Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


Log-Analyse und Auswertung: Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.07.2013, 12:53   #1
nulle
 
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Standard

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


Hallo,

wie der titel schon sagt habe ich seit einigen Tagen das problem das ich bei Google suchergebnissen, besonders bei Amazon, Ebay und Co. links umgeleitet werde über newsbuster zu sureonlinefind und dann am ende nicht bei Amzon sondern bei irgendeinem Hutdiscounter lande.

Habe schon mal ein OTL Scan gemacht. Habe auch sonst schon mal einiges an Tools runtergeladen, kann also sofort loslegen ^^

Wäre super wenn mir jemand weiterhelfen könnte denn langsam bin ich mit meinem Latein am ende.

Code:
ATTFilter
OTL logfile created on: 01.07.2013 13:43:06 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\xxxxxx\Desktop
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Germany | Language: DEU | Date Format: dd.MM.yyyy
 
7,99 Gb Total Physical Memory | 5,67 Gb Available Physical Memory | 70,94% Memory free
15,98 Gb Paging File | 13,79 Gb Available in Paging File | 86,29% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files(x86)
Drive C: | 78,03 Gb Total Space | 35,06 Gb Free Space | 44,93% Space Free | Partition Type: NTFS
Drive D: | 585,94 Gb Total Space | 19,31 Gb Free Space | 3,29% Space Free | Partition Type: NTFS
Drive E: | 195,31 Gb Total Space | 189,55 Gb Free Space | 97,05% Space Free | Partition Type: NTFS
Drive F: | 658,08 Gb Total Space | 426,33 Gb Free Space | 64,78% Space Free | Partition Type: NTFS
Drive G: | 292,97 Gb Total Space | 17,19 Gb Free Space | 5,87% Space Free | Partition Type: NTFS
Drive H: | 52,60 Gb Total Space | 4,76 Gb Free Space | 9,04% Space Free | Partition Type: NTFS
Drive Q: | 39,06 Gb Total Space | 38,93 Gb Free Space | 99,67% Space Free | Partition Type: NTFS
Drive R: | 426,70 Gb Total Space | 368,29 Gb Free Space | 86,31% Space Free | Partition Type: NTFS
 
Computer Name: xxxx | User Name: xxxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\xxxxxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - E:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe ()
PRC - E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - E:\Programme\DAEMON Tools Pro\DTShellHlp.exe (DT Soft Ltd)
PRC - E:\Programme(x86)\Razer\Imperator\RazerImperatorSysTray.exe (Razer USA Ltd)
PRC - E:\Programme\SpeedFan\speedfan.exe (Almico Software (www.almico.com))
PRC - C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe ()
PRC - E:\Programme\RocketDock\RocketDock.exe ()
 
 
========== Modules (No Company Name) ==========
 
MOD - Q:\Temp\sfamcc00001.dll ()
MOD - Q:\Temp\sfareca00001.dll ()
MOD - E:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - E:\Programme\DAEMON Tools Pro\MSIMG32.dll ()
MOD - E:\Programme\RocketDock\RocketDock.exe ()
MOD - E:\Programme\RocketDock\RocketDock.dll ()
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (MBAMScheduler) -- E:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)
SRV - (TunngleService) -- E:\Programme\Tunngle\TnglCtrl.exe (Tunngle.net GmbH)
SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (DisplayFusionService) -- E:\Programme(x86)\DisplayFusion\DisplayFusionService.exe (Binary Fortress Software)
SRV - (SbieSvc) -- C:\Program Files\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D)
SRV - (PassThru Service) -- C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe ()
SRV - (FLEXnet Licensing Service 64) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe (Flexera Software, Inc.)
SRV - (AntiVirSchedulerService) -- E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (Futuremark SystemInfo Service) -- C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe (Futuremark Corporation)
SRV - (Autodesk Content Service) -- C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe ()
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (UnsignedThemes) -- C:\Windows\UnsignedThemesSvc.exe (The Within Network, LLC)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (AtiHDAudioService) -- C:\Windows\SysNative\drivers\AtihdW76.sys (Advanced Micro Devices)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\drivers\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (MotioninJoyXFilter) -- C:\Windows\SysNative\drivers\MijXfilt.sys (MotioninJoy)
DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation)
DRV:64bit: - (dtsoftbus01) -- C:\Windows\SysNative\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (Advanced Micro Devices, Inc.)
DRV:64bit: - (amdkmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (Advanced Micro Devices, Inc.)
DRV:64bit: - (amdkmdap) -- C:\Windows\SysNative\drivers\atikmpag.sys (Advanced Micro Devices, Inc.)
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira GmbH)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (xusb21) -- C:\Windows\SysNative\drivers\xusb21.sys (Microsoft Corporation)
DRV:64bit: - (htcnprot) -- C:\Windows\SysNative\drivers\htcnprot.sys (Windows (R) Win 7 DDK provider)
DRV:64bit: - (HTCAND64) -- C:\Windows\SysNative\drivers\ANDROIDUSB.sys (HTC, Corporation)
DRV:64bit: - (tap0901t) -- C:\Windows\SysNative\drivers\tap0901t.sys (Tunngle.net)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (uxpatch) -- C:\Windows\SysNative\drivers\uxpatch.sys ()
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (KMWDFILTER) -- C:\Windows\SysNative\drivers\KMWDFILTER.sys (Windows (R) Codename Longhorn DDK provider)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (LVUSBS64) -- C:\Windows\SysNative\drivers\LVUSBS64.sys (Logitech Inc.)
DRV:64bit: - (LVRS64) -- C:\Windows\SysNative\drivers\lvrs64.sys (Logitech Inc.)
DRV:64bit: - (PID_PEPI) -- C:\Windows\SysNative\drivers\LV302V64.SYS (Logitech Inc.)
DRV:64bit: - (lvpepf64) -- C:\Windows\SysNative\drivers\lv302a64.sys (Logitech Inc.)
DRV:64bit: - (WDC_SAM) -- C:\Windows\SysNative\drivers\wdcsam64.sys (Western Digital Technologies)
DRV - (RivaTuner64) -- E:\Programme\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys ()
DRV - (SbieDrv) -- C:\Program Files\Sandboxie\SbieDrv.sys (SANDBOXIE L.T.D)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 43 47 66 B7 F2 72 CE 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{2079DB0D-9007-4A3D-8597-0573CAB27AA2}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=crm&q={searchTerms}&locale=en_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=E5DA4DFA-B074-419E-954D-131FB4500089&apn_sauid=BD741273-115D-48F4-B853-CB67F64A2BBD
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Google"
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig"
FF - prefs.js..extensions.enabledAddons: battlefieldheroespatcher%40ea.com:5.0.196.0
FF - prefs.js..extensions.enabledAddons: survey-remover%40gmx.com:3.1.2
FF - prefs.js..extensions.enabledAddons: %7B46551EC9-40F0-4e47-8E18-8E5CF550CFB8%7D:1.3.2
FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.1.0
FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.6.6
FF - prefs.js..extensions.enabledAddons: %7B77d2ed30-4cd2-11e0-b8af-0800200c9a66%7D:7.0.7
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.25.2: C:\Windows\system32\npDeployJava1.dll (Sun Microsystems, Inc.)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.25.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\SysWOW64\Adobe\Director\np32dsw_1202122.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_39: C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@live.heroesandgenerals.com/npretox: F:\Heroes & Generals\live\npretoxlive.dll (Reto-Moto ApS)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nielsen/FirefoxTracker: C:\Program Files (x86)\NetRatingsNetSight\NetSight\meter1\FirefoxAddOns\npfirefoxtracker.dll File not found
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.7: E:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 22.0\extensions\\Plugins: E:\Programme\Mozilla Firefox\plugins [2013.06.30 10:51:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.7\extensions\\Components: E:\Programme\Mozilla Thunderbird\components [2013.06.25 21:52:29 | 000,000,000 | ---D | M]
 
[2012.09.10 23:29:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\Extensions
[2012.09.10 23:29:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013.06.22 08:37:57 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\Firefox\Profiles\e947ej3q.default\extensions
[2013.06.18 15:51:59 | 000,000,000 | ---D | M] (FT DeepDark) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\Firefox\Profiles\e947ej3q.default\extensions\{77d2ed30-4cd2-11e0-b8af-0800200c9a66}
[2012.11.27 21:32:16 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\Firefox\Profiles\e947ej3q.default\extensions\battlefieldheroespatcher@ea.com
[2013.06.19 07:23:29 | 002,494,702 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\nasanightlaunch@example.com.xpi
[2012.11.22 18:16:23 | 001,230,904 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\Office2007Black@JBBS.xpi
[2012.09.20 19:00:06 | 000,051,442 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\survey-remover@gmx.com.xpi
[2013.04.18 06:49:18 | 000,282,569 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2013.06.22 08:37:57 | 000,534,298 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2013.05.08 22:32:46 | 000,870,680 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.04.21 12:23:13 | 000,765,412 | ---- | M] () (No name found) -- C:\Users\xxxxxx\AppData\Roaming\mozilla\firefox\profiles\e947ej3q.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi
 
O1 HOSTS File: ([2013.07.01 10:20:47 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme(x86)\Adobe\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme(x86)\Adobe\Acrobat\AcroIEFavClient.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme(x86)\Adobe\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [avgnt] E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Razer Imperator Driver] E:\Programme(x86)\Razer\Imperator\RazerImperatorSysTray.exe (Razer USA Ltd)
O4 - HKCU..\Run: [DisplayFusion] E:\Programme(x86)\DisplayFusion\DisplayFusion.exe (Binary Fortress Software)
O4 - HKCU..\Run: [RocketDock] E:\Programme\RocketDock\RocketDock.exe ()
O4 - HKCU..\Run: [Steam] F:\Steam\steam.exe (Valve Corporation)
O4 - Startup: C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe (Almico Software (www.almico.com))
O4 - Startup: C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Trillian.lnk = E:\Programme\Trillian\trillian.exe (Cerulean Studios)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: freerealms.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: soe.com ([]* in Trusted sites)
O15 - HKCU\..Trusted Domains: sony.com ([]* in Trusted sites)
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 10.25.2)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 1.7.0_25)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 1.7.0_25)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B3728C28-187E-4D6C-90BF-2A5E3EE07AFB}: DhcpNameServer = 7.254.254.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FF43ED73-8AC9-4FAC-926E-10C05C461E12}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysNative\explorer.exe ()
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O22 - SharedTaskScheduler: {E31004D1-A431-41B8-826F-E902F9D95C81} - Windows DreamScene - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.11 10:17:42 | 000,000,020 | ---- | M] () - G:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.07.01 13:29:50 | 001,093,032 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll
[2013.07.01 13:29:48 | 000,108,968 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[2013.07.01 13:28:42 | 033,150,376 | ---- | C] (Oracle Corporation) -- C:\Users\xxxxxx\Desktop\jre-7u25-windows-x64.exe
[2013.07.01 13:17:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\xxxxxx\Desktop\OTL.exe
[2013.07.01 10:37:13 | 002,347,384 | ---- | C] (ESET) -- C:\Users\xxxxxx\Desktop\esetsmartinstaller_enu.exe
[2013.07.01 10:24:31 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.07.01 10:24:31 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Local\temp
[2013.07.01 10:22:08 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2013.07.01 09:52:30 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.07.01 09:52:30 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.07.01 09:52:30 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.07.01 09:51:14 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.07.01 09:51:09 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.06.30 10:51:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN
[2013.06.30 10:47:59 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\Desktop\updates
[2013.06.29 19:18:05 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Roaming\NVIDIA
[2013.06.29 18:57:36 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MSI Afterburner
[2013.06.29 18:27:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
[2013.06.29 18:24:06 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA Corporation
[2013.06.29 18:23:46 | 001,807,136 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdispco6431421.dll
[2013.06.29 18:23:46 | 001,510,328 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvhdagenco6420103.dll
[2013.06.29 18:23:46 | 001,510,176 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvdispgenco6431421.dll
[2013.06.29 18:23:46 | 000,194,488 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\drivers\nvhda64v.sys
[2013.06.29 18:23:46 | 000,031,672 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvhdap64.dll
[2013.06.29 18:23:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xtreme-G 314.21 Win7-8 64bit
[2013.06.29 18:21:04 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Local\Programs
[2013.06.29 18:07:58 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA
[2013.06.29 18:07:42 | 006,398,240 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvcpl.dll
[2013.06.29 18:07:42 | 003,477,280 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvsvc64.dll
[2013.06.29 18:07:42 | 002,558,240 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvsvcr.dll
[2013.06.29 18:07:42 | 000,237,856 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvmctray.dll
[2013.06.29 18:07:42 | 000,063,776 | ---- | C] (NVIDIA Corporation) -- C:\Windows\SysNative\nvshext.dll
[2013.06.29 18:07:25 | 000,000,000 | ---D | C] -- C:\Program Files(x86)\NVIDIA Corporation
[2013.06.28 17:45:01 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Roaming\TuneUp Software
[2013.06.28 17:44:36 | 000,000,000 | ---D | C] -- C:\ProgramData\TuneUp Software
[2013.06.28 17:44:31 | 000,000,000 | -HSD | C] -- C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2013.06.27 22:27:56 | 000,110,080 | ---- | C] (TODO: <Company name>) -- C:\Windows\SysNative\DelayAPO.dll
[2013.06.27 22:27:56 | 000,096,768 | ---- | C] (Advanced Micro Devices) -- C:\Windows\SysNative\drivers\AtihdW76.sys
[2013.06.26 00:40:47 | 000,000,000 | ---D | C] -- C:\NPE
[2013.06.26 00:40:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Norton
[2013.06.26 00:32:01 | 000,000,000 | ---D | C] -- C:\NBRT
[2013.06.16 14:54:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Bohemia Interactive
[2013.06.16 14:54:28 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\Documents\Arma 3 Alpha Lite
[2013.06.16 14:54:28 | 000,000,000 | ---D | C] -- C:\Users\xxxxxx\AppData\Local\Arma 3 Alpha Lite
[2013.06.13 14:16:52 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2013.06.13 14:16:52 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2013.06.13 14:16:52 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2013.06.13 14:16:52 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2013.06.13 14:16:51 | 002,312,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2013.06.13 14:16:51 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2013.06.13 14:16:51 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2013.06.13 14:16:51 | 000,729,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2013.06.13 14:16:51 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2013.06.13 14:16:51 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2013.06.13 14:16:51 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2013.06.13 14:16:51 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2013.06.13 14:16:50 | 000,816,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2013.06.13 14:16:50 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2013.06.13 14:16:50 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2013.06.13 14:16:20 | 000,030,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cryptdlg.dll
[2013.06.13 14:16:20 | 000,024,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\cryptdlg.dll
[2013.06.13 14:16:19 | 001,424,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\WindowsCodecs.dll
[2013.06.13 14:16:18 | 000,751,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\win32spl.dll
[2013.06.13 14:16:18 | 000,492,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\win32spl.dll
[2013.06.13 14:16:16 | 001,464,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\crypt32.dll
[2013.06.13 14:16:16 | 001,192,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\certutil.exe
[2013.06.13 14:16:16 | 000,903,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\certutil.exe
[2013.06.13 14:16:16 | 000,139,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cryptnet.dll
[2013.06.13 14:16:16 | 000,052,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\certenc.dll
[2013.06.13 14:16:16 | 000,043,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\certenc.dll
[2013.06.13 14:16:01 | 001,887,232 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\d3d11.dll
[2013.06.13 14:16:01 | 001,505,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\d3d11.dll
[2013.06.11 22:43:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Brother
[2013.06.03 23:08:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes & Generals
[2013.06.01 16:39:24 | 000,000,000 | ---D | C] -- C:\ruu_log
 
========== Files - Modified Within 30 Days ==========
 
[2013.07.01 13:29:46 | 001,093,032 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\npDeployJava1.dll
[2013.07.01 13:29:46 | 000,972,712 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll
[2013.07.01 13:29:46 | 000,312,232 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe
[2013.07.01 13:29:46 | 000,189,352 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe
[2013.07.01 13:29:46 | 000,188,840 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\java.exe
[2013.07.01 13:29:46 | 000,108,968 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\WindowsAccessBridge-64.dll
[2013.07.01 13:28:58 | 033,150,376 | ---- | M] (Oracle Corporation) -- C:\Users\xxxxxx\Desktop\jre-7u25-windows-x64.exe
[2013.07.01 13:17:30 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xxxxxx\Desktop\OTL.exe
[2013.07.01 10:37:34 | 000,890,988 | ---- | M] () -- C:\Users\xxxxxx\Desktop\SecurityCheck.exe
[2013.07.01 10:37:13 | 002,347,384 | ---- | M] (ESET) -- C:\Users\xxxxxx\Desktop\esetsmartinstaller_enu.exe
[2013.07.01 10:34:51 | 000,020,096 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.07.01 10:34:51 | 000,020,096 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.07.01 10:27:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.07.01 10:20:47 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2013.07.01 09:07:08 | 000,648,201 | ---- | M] () -- C:\Users\xxxxxx\Desktop\adwcleaner.exe
[2013.06.30 16:55:42 | 001,612,484 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.06.30 16:55:42 | 000,694,460 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.06.30 16:55:42 | 000,651,938 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.06.30 16:55:42 | 000,147,584 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.06.30 16:55:42 | 000,120,870 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.06.30 10:51:29 | 000,001,945 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader XI.lnk
[2013.06.30 10:24:06 | 000,000,745 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.06.27 22:56:10 | 000,291,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2013.06.27 22:56:10 | 000,291,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2013.06.27 22:46:38 | 000,291,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2013.06.27 21:56:26 | 000,076,888 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2013.06.15 20:43:34 | 001,586,950 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2013.06.12 19:35:11 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2013.06.12 19:35:11 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2013.06.11 22:44:05 | 000,000,050 | ---- | M] () -- C:\Windows\SysNative\bridf07a.dat
[2013.06.03 23:08:58 | 000,000,292 | ---- | M] () -- C:\Users\Public\Desktop\Heroes & Generals spielen.lnk
[2013.06.02 09:42:19 | 000,367,944 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
 
========== Files Created - No Company Name ==========
 
[2013.07.01 10:37:33 | 000,890,988 | ---- | C] () -- C:\Users\xxxxxx\Desktop\SecurityCheck.exe
[2013.07.01 09:07:07 | 000,648,201 | ---- | C] () -- C:\Users\xxxxxx\Desktop\adwcleaner.exe
[2013.06.30 10:51:29 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk
[2013.06.30 10:51:29 | 000,001,945 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader XI.lnk
[2013.06.30 10:24:06 | 000,000,745 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.06.29 18:07:42 | 003,065,455 | ---- | C] () -- C:\Windows\SysNative\nvcoproc.bin
[2013.06.11 22:44:05 | 000,000,050 | ---- | C] () -- C:\Windows\SysNative\bridf07a.dat
[2013.06.03 23:08:58 | 000,000,292 | ---- | C] () -- C:\Users\Public\Desktop\Heroes & Generals spielen.lnk
[2013.05.14 22:29:31 | 000,005,698 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2013.03.24 12:49:26 | 000,159,744 | RHS- | C] () -- C:\Windows\SysWow64\wiadsst.dll
[2013.03.17 21:24:27 | 001,481,728 | ---- | C] () -- C:\Windows\SysWow64\LegitCheckControl.dll
[2013.03.17 21:24:27 | 000,323,072 | ---- | C] () -- C:\Windows\SysWow64\WgaTray.exe
[2013.03.17 21:24:27 | 000,190,976 | ---- | C] () -- C:\Windows\SysWow64\WgaLogon.dll
[2012.12.30 13:49:03 | 000,035,048 | ---- | C] () -- C:\Users\xxxxxx\AppData\Roaming\UserOrb.bmp
[2012.12.29 19:53:40 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2012.12.29 14:39:36 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2012.12.29 14:39:36 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2012.12.25 15:42:39 | 000,002,154 | ---- | C] () -- C:\Windows\Sandboxie.ini
[2012.12.10 12:11:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2012.11.13 23:27:21 | 000,000,218 | ---- | C] () -- C:\Users\xxxxxx\AppData\Local\recently-used.xbel
[2012.11.07 20:18:18 | 000,925,184 | ---- | C] () -- C:\Windows\expstart.exe
[2012.11.06 22:23:18 | 000,000,000 | ---- | C] () -- C:\Windows\SysWow64\Access.dat
[2012.10.17 21:22:24 | 000,000,153 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
[2012.10.17 21:19:34 | 001,586,950 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.10.12 21:45:46 | 000,291,128 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.10.12 21:45:45 | 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.09.28 21:45:06 | 000,247,296 | ---- | C] () -- C:\Windows\SysWow64\rtvcvfw32.dll
[2012.09.10 19:49:28 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.09.10 16:27:12 | 000,000,193 | ---- | C] () -- C:\Windows\WORDPAD.INI
[2012.09.10 12:43:47 | 000,026,936 | ---- | C] () -- C:\Windows\SysWow64\ativvsnl.dat
[2012.09.10 12:43:47 | 000,000,025 | ---- | C] () -- C:\Windows\SysWow64\ativvsny.dat
[2012.09.10 11:27:48 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2013.02.27 07:52:56 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2013.02.27 06:55:05 | 012,872,704 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

< End of report >
Geändert von nulle (01.07.2013 um 12:59 Uhr)

Alt 01.07.2013, 12:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Standard

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


Hallo und

Zitat:
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Warum hast du eine Ultimate-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!


Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________
Alt 01.07.2013, 13:02   #3
nulle
 
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Standard

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


Die Windows version gabs damals bei mir in der Uni umsonst für Studenten.

Habe Malwarebytes laufen lassen und das findet rein garnichts.

Edit: Hab da noch 2 Antivir logs die jeweils eine Datei gefunden haben, die wurden aber auch in quarantäne gestellt.

Code:
ATTFilter
 Malwarebytes Anti-Malware  (PRO) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.30.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nullinger :: GROTTE [Administrator]

Schutz: Deaktiviert

01.07.2013 10:36:15
mbam-log-2013-07-01 (10-36-15).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Autostart | P2P
Durchsuchte Objekte: 239869
Laufzeit: 2 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Saturday, June 22, 2013  10:50

Es wird nach 4823920 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Ultimate
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : GROTTE

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 20:32:50
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.09.2012 09:01:24
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 14:40:31
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 14:07:30
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 13:38:33
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 16:21:05
VBASE004.VDF   : 7.11.85.215     2048 Bytes  21.06.2013 16:21:05
VBASE005.VDF   : 7.11.85.216     2048 Bytes  21.06.2013 16:21:05
VBASE006.VDF   : 7.11.85.217     2048 Bytes  21.06.2013 16:21:05
VBASE007.VDF   : 7.11.85.218     2048 Bytes  21.06.2013 16:21:05
VBASE008.VDF   : 7.11.85.219     2048 Bytes  21.06.2013 16:21:05
VBASE009.VDF   : 7.11.85.220     2048 Bytes  21.06.2013 16:21:05
VBASE010.VDF   : 7.11.85.221     2048 Bytes  21.06.2013 16:21:05
VBASE011.VDF   : 7.11.85.222     2048 Bytes  21.06.2013 16:21:05
VBASE012.VDF   : 7.11.85.223     2048 Bytes  21.06.2013 16:21:05
VBASE013.VDF   : 7.11.85.224     2048 Bytes  21.06.2013 16:21:05
VBASE014.VDF   : 7.11.85.225     2048 Bytes  21.06.2013 16:21:06
VBASE015.VDF   : 7.11.85.226     2048 Bytes  21.06.2013 16:21:06
VBASE016.VDF   : 7.11.85.227     2048 Bytes  21.06.2013 16:21:06
VBASE017.VDF   : 7.11.85.228     2048 Bytes  21.06.2013 16:21:06
VBASE018.VDF   : 7.11.85.229     2048 Bytes  21.06.2013 16:21:06
VBASE019.VDF   : 7.11.85.230     2048 Bytes  21.06.2013 16:21:06
VBASE020.VDF   : 7.11.85.231     2048 Bytes  21.06.2013 16:21:06
VBASE021.VDF   : 7.11.85.232     2048 Bytes  21.06.2013 16:21:06
VBASE022.VDF   : 7.11.85.233     2048 Bytes  21.06.2013 16:21:06
VBASE023.VDF   : 7.11.85.234     2048 Bytes  21.06.2013 16:21:06
VBASE024.VDF   : 7.11.85.235     2048 Bytes  21.06.2013 16:21:06
VBASE025.VDF   : 7.11.85.236     2048 Bytes  21.06.2013 16:21:06
VBASE026.VDF   : 7.11.85.237     2048 Bytes  21.06.2013 16:21:06
VBASE027.VDF   : 7.11.85.238     2048 Bytes  21.06.2013 16:21:06
VBASE028.VDF   : 7.11.85.239     2048 Bytes  21.06.2013 16:21:06
VBASE029.VDF   : 7.11.85.240     2048 Bytes  21.06.2013 16:21:06
VBASE030.VDF   : 7.11.85.241     2048 Bytes  21.06.2013 16:21:06
VBASE031.VDF   : 7.11.86.46     56832 Bytes  21.06.2013 16:21:06
Engineversion  : 8.2.12.66 
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 16:20:46
AESCRIPT.DLL   : 8.1.4.124     487806 Bytes  20.06.2013 16:21:07
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 13:31:09
AESBX.DLL      : 8.2.5.12      606578 Bytes  10.09.2012 09:01:17
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 16:20:45
AEPACK.DLL     : 8.3.2.24      749945 Bytes  20.06.2013 16:21:07
AEOFFICE.DLL   : 8.1.2.60      205181 Bytes  18.06.2013 16:21:04
AEHEUR.DLL     : 8.1.4.426    5951866 Bytes  20.06.2013 16:21:07
AEHELP.DLL     : 8.1.27.2      266617 Bytes  04.06.2013 14:36:37
AEGEN.DLL      : 8.1.7.4       442741 Bytes  08.05.2013 20:27:05
AEEXP.DLL      : 8.4.0.34      201079 Bytes  04.06.2013 14:36:40
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.09.2012 09:01:12
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 19:07:55
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 20:32:44
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 20:32:50
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 20:32:49
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  10.09.2012 09:01:20
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  10.09.2012 09:00:51
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 20:32:48

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51c53916\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Auszulassende Dateien.................: R:\Prog & tools\Tools Treiber\Nützliches\Windows 7 Start Orb Changer 

Beginn des Suchlaufs: Saturday, June 22, 2013  10:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Azureus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_7_700_224.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_7_700_224.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DisplayFusionAppHook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypekit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PassThruSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTSS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RivaTuner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RazerImperatorSysTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'speedfan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Connect.Service.ContentService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'Q:\$RECYCLE.BIN\S-1-5-21-4099454054-414197828-1951116747-1000\$R8GG7TM.tmp'
Q:\$RECYCLE.BIN\S-1-5-21-4099454054-414197828-1951116747-1000\$R8GG7TM.tmp
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.82365488

Beginne mit der Desinfektion:
Q:\$RECYCLE.BIN\S-1-5-21-4099454054-414197828-1951116747-1000\$R8GG7TM.tmp
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.82365488
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54cbc92b.qua' verschoben!


Ende des Suchlaufs: Saturday, June 22, 2013  10:51
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     25 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     24 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Tuesday, June 25, 2013  14:00

Es wird nach 4891807 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Ultimate
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : GROTTE

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 20:32:50
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.09.2012 09:01:24
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 14:40:31
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 14:07:30
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 13:38:33
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 16:21:05
VBASE004.VDF   : 7.11.85.215     2048 Bytes  21.06.2013 16:21:05
VBASE005.VDF   : 7.11.85.216     2048 Bytes  21.06.2013 16:21:05
VBASE006.VDF   : 7.11.85.217     2048 Bytes  21.06.2013 16:21:05
VBASE007.VDF   : 7.11.85.218     2048 Bytes  21.06.2013 16:21:05
VBASE008.VDF   : 7.11.85.219     2048 Bytes  21.06.2013 16:21:05
VBASE009.VDF   : 7.11.85.220     2048 Bytes  21.06.2013 16:21:05
VBASE010.VDF   : 7.11.85.221     2048 Bytes  21.06.2013 16:21:05
VBASE011.VDF   : 7.11.85.222     2048 Bytes  21.06.2013 16:21:05
VBASE012.VDF   : 7.11.85.223     2048 Bytes  21.06.2013 16:21:05
VBASE013.VDF   : 7.11.85.224     2048 Bytes  21.06.2013 16:21:05
VBASE014.VDF   : 7.11.86.93    870400 Bytes  24.06.2013 16:57:28
VBASE015.VDF   : 7.11.86.94      2048 Bytes  24.06.2013 16:57:28
VBASE016.VDF   : 7.11.86.95      2048 Bytes  24.06.2013 16:57:29
VBASE017.VDF   : 7.11.86.96      2048 Bytes  24.06.2013 16:57:29
VBASE018.VDF   : 7.11.86.97      2048 Bytes  24.06.2013 16:57:29
VBASE019.VDF   : 7.11.86.98      2048 Bytes  24.06.2013 16:57:29
VBASE020.VDF   : 7.11.86.99      2048 Bytes  24.06.2013 16:57:29
VBASE021.VDF   : 7.11.86.100     2048 Bytes  24.06.2013 16:57:29
VBASE022.VDF   : 7.11.86.101     2048 Bytes  24.06.2013 16:57:29
VBASE023.VDF   : 7.11.86.102     2048 Bytes  24.06.2013 16:57:29
VBASE024.VDF   : 7.11.86.103     2048 Bytes  24.06.2013 16:57:29
VBASE025.VDF   : 7.11.86.104     2048 Bytes  24.06.2013 16:57:29
VBASE026.VDF   : 7.11.86.105     2048 Bytes  24.06.2013 16:57:29
VBASE027.VDF   : 7.11.86.106     2048 Bytes  24.06.2013 16:57:29
VBASE028.VDF   : 7.11.86.107     2048 Bytes  24.06.2013 16:57:29
VBASE029.VDF   : 7.11.86.108     2048 Bytes  24.06.2013 16:57:29
VBASE030.VDF   : 7.11.86.109     2048 Bytes  24.06.2013 16:57:29
VBASE031.VDF   : 7.11.86.182    90112 Bytes  24.06.2013 16:57:29
Engineversion  : 8.2.12.66 
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 16:20:46
AESCRIPT.DLL   : 8.1.4.124     487806 Bytes  20.06.2013 16:21:07
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 13:31:09
AESBX.DLL      : 8.2.5.12      606578 Bytes  10.09.2012 09:01:17
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 16:20:45
AEPACK.DLL     : 8.3.2.24      749945 Bytes  20.06.2013 16:21:07
AEOFFICE.DLL   : 8.1.2.60      205181 Bytes  18.06.2013 16:21:04
AEHEUR.DLL     : 8.1.4.426    5951866 Bytes  20.06.2013 16:21:07
AEHELP.DLL     : 8.1.27.2      266617 Bytes  04.06.2013 14:36:37
AEGEN.DLL      : 8.1.7.4       442741 Bytes  08.05.2013 20:27:05
AEEXP.DLL      : 8.4.0.34      201079 Bytes  04.06.2013 14:36:40
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.09.2012 09:01:12
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 19:07:55
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 20:32:44
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 20:32:50
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 20:32:49
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  10.09.2012 09:01:20
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  10.09.2012 09:00:51
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 20:32:48

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51c97d41\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Auszulassende Dateien.................: R:\Prog & tools\Tools Treiber\Nützliches\Windows 7 Start Orb Changer

Beginn des Suchlaufs: Tuesday, June 25, 2013  14:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tdefender.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'Q:\Temp\1101.tmp'
Q:\Temp\1101.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen6
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '541b2a91.qua' verschoben!


Ende des Suchlaufs: Tuesday, June 25, 2013  14:00
Benötigte Zeit: 00:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
      7 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      6 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
__________________
Geändert von nulle (01.07.2013 um 13:22 Uhr)

Alt 01.07.2013, 15:03   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Standard

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.07.2013, 15:36   #5
nulle
 
Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Standard

Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


So hier die logs


Gmer:

Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-07-01 16:25:42
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-2 Intel___ rev.1.0. 931,52GB
Running: gmer_2.1.19163.exe; Driver: Q:\Temp\fxldqpow.sys


---- User code sections - GMER 2.1 ----

.text   C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe[2012] C:\Windows\syswow64\psapi.dll!

GetModuleInformation + 69   0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe[2012] C:\Windows\syswow64\psapi.dll!

GetModuleInformation + 155  0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   E:\Programme\RocketDock\RocketDock.exe[2772] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                       

                        0000000074d11465 2 bytes [D1, 74]
.text   E:\Programme\RocketDock\RocketDock.exe[2772] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                      

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322                                    

                        000000006b8d1a22 2 bytes [8D, 6B]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496                                    

                        000000006b8d1ad0 2 bytes [8D, 6B]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552                                    

                        000000006b8d1b08 2 bytes [8D, 6B]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730                                    

                        000000006b8d1bba 2 bytes [8D, 6B]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762                                    

                        000000006b8d1bda 2 bytes [8D, 6B]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                             

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Windows\SysWOW64\PnkBstrA.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                            

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\SysWOW64\ntdll.dll!NtQueryInformationProcess  

                        000000007740fab8 5 bytes JMP 0000000107a64696
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!ExtTextOutW                

                        0000000076798b7a 5 bytes JMP 0000000107a69c72
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!GetGlyphIndicesW           

                        0000000076799963 5 bytes JMP 0000000107a6a0ff
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!TextOutW                   

                        000000007679d41c 5 bytes JMP 0000000107a6973e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!ExtTextOutA                

                        000000007679dce4 5 bytes JMP 0000000107a69b8e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!TextOutA                   

                        000000007679eda3 5 bytes JMP 0000000107a69672
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\GDI32.dll!GetGlyphIndicesA           

                        00000000767b8dbd 5 bytes JMP 0000000107a6a032
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!DrawTextExW               

                        00000000768e149e 5 bytes JMP 0000000107a69aa7
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!DrawTextW                 

                        00000000768e25cf 5 bytes JMP 0000000107a698e5
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!DrawTextA                 

                        00000000768eaea1 5 bytes JMP 0000000107a6980a
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!DrawTextExA               

                        00000000768eaed8 5 bytes JMP 0000000107a699c0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!DialogBoxParamW           

                        00000000768fcfca 5 bytes JMP 0000000107a684fb
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!SetClipboardData          

                        0000000076918e57 1 byte JMP 0000000107a6955b
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\USER32.dll!SetClipboardData + 2      

                        0000000076918e59 3 bytes {JMP 0xffffffff91150704}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!closesocket               

                        0000000074d83918 5 bytes JMP 0000000107a694a1
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!getaddrinfo               

                        0000000074d84296 5 bytes JMP 0000000107a68039
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!WSASend                   

                        0000000074d84406 5 bytes JMP 0000000107a69150
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!GetAddrInfoW              

                        0000000074d84889 5 bytes JMP 0000000107a68119
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!recv                      

                        0000000074d86b0e 5 bytes JMP 0000000107a6908e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!send                      

                        0000000074d86f01 5 bytes JMP 0000000107a68fd5
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!WSARecv                   

                        0000000074d87089 5 bytes JMP 0000000107a69224
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!WSAGetOverlappedResult    

                        0000000074d87489 5 bytes JMP 0000000107a6936b
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!WSAAsyncGetHostByName     

                        0000000074d9726a 5 bytes JMP 0000000107a6841c
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WS2_32.dll!gethostbyname             

                        0000000074d97673 5 bytes JMP 0000000107a67f78
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3920] C:\Windows\syswow64\WININET.dll!InternetCrackUrlW        

                        0000000074c03059 5 bytes JMP 0000000107a6a3c5
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 

                        000000007740f991 7 bytes {MOV EDX, 0xcf8228; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5      

                        000000007740fbd5 7 bytes {MOV EDX, 0xcf8268; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5          

                        000000007740fc05 7 bytes {MOV EDX, 0xcf81a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5   

                        000000007740fc1d 7 bytes {MOV EDX, 0xcf8128; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5     

                        000000007740fc35 7 bytes {MOV EDX, 0xcf8328; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5   

                        000000007740fc65 7 bytes {MOV EDX, 0xcf8368; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5    

                        000000007740fce5 7 bytes {MOV EDX, 0xcf82e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5   

                        000000007740fcfd 7 bytes {MOV EDX, 0xcf82a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5             

                        000000007740fd49 7 bytes {MOV EDX, 0xcf8068; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5  

                        000000007740fe41 7 bytes {MOV EDX, 0xcf80a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5           

                        0000000077410099 7 bytes {MOV EDX, 0xcf8028; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5     

                        00000000774110a5 7 bytes {MOV EDX, 0xcf81e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5           

                        000000007741111d 7 bytes {MOV EDX, 0xcf8168; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile 

+ 5                      0000000077411321 7 bytes {MOV EDX, 0xcf80e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3796] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 

                        000000007740f991 7 bytes {MOV EDX, 0x6a9228; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5      

                        000000007740fbd5 7 bytes {MOV EDX, 0x6a9268; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5          

                        000000007740fc05 7 bytes {MOV EDX, 0x6a91a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5   

                        000000007740fc1d 7 bytes {MOV EDX, 0x6a9128; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5     

                        000000007740fc35 7 bytes {MOV EDX, 0x6a9328; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5   

                        000000007740fc65 7 bytes {MOV EDX, 0x6a9368; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5    

                        000000007740fce5 7 bytes {MOV EDX, 0x6a92e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5   

                        000000007740fcfd 7 bytes {MOV EDX, 0x6a92a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5             

                        000000007740fd49 7 bytes {MOV EDX, 0x6a9068; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5  

                        000000007740fe41 7 bytes {MOV EDX, 0x6a90a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5           

                        0000000077410099 7 bytes {MOV EDX, 0x6a9028; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5     

                        00000000774110a5 7 bytes {MOV EDX, 0x6a91e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5           

                        000000007741111d 7 bytes {MOV EDX, 0x6a9168; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile 

+ 5                      0000000077411321 7 bytes {MOV EDX, 0x6a90e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4204] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 

                        000000007740f991 7 bytes {MOV EDX, 0xa21a28; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5      

                        000000007740fbd5 7 bytes {MOV EDX, 0xa21a68; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5          

                        000000007740fc05 7 bytes {MOV EDX, 0xa219a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5   

                        000000007740fc1d 7 bytes {MOV EDX, 0xa21928; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5     

                        000000007740fc35 7 bytes {MOV EDX, 0xa21b28; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5   

                        000000007740fc65 7 bytes {MOV EDX, 0xa21b68; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5    

                        000000007740fce5 7 bytes {MOV EDX, 0xa21ae8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5   

                        000000007740fcfd 7 bytes {MOV EDX, 0xa21aa8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5             

                        000000007740fd49 7 bytes {MOV EDX, 0xa21868; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5  

                        000000007740fe41 7 bytes {MOV EDX, 0xa218a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5           

                        0000000077410099 7 bytes {MOV EDX, 0xa21828; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5     

                        00000000774110a5 7 bytes {MOV EDX, 0xa219e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5           

                        000000007741111d 7 bytes {MOV EDX, 0xa21968; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile 

+ 5                      0000000077411321 7 bytes {MOV EDX, 0xa218e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4672] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 

                        000000007740f991 7 bytes {MOV EDX, 0x405628; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5      

                        000000007740fbd5 7 bytes {MOV EDX, 0x405668; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5          

                        000000007740fc05 7 bytes {MOV EDX, 0x4055a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5   

                        000000007740fc1d 7 bytes {MOV EDX, 0x405528; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5     

                        000000007740fc35 7 bytes {MOV EDX, 0x405728; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5   

                        000000007740fc65 7 bytes {MOV EDX, 0x405768; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5    

                        000000007740fce5 7 bytes {MOV EDX, 0x4056e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5   

                        000000007740fcfd 7 bytes {MOV EDX, 0x4056a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5             

                        000000007740fd49 7 bytes {MOV EDX, 0x405468; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5  

                        000000007740fe41 7 bytes {MOV EDX, 0x4054a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5           

                        0000000077410099 7 bytes {MOV EDX, 0x405428; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5     

                        00000000774110a5 7 bytes {MOV EDX, 0x4055e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5           

                        000000007741111d 7 bytes {MOV EDX, 0x405568; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile 

+ 5                      0000000077411321 7 bytes {MOV EDX, 0x4054e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4688] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4560] C:\Windows\syswow64\PSAPI.DLL!

GetModuleInformation + 69             0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[4560] C:\Windows\syswow64\PSAPI.DLL!

GetModuleInformation + 155            0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 

                        000000007740f991 7 bytes {MOV EDX, 0xddb228; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5      

                        000000007740fbd5 7 bytes {MOV EDX, 0xddb268; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5          

                        000000007740fc05 7 bytes {MOV EDX, 0xddb1a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5   

                        000000007740fc1d 7 bytes {MOV EDX, 0xddb128; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5     

                        000000007740fc35 7 bytes {MOV EDX, 0xddb328; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5   

                        000000007740fc65 7 bytes {MOV EDX, 0xddb368; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5    

                        000000007740fce5 7 bytes {MOV EDX, 0xddb2e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5   

                        000000007740fcfd 7 bytes {MOV EDX, 0xddb2a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5             

                        000000007740fd49 7 bytes {MOV EDX, 0xddb068; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5  

                        000000007740fe41 7 bytes {MOV EDX, 0xddb0a8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5           

                        0000000077410099 7 bytes {MOV EDX, 0xddb028; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5     

                        00000000774110a5 7 bytes {MOV EDX, 0xddb1e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5           

                        000000007741111d 7 bytes {MOV EDX, 0xddb168; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile 

+ 5                      0000000077411321 7 bytes {MOV EDX, 0xddb0e8; JMP RDX}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5884] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\SysWOW64\ntdll.dll!NtQueryInformationProcess  

                        000000007740fab8 5 bytes JMP 0000000102c84696
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!ExtTextOutW                

                        0000000076798b7a 5 bytes JMP 0000000102c89c72
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!GetGlyphIndicesW           

                        0000000076799963 5 bytes JMP 0000000102c8a0ff
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!TextOutW                   

                        000000007679d41c 5 bytes JMP 0000000102c8973e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!ExtTextOutA                

                        000000007679dce4 5 bytes JMP 0000000102c89b8e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!TextOutA                   

                        000000007679eda3 5 bytes JMP 0000000102c89672
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\GDI32.dll!GetGlyphIndicesA           

                        00000000767b8dbd 5 bytes JMP 0000000102c8a032
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!DrawTextExW               

                        00000000768e149e 5 bytes JMP 0000000102c89aa7
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!DrawTextW                 

                        00000000768e25cf 5 bytes JMP 0000000102c898e5
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!DrawTextA                 

                        00000000768eaea1 5 bytes JMP 0000000102c8980a
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!DrawTextExA               

                        00000000768eaed8 5 bytes JMP 0000000102c899c0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!DialogBoxParamW           

                        00000000768fcfca 5 bytes JMP 0000000102c884fb
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!SetClipboardData          

                        0000000076918e57 1 byte JMP 0000000102c8955b
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\USER32.dll!SetClipboardData + 2      

                        0000000076918e59 3 bytes {JMP 0xffffffff8c370704}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!closesocket               

                        0000000074d83918 5 bytes JMP 0000000102c894a1
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!getaddrinfo               

                        0000000074d84296 5 bytes JMP 0000000102c88039
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!WSASend                   

                        0000000074d84406 5 bytes JMP 0000000102c89150
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!GetAddrInfoW              

                        0000000074d84889 5 bytes JMP 0000000102c88119
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!recv                      

                        0000000074d86b0e 5 bytes JMP 0000000102c8908e
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!send                      

                        0000000074d86f01 5 bytes JMP 0000000102c88fd5
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!WSARecv                   

                        0000000074d87089 5 bytes JMP 0000000102c89224
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!WSAGetOverlappedResult    

                        0000000074d87489 5 bytes JMP 0000000102c8936b
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!WSAAsyncGetHostByName     

                        0000000074d9726a 5 bytes JMP 0000000102c8841c
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WS2_32.dll!gethostbyname             

                        0000000074d97673 5 bytes JMP 0000000102c87f78
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5212] C:\Windows\syswow64\WININET.dll!InternetCrackUrlW        

                        0000000074c03059 5 bytes JMP 0000000102c8a3c5
.text   E:\Programme\DAEMON Tools Pro\DTShellHlp.exe[1880] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                 

                        0000000074d11465 2 bytes [D1, 74]
.text   E:\Programme\DAEMON Tools Pro\DTShellHlp.exe[1880] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2
.text   C:\Users\Nullinger\Downloads\gmer_2.1.19163.exe[5916] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69              

                        0000000074d11465 2 bytes [D1, 74]
.text   C:\Users\Nullinger\Downloads\gmer_2.1.19163.exe[5916] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155             

                        0000000074d114bb 2 bytes [D1, 74]
.text   ...                                                                                                                        

                        * 2

---- Threads - GMER 2.1 ----

Thread  C:\Windows\SysWOW64\rundll32.exe [1760:1924]                                                                               

                        0000000000300500
Thread  C:\Windows\SysWOW64\rundll32.exe [1760:1928]                                                                               

                        0000000000193a80
Thread  C:\Windows\SysWOW64\rundll32.exe [1760:2040]                                                                               

                        0000000000193a10
Thread  C:\Windows\SysWOW64\rundll32.exe [1760:5392]                                                                               

                        0000000000a196b7
Thread  C:\Windows\SysWOW64\rundll32.exe [1760:5388]                                                                               

                        0000000000a16874
Thread  C:\Windows\SysWOW64\rundll32.exe [1760:5384]                                                                               

                        0000000000a16dbc

---- EOF - GMER 2.1 ----

MBR:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.06.0.1004
www.malwarebytes.org

Database version: v2013.07.01.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nullinger :: GROTTE [administrator]

01.07.2013 16:28:55
mbar-log-2013-07-01 (16-28-55).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 268235
Time elapsed: 5 minute(s), 58 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)


Antwort

Themen zu Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.
.dll, antivir, avg, bho, black, explorer, firefox, google, langsam, launch, mozilla, nodrives, nvidia, plug-in, problem, programme, realtek, registry, scan, software, super, temp, tr/crypt.zpack.gen6, tr/fakeav.82365488, usb, windows


« Weißer Bildschirm und Aufforderung zur Kameraaktivierung | Weißer Bildschirm - Trojaner - Windows Vista 32 bit »


Ähnliche Themen: Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche.


  1. Umleitung nach Klick auf Link in Google Suche
    Log-Analyse und Auswertung - 29.01.2015 (28)
  2. Trojaner - Umleitung bei Google-Suche (ihavenet)
    Log-Analyse und Auswertung - 30.09.2013 (30)
  3. Firefox Google Newsbuster/Ihavenet Umleitung
    Log-Analyse und Auswertung - 29.07.2013 (13)
  4. Newsbuster- ihavenet-Umleitung
    Log-Analyse und Auswertung - 25.07.2013 (15)
  5. Firefox: Bei Anklicken von Links nach Google-Suche erfolgt Umleitung auf Werbeseiten
    Log-Analyse und Auswertung - 12.07.2013 (13)
  6. Ihavenet.com und Sureonlinefind weiterleitung bei Mozilla Firefox und Google
    Log-Analyse und Auswertung - 02.07.2013 (19)
  7. Werbetrojaner (?) bei der Google Suche über Firefox
    Log-Analyse und Auswertung - 13.05.2013 (16)
  8. Umleitung auf andere Websites bei Google suche mit IExplorer
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (29)
  9. Google Suche Umleitung
    Log-Analyse und Auswertung - 17.02.2013 (1)
  10. Nach Google Suche umleitung über Rocketnews zu safeseeking.com
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (16)
  11. Umleitung auf fremde URLs bei Google-Suche
    Log-Analyse und Auswertung - 26.01.2012 (1)
  12. Google-Umleitung und eingeschränkte Google-Suche
    Plagegeister aller Art und deren Bekämpfung - 14.06.2011 (7)
  13. Firefox öffnet falsche Seiten über die Google suche
    Log-Analyse und Auswertung - 17.05.2011 (1)
  14. Google Redirect / Umleitung bei jeder Suche - Rootkit?
    Log-Analyse und Auswertung - 18.01.2010 (4)
  15. pc friert ein und umleitung bei google suche
    Log-Analyse und Auswertung - 22.12.2009 (3)
  16. Google Suche Umleitung ebay
    Log-Analyse und Auswertung - 04.06.2009 (5)
  17. resycle, Trojan32, Google Suche Umleitung
    Log-Analyse und Auswertung - 07.11.2008 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. - Hallo, wie der titel schon sagt habe ich seit einigen Tagen das problem das ich bei Google suchergebnissen, besonders bei Amazon, Ebay und Co. links umgeleitet werde über newsbuster zu - Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche....
Archiv
Du betrachtest: Umleitung über newsbuster.org und sureonlinefind bei Firefox/google suche. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19