| |
| |||||||
Log-Analyse und Auswertung: Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FFWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.03.2015, 22:27
| #1 |
| |  Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Hallo, nachdem ich einige Beiträge hier im Forum gelesen habe, denke ich das ich genau richtig bin. Es ist für mich schon beeindruckend das die " Mitarbeiter" dieses Forums ehrenamtlich soviel Zeit investieren um anderen zu helfen. Nun würde ich das auch gerne in Anspruch nehmen. Wie der Titel schon sagt taucht mein Problem nur in FF auf! Mein System: Thinkpad T-60p; Windows 7 - 32bit; zeitweise habe ich noch 2 USB HDD´s und eine feste HDD an einem Mediaplayer im TV Schrank per W-Lan mit im Netzwerk. Weiter unten habe ich alles gepostet was in der Anleitung zur Vorbereitung hier im Forum steht. Aber vielleicht ist es gut einmal kurz den Werdegang des Problems zu schildern : - Das ganze begann am 27 Februar, Freitag. Ich wollte mein alten PDA zum Navi machen und habe mir zuerst ein wenig Kartenmaterial von www.openmtbmap.org/de/ runtergeladen. Dann noch "Garmin Basecamp" direkt von der Garmin Website. Es ist Freeware und dienst als Kartenviewer und man kann damit Karten im Garminformat auf sein GPS oder eben eine SD Karte spielen. Gemacht, getan und ging ohne Probleme. Dann brauchte ich allerdings noch einen Viewer der auf Windows Mobile 5.0 läuft. So laß ich das "Garmin Mobile XT" das beste dafür ist. Leider ist es schwierig einen sauberen Download zu finden, da die Software mittlerweile recht alt ist. Nun hab ich offensichtlich den Fehler gemacht und nach 20 min sucherei erstmal einen Download gestartet der mir auch ungefähr 8 weitere Programme / Malware installieren wollte. Das habe ich allerdings nur gemerkt weil ich "Expert Install" gewählt habe. Da kam dann die Liste aller Zusatzsoftware mit Haken im Kästchen. Hab alle abgewählt und auf Weiter geklickt. Nun wollte sich Opera installieren. Konnte man auch nicht abwählen. Auch nicht Abbrechen sondern nur auf weiter. Hab dann den PC ausgeschaltet und doch noch mal weitergesucht aber nix gefunden. Dann hab ich Opera einfach akzeptiert. Hat sich auch Installiert und blöderweise kam danach nix mehr von Garmin Mobile XT. Hab nur gemerkt das ab und zu die Eieruhr aufblinkte und hab den PC erst mal wieder runtergefahren. Dann Opera deinstalliert und noch 2 andere Programme die offensichtlich daher kommen, dann diesen dubiosen Installer gelöscht. Ab da veränderte sich einiges. - Zunächst erscheinten unten in der Taskleiste 2 rot hinterlegte Meldungen mit " X " das der Pfad zu irgeneiner Datei "......./ AppsData/....../Local" nicht nutzbar ist. Habe dann in C/User/****/AppsData/Local so einiges rausgelöscht was dort nicht hingehört, auch den Inhalt von Temp. Danach waren diese Meldungen erst mal weg - Dann, immer wenn ich FF genutzt habe, bimmelte der Kaspersky wie verrückt. Immer in so 3er Salven in gewissen Intervallen, ohne Ende. Es kam die Meldung : Schädlicher Link geblockt ".....htmlverifier.com...." Irgendwann hat das allerdings aufgehört. Und dann kamen plötzlich diese Werbebanner. 3 stück!!. Habe mich gefragt warum der Kaspersky nicht weitergebimmelt hat....keine Ahnung. Habe dann in Einstellungen>Addons>Erweitrungen gesehen das eine Kaspersky Erweiterungen, nämlich" Modul zur Linkuntersuchung 4.0.10.15" den Vermerk trägt " nicht kompatibel mit FF 36.0". - Die Werbebanner tragen den Vermerk " by similar products" in einer Ecke. - In meine E-mails sind jetzt diverse Wörter in blauer Schrift und unterstrichen. Z.B. das Wort " Natürlich" oder " Gesendet" u.s.w. Scheinbar willkürlich und ohne Bedeutung. Wenn ich mit dem Cursor draufgehe öffnet sich ein Fenster mit dem Titel:" Mobile: Natürlich - Click here for Natürlich and win Free Prizes". In einer Ecke unten steht " cpop.tlbsearch.com ". Auch auf Eurer Website, in der Anleitung zur Vorbereitung auf die Anmeldung, lauter Begriffe blau als Link zu dem sich immer dieses Fenster öffnet. - Es öffnet sich auch ab und zu ein neuer Reiter von selbst von " PC Speed Maximiser" und von " reimageplus.ocm". - Habe bereits AdwCleaner laufen lassen, bevor ich das Trojanerboard gefunden habe und auchTFC. Gestern einen kompletten Scan mit dem Kaspersky. Aber der hat keine Bedrohungen gefunden. Allerdings gemeldet das er 13 Objekte bearbeitet und gelöscht hat. Das waren wieder diese " htmlverifier.com" Dinger. Die kamen gestern auch mal wieder. Allerdings legt Kaspersky offensichtlich keine Logfiles an, das wird alles immer gleich gelöscht..... So, das wars bisher. Und wenn ich IE benütze tritt nichts von all dem auf. Anbei jetzt noch die Log files der verschiedenen Prüfdurchläufe: AdwCleaner: Code:
ATTFilter # AdwCleaner v4.108 - Bericht erstellt am 27/02/2015 um 18:35:39
# Aktualisiert 17/01/2015 von Xplode
# Database : 2015-01-13.2 [Local]
# Betriebssystem : Windows 7 Professional (32 bits)
# Benutzername : Timo - T-60P
# Gestartet von : C:\Down\Downloads\adwcleaner_4.108.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\ProgramData\80e714adaf3f4fa1a656d59bc0ba247b
Ordner Gelöscht : C:\ProgramData\d409f1f712484f629810e00e915e2711
***** [ Tasks ] *****
Task Gelöscht : Installer_ytd
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{533403E2-6E21-4615-9E28-43F4E97E977B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0FCE4F01-64EC-42F1-83E1-1E08D38605D2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1A2A195A-A0F9-4006-AF02-3F05EEFDE792}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4C0A69B0-CE97-42B7-86FC-08280C99C74D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C1F5E799-B218-4C32-B189-3C389BA140BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F60C9408-3110-4C98-A139-ABE1EE1111DD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
***** [ Browser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v35.0.1 (x86 de)
-\\ Opera v0.0.0.0
*************************
AdwCleaner[R0].txt - [9526 octets] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 octets] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 octets] - [27/02/2015 18:33:20]
AdwCleaner[S0].txt - [9115 octets] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 octets] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2030 octets] - [27/02/2015 18:35:39]
########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [2090 octets] ##########
Code:
ATTFilter # AdwCleaner v4.111 - Bericht erstellt 02/03/2015 um 22:00:58
# Aktualisiert 18/02/2015 von Xplode
# Datenbank : 2015-03-02.1 [Server]
# Betriebssystem : Windows 7 Professional (x86)
# Benutzername : Timo - T-60P
# Gestarted von : C:\Down\Downloads\AdwCleaner_4.111.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\Program Files\download Manager
***** [ Geplante Tasks ] *****
Task Gelöscht : Inst_Rep
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
***** [ Internetbrowser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v35.0.1 (x86 de)
*************************
AdwCleaner[R0].txt - [9526 Bytes] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 Bytes] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 Bytes] - [27/02/2015 18:33:20]
AdwCleaner[R3].txt - [1200 Bytes] - [02/03/2015 21:56:21]
AdwCleaner[S0].txt - [9115 Bytes] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 Bytes] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2170 Bytes] - [27/02/2015 18:35:39]
AdwCleaner[S3].txt - [1123 Bytes] - [02/03/2015 22:00:58]
########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1182 Bytes] ##########
Code:
ATTFilter # AdwCleaner v4.111 - Bericht erstellt 02/03/2015 um 23:56:07
# Aktualisiert 18/02/2015 von Xplode
# Datenbank : 2015-03-02.1 [Server]
# Betriebssystem : Windows 7 Professional (x86)
# Benutzername : Timo - T-60P
# Gestarted von : C:\Users\Timo\Desktop\Anwendungen\Aufräumen\AdwCleaner_4.111.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
***** [ Internetbrowser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v36.0 (x86 de)
*************************
AdwCleaner[R0].txt - [9526 Bytes] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 Bytes] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 Bytes] - [27/02/2015 18:33:20]
AdwCleaner[R3].txt - [1200 Bytes] - [02/03/2015 21:56:21]
AdwCleaner[R4].txt - [1263 Bytes] - [02/03/2015 23:54:02]
AdwCleaner[S0].txt - [9115 Bytes] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 Bytes] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2170 Bytes] - [27/02/2015 18:35:39]
AdwCleaner[S3].txt - [1262 Bytes] - [02/03/2015 22:00:58]
AdwCleaner[S4].txt - [1186 Bytes] - [02/03/2015 23:56:07]
########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [1245 Bytes] ##########
Von Defogger: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:41 on 03/03/2015 (Timo)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-03-2015
Ran by Timo (administrator) on T-60P on 03-03-2015 21:45:33
Running from C:\Down\Downloads
Loaded Profiles: Timo (Available profiles: Timo)
Platform: Microsoft Windows 7 Professional (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 9 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Processes (Whitelisted) =================
(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)
(Lenovo.) C:\Windows\System32\ibmpmsvc.exe
(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
(Authentec Inc.) C:\Program Files\ThinkVantage Fingerprint Software\upeksvr.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\AcPrfMgrSvc.exe
(Andrea Electronics Corporation) C:\Windows\System32\AEADISRV.EXE
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avp.exe
(Broadcom Corporation.) C:\Program Files\ThinkPad\Bluetooth Software\btwdins.exe
(Intel(R) Corporation) C:\Program Files\Intel\WiFi\bin\EvtEng.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
(pdfforge GmbH) C:\Program Files\PDF Architect 2\creator-ws.exe
(Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe
(Conexant Systems, Inc.) C:\Windows\System32\drivers\XAudio.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\AcSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
(Microsoft Corporation) C:\Windows\System32\wbem\unsecapp.exe
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avpui.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Lenovo.) C:\Windows\System32\TpShocks.exe
() C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Analog Devices, Inc.) C:\Program Files\Analog Devices\Core\smax4pnp.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\SvcGuiHlpr.exe
(Nokia) C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
(Broadcom Corporation.) C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
() C:\Program Files\Microsoft Office\Office\OSA.EXE
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Nokia) C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
(Lenovo Group Limited) C:\Program Files\ThinkPad\Utilities\SCHTASK.EXE
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\klwtblfs.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
(Adobe Systems, Inc.) C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
==================== Registry (Whitelisted) ==================
(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)
HKLM\...\Run: [PSQLLauncher] => C:\Program Files\ThinkVantage Fingerprint Software\launcher.exe [56104 2013-03-05] (Authentec Inc.)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2379504 2013-05-29] (Synaptics Incorporated)
HKLM\...\Run: [IAAnotif] => C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-08-07] (Intel Corporation)
HKLM\...\Run: [AcWin7Hlpr] => C:\Program Files\Lenovo\Access Connections\AcTBenabler.exe [63784 2013-03-18] (Lenovo)
HKLM\...\Run: [ATICustomerCare] => "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
HKLM\...\Run: [] => [X]
HKLM\...\Run: [TpShocks] => C:\Windows\system32\TpShocks.exe [338216 2013-06-20] (Lenovo.)
HKLM\...\Run: [CDAServer] => C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe [344064 2012-02-20] ()
HKLM\...\Run: [PWMTRV] => rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor
HKLM\...\Run: [SoundMAXPnP] => C:\Program Files\Analog Devices\Core\smax4pnp.exe [1314816 2009-05-18] (Analog Devices, Inc.)
HKLM\...\Run: [SDTray] => C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
Winlogon\Notify\psfus: C:\Program Files\ThinkVantage Fingerprint Software\psqlpwd.dll (Authentec Inc.)
Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Run: [PC Suite Tray] => C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe [1479680 2010-05-14] (Nokia)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Run: [Spybot-S&D Cleaning] => C:\Program Files\Spybot - Search & Destroy 2\SDCleaner.exe [4566952 2014-06-24] (Safer-Networking Ltd.)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Ribbons.scr [220672 2009-07-14] (Microsoft Corporation)
Lsa: [Notification Packages] scecli C:\Program Files\ThinkVantage Fingerprint Software\psqlpwd.dll ACGina
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.exe.lnk
ShortcutTarget: Adobe Gamma Loader.exe.lnk -> C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
ShortcutTarget: Bluetooth.lnk -> C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft-Indexerstellung.lnk
ShortcutTarget: Microsoft-Indexerstellung.lnk -> C:\Program Files\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Office-Start.lnk
ShortcutTarget: Office-Start.lnk -> C:\Program Files\Microsoft Office\Office\OSA.EXE ()
BootExecute: autocheck autochk * sdnclean.exe
==================== Internet (Whitelisted) ====================
(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Content Blocker Plugin -> {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\ContentBlocker\ie_content_blocker_plugin.dll (Kaspersky Lab ZAO)
BHO: PDF Architect Helper -> {691B33B0-B86E-47F3-81C7-56E4FE3B929C} -> C:\Program Files\PDF Architect 2\creator-ie-helper.dll (pdfforge GmbH)
BHO: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll (Kaspersky Lab ZAO)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_31\bin\ssv.dll (Oracle Corporation)
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\OnlineBanking\online_banking_bho.dll (Kaspersky Lab ZAO)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_31\bin\jp2ssv.dll (Oracle Corporation)
BHO: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\UrlAdvisor\klwtbbho.dll (Kaspersky Lab ZAO)
Toolbar: HKLM - PDF Architect Toolbar - {DEEB13D7-CEA9-45FB-B77C-E039BEC85221} - C:\Program Files\PDF Architect 2\creator-ie-plugin.dll (pdfforge GmbH)
DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} hxxp://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1378996663396
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
FireFox:
========
FF ProfilePath: C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371
FF Homepage: hxxp://ghislainjm.com/
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_16_0_0_305.dll ()
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files\Java\jre1.8.0_31\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @kaspersky.com/content_blocker -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com ()
FF Plugin: @kaspersky.com/online_banking -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com ()
FF Plugin: @kaspersky.com/virtual_keyboard -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com ()
FF Plugin: @videolan.org/vlc,version=2.0.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Extension: Zoom It - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371\Extensions\{3323b12d-dd39-d9e9-f79f-9152e2715cb5} [2015-02-28]
FF Extension: Zoom It - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371\Extensions\{49b597e2-3334-f370-d076-ccfccb0f6bd6} [2015-03-03]
FF HKLM\...\Firefox\Extensions: [content_blocker@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com
FF Extension: Ngăn chặn trang web nguy hiểm - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [virtual_keyboard@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com
FF Extension: Bàn phím ảo - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\url_advisor@kaspersky.com
FF Extension: Công cụ kiểm tra liên kết của Kaspersky - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\url_advisor@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [anti_banner@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\anti_banner@kaspersky.com
FF Extension: Chặn quảng cáo - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\anti_banner@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [online_banking@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com
FF Extension: An toàn giao dịch tài chính - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension
FF Extension: PDF Architect 2 Creator - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension [2015-01-11]
FF HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Firefox\Extensions: [cliqz@cliqz.com] - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\hzi9xzhi.default\extensions\cliqz@cliqz.com
Chrome:
=======
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
========================== Services (Whitelisted) =================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
R2 AcPrfMgrSvc; C:\Program Files\Lenovo\Access Connections\AcPrfMgrSvc.exe [133416 2013-03-18] (Lenovo)
R2 AcSvc; C:\Program Files\Lenovo\Access Connections\AcSvc.exe [272680 2013-03-18] (Lenovo)
R2 AVP15.0.0; C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avp.exe [233552 2014-04-20] (Kaspersky Lab ZAO)
S3 IDriverT; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [69632 2005-11-14] (Macrovision Corporation) [File not signed]
S3 PDF Architect 2; C:\Program Files\PDF Architect 2\ws.exe [1771560 2014-10-10] (pdfforge GmbH)
R2 PDF Architect 2 Creator; C:\Program Files\PDF Architect 2\creator-ws.exe [738856 2014-10-10] (pdfforge GmbH)
S3 pdfforge CrashHandler; C:\Program Files\PDF Architect 2\crash-handler-ws.exe [861736 2014-10-10] (pdfforge GmbH)
S3 PwmEWSvc; C:\Program Files\ThinkPad\Utilities\PWMEWSVC.EXE [244800 2012-02-28] (Lenovo Group Limited)
R2 SDScannerService; C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
R3 ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [615936 2010-06-14] (Nokia) [File not signed]
S3 SUService; C:\Program Files\Lenovo\System Update\SUService.exe [49648 2015-01-15] ()
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2009-07-14] (Microsoft Corporation)
S2 dihitily; C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B\nsaCFF5.tmpfs [X]
==================== Drivers (Whitelisted) ====================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
R0 kl1; C:\Windows\System32\DRIVERS\kl1.sys [135264 2014-02-20] (Kaspersky Lab ZAO)
R3 klflt; C:\Windows\System32\DRIVERS\klflt.sys [112136 2014-10-09] (Kaspersky Lab ZAO)
R1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [34400 2014-04-10] (Kaspersky Lab ZAO)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [644808 2014-10-09] (Kaspersky Lab ZAO)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [25696 2014-02-25] (Kaspersky Lab ZAO)
R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [24672 2014-03-28] (Kaspersky Lab ZAO)
R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [25696 2013-08-08] (Kaspersky Lab ZAO)
R1 klpd; C:\Windows\System32\DRIVERS\klpd.sys [14432 2013-04-12] (Kaspersky Lab ZAO)
R1 kltdi; C:\Windows\System32\DRIVERS\kltdi.sys [45024 2014-03-25] (Kaspersky Lab ZAO)
R1 kneps; C:\Windows\System32\DRIVERS\kneps.sys [145888 2014-03-26] (Kaspersky Lab ZAO)
S3 MSIRCOMM; C:\Windows\System32\DRIVERS\MSIRCOMM.sys [24064 2009-07-14] (Microsoft Corporation)
R2 smihlp; C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [11976 2011-05-30] (Authentec Inc.)
R2 SSPORT; C:\Windows\system32\Drivers\SSPORT.sys [5120 2008-01-24] (Samsung Electronics) [File not signed]
S3 subvgaproduct; C:\Windows\System32\DRIVERS\subvga.sys [4608 2014-10-07] (Windows (R) Win 7 DDK provider)
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
U5 VWiFiFlt; C:\Windows\System32\Drivers\VWiFiFlt.sys [48128 2009-07-14] (Microsoft Corporation)
==================== NetSvcs (Whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)
==================== One Month Created Files and Folders ========
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-03-03 21:45 - 2015-03-03 21:45 - 00000000 ____D () C:\FRST
2015-03-03 21:41 - 2015-03-03 21:41 - 00000000 _____ () C:\Users\Timo\defogger_reenable
2015-03-03 19:05 - 2015-03-03 19:05 - 00000000 ____D () C:\Windows\system32\appmgmt
2015-03-02 23:15 - 2015-03-03 20:38 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2015-03-02 23:15 - 2015-03-02 23:15 - 00001117 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2015-03-02 21:36 - 2015-03-02 23:47 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-03-02 21:28 - 2015-03-02 21:28 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware
2015-03-02 21:28 - 2015-03-02 21:28 - 00000000 ____D () C:\Program Files\ Malwarebytes Anti-Malware
2015-03-02 21:28 - 2014-11-21 06:14 - 00075480 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-03-02 21:28 - 2014-11-21 06:14 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-03-02 21:28 - 2014-11-21 06:14 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-02-27 18:23 - 2015-03-03 20:40 - 00000000 ____D () C:\Users\Timo\AppData\Local\VirtualStore
2015-02-27 17:55 - 2015-02-27 17:55 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\clean2PC
2015-02-27 10:47 - 2015-02-27 11:00 - 00000000 ____D () C:\Users\Timo\AppData\Local\Garmin
2015-02-27 10:47 - 2015-02-27 10:47 - 00000000 ____D () C:\Users\Timo\AppData\Local\GARMIN_Corp
2015-02-27 10:47 - 2015-02-27 10:47 - 00000000 ____D () C:\ProgramData\Garmin
2015-02-27 10:46 - 2015-02-27 10:46 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Garmin
2015-02-27 10:46 - 2015-02-27 10:46 - 00000000 ____D () C:\Program Files\Garmin
2015-02-27 10:31 - 2015-02-27 11:00 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\Garmin
2015-02-27 10:28 - 2015-02-27 10:30 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Openmtbmap
2015-02-27 10:28 - 2015-02-27 10:28 - 00000000 ____D () C:\Garmin
2015-02-27 09:41 - 2015-02-27 09:41 - 00000000 ____D () C:\Program Files\Common Files\Java
2015-02-26 15:10 - 2015-02-24 17:05 - 00318784 _____ (Gambali OEM Software) C:\Windows\system32\Gambali.dll
2015-02-26 15:08 - 2015-02-26 15:08 - 00000000 ___HD () C:\Users\Timo\AppData\Local\CrashRpt
2015-02-17 19:57 - 2015-03-03 20:38 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2015-02-13 17:53 - 2015-02-13 17:53 - 00000000 ____D () C:\ProgramData\Adobe
==================== One Month Modified Files and Folders =======
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-03-03 21:41 - 2013-07-12 15:56 - 00000000 ___HD () C:\Users\Timo
2015-03-03 21:36 - 2013-09-13 14:10 - 00000000 ____D () C:\Users\Timo\Desktop\Aktuelles Gedöns
2015-03-03 21:17 - 2014-12-11 23:08 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-03-03 20:59 - 2013-09-13 10:46 - 00000000 ____D () C:\ProgramData\Kaspersky Lab
2015-03-03 20:49 - 2013-07-12 15:56 - 01652295 _____ () C:\Windows\WindowsUpdate.log
2015-03-03 20:32 - 2013-07-12 15:57 - 01618320 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-03-03 20:32 - 2009-07-14 05:34 - 00019488 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-03-03 20:32 - 2009-07-14 05:34 - 00019488 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-03-03 20:25 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-03-03 20:25 - 2009-07-14 05:39 - 00145641 _____ () C:\Windows\setupact.log
2015-03-02 23:56 - 2014-10-25 17:06 - 00000000 ____D () C:\AdwCleaner
2015-03-02 23:07 - 2013-08-08 09:44 - 00078272 _____ () C:\Windows\PFRO.log
2015-03-02 21:50 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Resources
2015-03-02 20:22 - 2009-07-14 05:53 - 00032632 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-02-27 18:19 - 2013-07-12 15:57 - 00001409 _____ () C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-02-27 12:49 - 2013-08-08 09:13 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\vlc
2015-02-27 12:12 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2015-02-27 10:46 - 2013-08-07 21:17 - 00000000 ____D () C:\Program Files\DIFX
2015-02-27 10:35 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\de-DE
2015-02-27 09:42 - 2014-10-31 15:03 - 00000000 ____D () C:\ProgramData\Oracle
2015-02-27 09:42 - 2014-10-24 21:51 - 00000000 ____D () C:\Program Files\Java
2015-02-27 09:41 - 2014-10-31 15:00 - 00272296 _____ (Oracle Corporation) C:\Windows\system32\javaws.exe
2015-02-27 09:41 - 2014-10-31 15:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-02-27 09:41 - 2014-10-24 21:51 - 00176552 _____ (Oracle Corporation) C:\Windows\system32\javaw.exe
2015-02-27 09:41 - 2014-10-24 21:51 - 00176552 _____ (Oracle Corporation) C:\Windows\system32\java.exe
2015-02-27 09:41 - 2014-10-24 21:51 - 00096680 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2015-02-26 18:44 - 2014-09-25 16:31 - 00262144 _____ () C:\Windows\system32\config\elam
2015-02-17 07:54 - 2014-07-03 14:25 - 00000000 ____D () C:\Program Files\Adobe
2015-02-16 17:30 - 2013-08-08 07:32 - 00000000 ____D () C:\ProgramData\Lenovo
2015-02-16 17:30 - 2013-08-07 21:19 - 00000000 ___HD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo ThinkVantage Tools
2015-02-16 17:30 - 2013-08-07 21:13 - 00000000 ____D () C:\Program Files\Lenovo
2015-02-13 17:54 - 2013-09-17 22:23 - 00000000 ___HD () C:\Users\Timo\AppData\Local\Adobe
2015-02-13 17:53 - 2013-09-17 22:24 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\Adobe
2015-02-13 13:35 - 2014-07-02 16:28 - 00000000 ____D () C:\ICONS
2015-02-04 22:17 - 2013-09-17 22:24 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2015-02-04 22:17 - 2013-09-17 22:24 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
Some content of TEMP:
====================
C:\Users\Timo\AppData\Local\Temp\Quarantine.exe
C:\Users\Timo\AppData\Local\Temp\sqlite3.dll
==================== Bamital & volsnap Check =================
(There is no automatic fix for files that do not pass verification.)
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed
LastRegBack: 2015-02-25 19:31
==================== End Of Log ============================
FRST Addition: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 02-03-2015
Ran by Timo at 2015-03-03 21:46:06
Running from C:\Down\Downloads
Boot Mode: Normal
==========================================================
==================== Security Center ========================
(If an entry is included in the fixlist, it will be removed.)
AV: Kaspersky Internet Security (Enabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AS: Kaspersky Internet Security (Enabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Out of date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
FW: Kaspersky Internet Security (Enabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
==================== Installed Programs ======================
(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
4K Video Downloader 3.4 (HKLM\...\4K Video Downloader_is1) (Version: 3.4.4.1500 - Open Media LLC)
Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 16.0.0.305 - Adobe Systems Incorporated)
Adobe Photoshop 6.0 (HKLM\...\Adobe Photoshop 6.0) (Version: 6.0 - Adobe Systems, Inc.)
ATI Catalyst Install Manager (HKLM\...\{C5A56577-49B4-331E-55DC-7143AFFAD108}) (Version: 3.0.795.0 - ATI Technologies, Inc.)
ATI Catalyst Registration (Version: 3.00.0000 - ATI Technologies Inc.) Hidden
Audiograbber 1.83 SE (HKLM\...\Audiograbber) (Version: 1.83 SE - Audiograbber)
Audiograbber MP3-Plugin (HKLM\...\Audiograbber-Lame) (Version: 1.0 - AG)
BlueGriffon version 1.5.2 (HKLM\...\{A9015334-10BE-4D64-A776-203336EFE806}_is1) (Version: 1.5.2 - Disruptive Innovations SAS)
Common Desktop Agent (Version: 1.62.0 - OEM) Hidden
Dienstprogramm "ThinkPad UltraNav" (HKLM\...\{17CBC505-D1AE-459D-B445-3D2000A85842}) (Version: 2.13.0 - Lenovo)
EZCast (HKLM\...\{74CECDD9-4B8E-4AE3-9571-8070A17F3C34}) (Version: 1.2.0.1 - Actions-Micro)
Foxit Reader (HKLM\...\Foxit Reader_is1) (Version: 6.0.6.722 - Foxit Corporation)
Garmin BaseCamp (HKLM\...\{31A67F6C-D79D-47B9-9F0B-13C0FCF3C3A8}) (Version: 4.4.6 - Garmin Ltd or its subsidiaries)
Garmin USB Drivers (HKLM\...\{ABA5E381-EC46-425C-86C5-5CD15BBFB4BF}) (Version: 2.3.1.0 - Garmin Ltd or its subsidiaries)
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.09) (Version: 9.09 - Artifex Software Inc.)
Intel(R) PROSet/Wireless WiFi-Software (HKLM\...\{D61E4101-9E15-4D0E-ABD1-1ABD36B43330}) (Version: 14.03.0000 - Intel Corporation)
Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation)
IrfanView (remove only) (HKLM\...\IrfanView) (Version: 4.37 - Irfan Skiljan)
Java 8 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)
Kaspersky Internet Security (HKLM\...\InstallWIX_{653C1B5A-3287-47B1-8613-0745D4E771C4}) (Version: 15.0.0.463 - Kaspersky Lab)
Kaspersky Internet Security (Version: 15.0.0.463 - Kaspersky Lab) Hidden
Lenovo Patch Utility (Version: 1.4.0.4 - Lenovo Group Limited) Hidden
Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.04.04 - )
Lenovo System Interface Driver (HKLM\...\LENOVO.SMIIF) (Version: 1.05 - )
Lenovo System Update (HKLM\...\{25C64847-B900-48AD-A164-1B4F9B774650}) (Version: 5.06.0027 - Lenovo)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
MediaInfo 0.7.64 (HKLM\...\MediaInfo) (Version: 0.7.64 - MediaArea.net)
Metric Collection SDK (Version: 1.1.0005.00 - Lenovo Group Limited) Hidden
Microsoft .NET Framework 4.5 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft .NET Framework 4.5 DEU Language Pack (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft Office 97, Professional Edition (HKLM\...\Office8.0) (Version: - )
Microsoft PowerPoint Viewer (HKLM\...\{95140000-00AF-0407-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Mozilla Firefox 30.0 (x86 de) (HKLM\...\Mozilla Firefox 30.0 (x86 de)) (Version: 30.0 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mp3tag v2.61a (HKLM\...\Mp3tag) (Version: v2.61a - Florian Heidenreich)
MSVC80_x86_v2 (Version: 1.0.3.0 - Nokia) Hidden
Nokia Connectivity Cable Driver (HKLM\...\{1B9B5B3B-28E7-4E59-A80D-D670AA984514}) (Version: 7.1.29.0 - Nokia)
Nokia PC Suite (HKLM\...\Nokia PC Suite) (Version: 7.1.51.0 - Nokia)
Nokia PC Suite (Version: 7.1.51.0 - Nokia) Hidden
PC Connectivity Solution (HKLM\...\{089DD780-DB3F-4CDB-A0C2-111360247298}) (Version: 10.24.0.0 - Nokia)
PDF Architect 2 (HKLM\...\PDF Architect 2) (Version: 2.0.51.17865 - pdfforge GmbH)
PDF Architect 2 Create Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDF Architect 2 Edit Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDF Architect 2 View Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.0.1 - pdfforge)
Samsung CLP-680 Series (HKLM\...\Samsung CLP-680 Series) (Version: 1.01 (01.05.2012) - Samsung Electronics Co., Ltd.)
Samsung Easy Printer Manager (HKLM\...\Samsung Easy Printer Manager) (Version: 1.02.45.01(30.04.2012) - Samsung Electronics Co., Ltd.)
Samsung Printer Live Update (HKLM\...\Samsung Printer Live Update) (Version: 1.01.00.04 - Samsung Electronics Co., Ltd.)
Samsung SCX-4200 Series (HKLM\...\Samsung SCX-4200 Series) (Version: - Samsung Electronics CO.,LTD)
Shutter (HKLM\...\Shutter_is1) (Version: 3.6 - Denis Kozlov)
SIGMA Photo Pro 3 (HKLM\...\{A75CC176-E24A-4FFE-97EF-1D3C27C63AFF}) (Version: - SIGMA)
SILKYPIX Developer Studio 3.0 LE (HKLM\...\InstallShield_{7F3487F5-E4FA-4A28-8196-6C9F785BC638}) (Version: 3 - Ichikawa Soft Laboratory)
SILKYPIX Developer Studio 3.0 LE (Version: 3 - Ichikawa Soft Laboratory) Hidden
Spybot - Search & Destroy (HKLM\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.4.40 - Safer-Networking Ltd.)
StreamTransport version: 1.1.1.1 (HKLM\...\{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1) (Version: - )
The Lord of the Rings FREE Trial (Version: 1.00.0000 - ATI Technologies Inc.) Hidden
ThinkPad Bluetooth with Enhanced Data Rate Software (HKLM\...\{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}) (Version: 6.2.1.3100 - Broadcom Corporation)
ThinkPad Energie-Manager (HKLM\...\{DAC01CEE-5BAE-42D5-81FC-B687E84E8405}) (Version: 3.67 - )
ThinkPad FullScreen Magnifier (HKLM\...\ThinkPad FullScreen Magnifier) (Version: 2.41 - )
ThinkPad Modem (HKLM\...\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10140588) (Version: 7.62.00 - )
ThinkPad UltraNav Driver (HKLM\...\SynTPDeinstKey) (Version: 16.2.19.9 - )
ThinkVantage Access Connections (HKLM\...\{8E537894-A559-4D60-B3CB-F4485E3D24E3}) (Version: 6.01 - Lenovo)
ThinkVantage Fingerprint Software (HKLM\...\{F58DA859-016E-492D-A588-317D9BB28002}) (Version: 5.9.9.7282 - Authentec Inc.)
ThinkVantage System für aktiven Festplattenschutz (HKLM\...\{46A84694-59EC-48F0-964C-7E76E9F8A2ED}) (Version: 1.77.0.26 - Lenovo)
VLC media player 2.0.8 (HKLM\...\VLC media player) (Version: 2.0.8 - VideoLAN)
Watchtower Library 2014 - Deutsch (HKLM\...\{4C49803E-1D22-40B5-B483-02F7E1E09E1C}) (Version: 16.0 - Watchtower Bible and Tract Society of Pennsylvania, Inc.)
Windows Driver Package - Broadcom (BTHUSB) Bluetooth (04/08/2010 6.3.5.430) (HKLM\...\2004BB9EB6CEA02846881BEF1F51C11F7A90C9D6) (Version: 04/08/2010 6.3.5.430 - Broadcom)
Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800) (HKLM\...\BF20603967CFDCB2BBF91950E8A56DFBC5C833FE) (Version: 07/28/2009 6.2.0.9800 - Broadcom)
Windows Driver Package - Garmin (grmnusb) GARMIN Devices (04/19/2012 2.3.1.0) (HKLM\...\98157A226B40B173301B0F53C8E98C47805D5152) (Version: 04/19/2012 2.3.1.0 - Garmin)
Windows-Treiberpaket - Nokia Modem (06/09/2010 4.5) (HKLM\...\34EA302E7F4CBD17A19E33BBCB72363234956D7E) (Version: 06/09/2010 4.5 - Nokia)
Windows-Treiberpaket - Nokia Modem (06/09/2010 7.01.0.7) (HKLM\...\EEEE705096F837B7907659F100C9FE6DA001970F) (Version: 06/09/2010 7.01.0.7 - Nokia)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) (HKLM\...\504244733D18C8F63FF584AEB290E3904E791693) (Version: 08/22/2008 7.0.0.0 - Nokia)
WinRAR 5.00 (32-Bit) (HKLM\...\WinRAR archiver) (Version: 5.00.0 - win.rar GmbH)
==================== Custom CLSID (selected items): ==========================
(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
==================== Restore Points =========================
==================== Hosts content: ==========================
(If needed Hosts: directive could be included in the fixlist to reset Hosts.)
2009-07-14 03:04 - 2014-10-25 17:50 - 00450713 ____R C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 10sek.com
127.0.0.1 www.10sek.com
127.0.0.1 www.1-2005-search.com
127.0.0.1 1-2005-search.com
127.0.0.1 123fporn.info
127.0.0.1 www.123fporn.info
127.0.0.1 123haustiereundmehr.com
127.0.0.1 www.123haustiereundmehr.com
127.0.0.1 123moviedownload.com
There are 1000 more lines.
==================== Scheduled Tasks (whitelisted) =============
(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)
Task: {158843FC-0C45-4C79-9BC4-F0468E8ADA70} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo)
Task: {22026E3D-2C05-4DC2-B448-5BA99A355760} - \Installer_iwebar No Task File <==== ATTENTION
Task: {2404BC77-C3CE-484B-B15A-C9B71646DC14} - System32\Tasks\{43D4E129-3A0B-4EF3-A4A3-A538A59C1D88} => pcalua.exe -a C:\Users\Timo\Downloads\79wv04ww.exe -d C:\Users\Timo\Downloads
Task: {3878FE8B-6AF6-4412-A522-B50F7CD8A7A7} - System32\Tasks\{15919F92-24EC-497D-9D01-3266043B540C} => pcalua.exe -a D:\setup.exe -d D:\
Task: {38E42000-C5FE-4281-952B-3D85C0E419E0} - System32\Tasks\{766FA266-FF1C-4043-BF42-DE68BDD19F56} => pcalua.exe -a C:\Users\Timo\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: {39E225CF-37DF-41C3-9529-7AD485833223} - System32\Tasks\{702E7ACD-31DE-4DCA-BF02-FCED39F80FC8} => pcalua.exe -a "E:\Programme\Win 7\Zusätzliches\Bios settings\83ts04ww.exe" -d "E:\Programme\Win 7\Zusätzliches\Bios settings"
Task: {5505CE94-57E2-4DC3-830A-A46EECDC13C5} - System32\Tasks\{FEC243C7-3D4D-45A5-8075-5CD2F1656459} => pcalua.exe -a C:\Users\Timo\Downloads\7vua51ww.exe -d C:\Users\Timo\Downloads
Task: {698A310D-904C-4827-9FCB-4C6DA2C3904F} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files\Lenovo\System Update\tvsuShim.exe [2015-01-15] ()
Task: {7900563C-D37A-48E8-A669-EB9382C7DE62} - System32\Tasks\Installer_shopperpro => C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868\DCytdieamo_amodc_setup.exe <==== ATTENTION
Task: {9AD23E96-C244-476B-B1AA-1FB010E6B8C8} - System32\Tasks\{7CD6D288-F4C4-4DA8-9A76-A10F50F0BA5E} => pcalua.exe -a C:\Users\Timo\Downloads\7jif12ww.exe -d C:\Users\Timo\Downloads
Task: {9E8592DF-3ADB-48BB-B23D-B7422C226B97} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files\Spybot - Search & Destroy 2\SDScan.exe
Task: {BD38C821-DA80-448A-97E7-E37E3F2EE5C9} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-02-04] (Adobe Systems Incorporated)
Task: {EB51A9AA-8BF2-4A5D-97BB-B1CD7B6A2515} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files\Spybot - Search & Destroy 2\SDImmunize.exe
(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
==================== Loaded Modules (whitelisted) ==============
1997-09-03 23:00 - 1997-09-03 23:00 - 00022016 _____ () C:\Windows\system32\docobj.dll
2013-10-15 13:43 - 2012-01-10 05:14 - 00024064 _____ () C:\Windows\System32\ssd3clm.dll
2015-01-22 15:29 - 2009-10-06 01:40 - 00022723 _____ () C:\Windows\System32\suge1l3.dll
2013-10-16 11:55 - 2012-04-25 09:07 - 00741376 _____ () C:\Windows\system32\spool\DRIVERS\W32X86\3\ssd3cdu.dll
2014-03-06 14:00 - 2014-03-06 14:00 - 01269952 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\kpcengine.2.3.dll
2013-12-27 17:55 - 2012-02-28 03:07 - 00054784 _____ () C:\Program Files\ThinkPad\Utilities\GR\PWMRT32V.DLL
2014-10-25 17:33 - 2014-05-13 11:04 - 00109400 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlThirdParty150.bpl
2014-10-25 17:33 - 2014-05-13 11:04 - 00416600 _____ () C:\Program Files\Spybot - Search & Destroy 2\DEC150.bpl
2014-10-25 17:33 - 2014-05-13 11:04 - 00167768 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlFileFormats150.bpl
2014-10-25 17:33 - 2012-08-23 09:38 - 00574840 _____ () C:\Program Files\Spybot - Search & Destroy 2\sqlite3.dll
2014-10-25 17:33 - 2012-04-03 16:06 - 00565640 _____ () C:\Program Files\Spybot - Search & Destroy 2\av\BDSmartDB.dll
2013-03-18 16:26 - 2013-03-18 16:26 - 00092456 _____ () C:\Program Files\Lenovo\Access Connections\AcWrpc.dll
2012-02-20 21:22 - 2012-02-20 21:22 - 00344064 _____ () C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
2012-02-20 21:22 - 2012-02-20 21:22 - 00050688 _____ () C:\Program Files\Common Files\Common Desktop Agent\CDASrvPS.dll
2008-08-12 10:16 - 2008-08-12 10:16 - 02023424 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtCore4.dll
2008-07-29 13:01 - 2008-07-29 13:01 - 07331840 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtGui4.dll
2008-07-29 12:50 - 2008-07-29 12:50 - 00364544 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtXml4.dll
2008-07-29 13:47 - 2008-07-29 13:47 - 00135168 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\imageformats\qjpeg4.dll
2008-07-29 13:47 - 2008-07-29 13:47 - 00016384 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\imageformats\qsvg4.dll
2008-07-29 13:11 - 2008-07-29 13:11 - 00253952 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtSvg4.dll
2011-01-24 11:35 - 2011-01-24 11:35 - 00132384 _____ () C:\Program Files\ThinkPad\Bluetooth Software\btkeyind.dll
1997-09-03 23:00 - 1997-09-03 23:00 - 00051984 _____ () C:\Program Files\Microsoft Office\Office\OSA.EXE
1997-09-03 23:00 - 1997-09-03 23:00 - 03782416 _____ () C:\Program Files\Microsoft Office\Office\MSO97.DLL
2015-03-03 20:38 - 2014-06-06 05:38 - 03852912 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll
2014-04-20 00:42 - 2014-04-20 00:42 - 00468672 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com\npcontentblocker.dll
2014-04-20 00:42 - 2014-10-09 11:47 - 00642344 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com\npvkplugin.dll
2014-04-20 00:42 - 2014-04-20 00:42 - 00347328 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com\nponlinebanking.dll
2015-02-04 22:17 - 2015-02-04 22:17 - 16852144 _____ () C:\Windows\system32\Macromed\Flash\NPSWF32_16_0_0_305.dll
==================== Alternate Data Streams (whitelisted) =========
(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)
==================== Safe Mode (whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Gambali => ""="service"
==================== EXE Association (whitelisted) ===============
(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)
==================== Other Areas ============================
(Currently there is no automatic fix for this section.)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
==================== MSCONFIG/TASK MANAGER disabled items ==
(Currently there is no automatic fix for this section.)
MSCONFIG\startupreg: PC Suite Tray => "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
MSCONFIG\startupreg: POP Peeper => "C:\Program Files\POP Peeper\POPPeeper.exe" -min
==================== Accounts: =============================
Administrator (S-1-5-21-641229778-3078360545-1551785825-500 - Administrator - Disabled)
Gast (S-1-5-21-641229778-3078360545-1551785825-501 - Limited - Enabled)
HomeGroupUser$ (S-1-5-21-641229778-3078360545-1551785825-1002 - Limited - Enabled)
Timo (S-1-5-21-641229778-3078360545-1551785825-1001 - Administrator - Enabled) => C:\Users\Timo
==================== Faulty Device Manager Devices =============
Name: Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung
Description: Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Intel Corporation
Service: netw5v32
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
Name: IBM ThinkPad Fast Infrared Port
Description: IBM ThinkPad Fast Infrared Port
Class Guid: {6bdd1fc5-810f-11d0-bec7-08002be2092f}
Manufacturer: IBM
Service: NSCIRDA
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
==================== Event log errors: =========================
Application errors:
==================
System errors:
=============
Error: (03/03/2015 08:26:50 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (03/03/2015 08:25:41 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet:
%%-2147014847
Error: (03/03/2015 08:25:40 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Bid Check" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error: (03/03/2015 08:25:40 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error: (03/03/2015 08:25:34 PM) (Source: atikmdag) (EventID: 10266) (User: )
Description: Unknown EDID version
Error: (03/03/2015 07:07:00 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}
Error: (03/03/2015 07:05:17 PM) (Source: volsnap) (EventID: 36) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error: (03/03/2015 06:40:52 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (03/03/2015 06:39:34 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet:
%%-2147014847
Error: (03/03/2015 06:39:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Bid Check" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Microsoft Office Sessions:
=========================
CodeIntegrity Errors:
===================================
Date: 2015-02-28 13:19:48.629
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.582
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
==================== Memory info ===========================
Processor: Intel(R) Core(TM) Duo CPU T2700 @ 2.33GHz
Percentage of memory in use: 44%
Total physical RAM: 3070.43 MB
Available physical RAM: 1709.34 MB
Total Pagefile: 6139.14 MB
Available Pagefile: 4573.79 MB
Total Virtual: 2047.88 MB
Available Virtual: 1891.29 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:43.95 GB) (Free:17.95 GB) NTFS
Drive e: (Volume) (Fixed) (Total:67.74 GB) (Free:67.62 GB) NTFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 129B8011)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=43.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=67.7 GB) - (Type=07 NTFS)
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-03-03 22:11:30
Windows 6.1.7600 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Samsung_ rev.DXT0 111,79GB
Running: Gmer-19357.exe; Driver: C:\Users\Timo\AppData\Local\Temp\uxldipog.sys
---- System - GMER 2.1 ----
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAdjustPrivilegesToken [0x90EEF0A0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAlpcConnectPort [0x90EEF020]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAlpcSendWaitReceivePort [0x90EEF030]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwConnectPort [0x90EEF050]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateSection [0x90EEF000]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateSymbolicLinkObject [0x90EEF410]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateThread [0x90EEF100]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateThreadEx [0x90EEF040]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDebugActiveProcess [0x90EEF140]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDeviceIoControlFile [0x90EEF1E0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDuplicateObject [0x90EEF170]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwLoadDriver [0x90EEF150]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwMapViewOfSection [0x90EEF180]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenProcess [0x90EEF080]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenSection [0x90EEF070]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenThread [0x90EEF090]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwProtectVirtualMemory [0x90EEF0C0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwQueryIntervalProfile [0x90EEF470]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwQueueApcThread [0x90EEF120]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwRequestWaitReplyPort [0x90EEF1D0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwResumeProcess [0x90EEF490]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwResumeThread [0x90EEF1A0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSecureConnectPort [0x90EEF060]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetContextThread [0x90EEF110]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetInformationObject [0x90EEF0B0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetInformationToken [0x90EEF010]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetSystemInformation [0x90EEF160]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSuspendProcess [0x90EEF1C0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSuspendThread [0x90EEF1B0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSystemDebugControl [0x90EEF130]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwTerminateProcess [0x90EEF0D0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwTerminateThread [0x90EEF0E0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwUnmapViewOfSection [0x90EEF190]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwWriteVirtualMemory [0x90EEF0F0]
---- Kernel code sections - GMER 2.1 ----
.text ntkrnlpa.exe!ZwRollbackTransaction + 13F9 82E4B829 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E70132 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 230 82E77910 4 Bytes [A0, F0, EE, 90]
.text ntkrnlpa.exe!RtlSidHashLookup + 258 82E77938 4 Bytes [20, F0, EE, 90] {AND AL, DH; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 29C 82E7797C 4 Bytes [30, F0, EE, 90] {XOR AL, DH; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 2EC 82E779CC 4 Bytes [50, F0, EE, 90] {PUSH EAX; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 350 82E77A30 4 Bytes [00, F0, EE, 90] {ADD AL, DH; OUT DX, AL; NOP }
.text ...
---- Devices - GMER 2.1 ----
AttachedDevice \Driver\tdx \Device\Tcp kltdi.sys
AttachedDevice \Driver\tdx \Device\Udp kltdi.sys
AttachedDevice \Driver\tdx \Device\RawIp kltdi.sys
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0016cfdb120e
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0016cfdb120e@0060572e7dca 0x6F 0x05 0x4F 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0016cfdb120e (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0016cfdb120e@0060572e7dca 0x6F 0x05 0x4F 0xE1 ...
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@\\Hamaprn45\hdd1\PRG\xb4s\Programme\Win 7_8\Browser\Firefox Setup 30.0.exe 1
---- EOF - GMER 2.1 ----
Liebe Grüße |
| Themen zu Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF |
| browser, cursor, desktop, downloader, ebanking, feedback, fehler, festplatte, firefox, flash player, homepage, installmanager.exe, internet, internet explorer, karte, kaspersky, malware, mozilla, problem, refresh, registry, scan, security, server, software, svchost.exe, system, usb, warum, windows |
Baum-Darstellung