertung - 12.11.2014 (27)
  3. Bundestrojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (10)
  4. Bundestrojaner eingefangen
    Log-Analyse und Auswertung - 21.06.2013 (11)
  5. "bundestrojaner" seit heute morgen auf pc
    Log-Analyse und Auswertung - 11.06.2013 (10)
  6. Bundestrojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2013 (11)
  7. GVU Virus heute eingefangen und gleich entfernt - ist mein PC wirklich sauber? Wie checken?
    Log-Analyse und Auswertung - 19.01.2013 (11)
  8. Bundestrojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (21)
  9. Bundestrojaner eingefangen :-(
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (7)
  10. GVU Trojaner heute eingefangen - LOG Files
    Log-Analyse und Auswertung - 11.09.2012 (5)
  11. Bundestrojaner eingefangen
    Log-Analyse und Auswertung - 13.07.2012 (9)
  12. Bundestrojaner eingefangen
    Log-Analyse und Auswertung - 13.03.2012 (11)
  13. Bundestrojaner heute eingefangen
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (1)
  14. Bundestrojaner eingefangen
    Log-Analyse und Auswertung - 28.08.2011 (4)
  15. TR/Crypt.XPACK.Gen Heute eingefangen!
    Mülltonne - 05.11.2008 (0)
  16. Hab mir heute was eingefangen, brauch Hilfe :(
    Plagegeister aller Art und deren Bekämpfung - 31.12.2005 (10)
  17. Alles im Eimer?? Heute gleich FÜNF Würmer eingefangen!! *Help*
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bundestrojaner heute eingefangen - Hallo liebe Community, Ich habe mir heute einen Bundestrojaner eingefangen. Er forderte mich auf 100 E zu bezahlen. Das tat ich natürlich nicht. Ich konnte durch Kaspersky Rescue per USB - Bundestrojaner heute eingefangen...
Archiv
Du betrachtest: Bundestrojaner heute eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55