Gomeo Virus und mehr?

Bernd1978 · 09.03.2011, 16:28

Hallo,
ich habe eine wohl aus dubiosen Quellen stammende .exe Datei auf meinem Rechner ausgeführt. Ein versehen, ich war im Stress. AviraPremium meldete einen Fund und entfernte diesen. Den vom programm erstellten Ordner löschte ich nachhaltig. Bald darauf öffneten sich ohne mein zutun immer wieder Internet Explorer Fenster, dies unterbannte ich mit dem umbenennen des Internet Explorer Ordners. Ruhe. Nach einiger Zeit bemerkte ich Umleitungen im Firefox, zunächst selten dann immer mehr bis dann 100% nicht nur google suchergebnisse umgeleleitet wurden auf Gomeo und Customer Survey Group Umfragen.

Bisherige Vorgehensweise
AviraPremium fand bei mehreren komplett Scans nichts.
Spybot Search n Destroy fand einige Cookies, entfernte diese, behob aber den Redirect nicht.
mbam: fand dann einen Registryeintrag zum Redirect und entfernte diesen.

Problem behoben???
Das Umleiten findet derzeit nicht mehr statt auch gehen keine InternetExplorer Fenster mehr unaufgefordert auf...
ABER:
Es gibt Merkwürdiges Verhalten:
Obwohl ich derzeit täglich einen AviraPremium SystemCheck laufen lasse, bei dem nichts gefunden wird, hatte ich im laufenden Betrieb bisher 2 neue Virenfunde vom AviraGuard, obwohl der Rechner derzeit nur noch selten mit dem Internt verbunden wird; als Vorsichtsmaßnahme.
In letzter Zeit frohr mein Rechner 2x für vielleicht 15sec ein, heißt nichts, machte er aber vorher nie. Ist eine rel. neuer coreI5 mit Win 7

Ich befürchte das der Gomeo Redirect nur ein Teil des Problems darstellt.

Wie sollte ich weiter vorgehen?

Danke

Swisstreasure · 09.03.2011, 20:25

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

AntiVir - Funde rauskopieren

Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse
Typ anklicken, damit die Ereignisse nach Typart sortiert werden.
Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Schritt 2

Poste das Log von Malwarebytes.

Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 4

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.

Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

ATTFilter

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Bernd1978 · 10.03.2011, 15:19

Hallo,

Vielen Dank für die Anleitung!
Gmer stürzt aber immer beim Scan ab (Windows meldet Programm reagiert nicht mehr - Virenscanner aus,programme aus... alles nach Anleitung). Ich habs jetzt seit gestern Abend immer wieder probiert und auch immer wieder einen Neustart ausgeführt, aber GMER stürzt weiterhin immer nach etwa 2min ab nachdem ich auf Scan klicke.

Anbei die anderen Logfiles:

Ereignisse Avira

Code:

ATTFilter

Exportierte Ereignisse:

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird2010.03.31\5bxbzq2s.default\Mail\Loc
      al Folders\Privat.sbd\berndmail@yahoo.de.sbd\Gesendete'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-1c301
      c4c'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.M.1' [virus].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei existiert nicht!

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\13.08.2010\Profilverzeichnis.zip'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird2010.04.01\Profiles\5bxbzq2s.default
      \Mail\Local Folders\Inbox'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird2010.04.01\Profiles\5bxbzq2s.default
      \Mail\Local Folders\Privat.sbd\berndmail@yahoo.de.sbd\Gesendete'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\14.06.2010\Profilverzeichnis.zip'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird2010.03.31\5bxbzq2s.default\Mail\Loc
      al Folders\Inbox'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\25.05.2010\Profilverzeichnis.zip'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\7adbb65d-75807
      68b'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2008-5353.ND' 
      [exploit].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei existiert nicht!

08.03.2011 17:25 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:23 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:26 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:25 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

07.03.2011 17:26 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Der Registrierungseintrag 
      <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OGMJMALMDO> 
      wurde erfolgreich entfernt.
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
      Die Datei konnte nicht gelöscht werden!
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei konnte nicht gelöscht werden!
      Der Registrierungseintrag 
      <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OGMJMALMDO> 
      konnte nicht entfernt werden.

07.03.2011 17:10 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 19:44 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\7bb99554-757b7
      3ac'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2009-3867.GC' 
      [exploit].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Die Datei existiert nicht!

07.03.2011 17:26 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

07.03.2011 17:10 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:16 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:16 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:16 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:28 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Local\Temp\32fdfb4.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Agent.vro' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:26 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f8e7fa.qua' 
      verschoben!

19.02.2011 05:17 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:15 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff erlauben

19.02.2011 05:02 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://ndptirg.co.cc/"
      wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen2' 
      [virus] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

02.03.2011 04:08 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://ndptirg.co.cc/spl3/file.pdf"
      wurde ein Virus oder unerwünschtes Programm 'HTML/Malicious.PDF.Gen' [virus] 
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

19.02.2011 05:16 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:16 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 05:15 [Guard] Malware gefunden
      In der Datei 
      'C:\Users\Bernd\Downloads\Sony.Products\Sony.Vegas\Patch.v1.9.Patch.Only\setup.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Black.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\08.09.2010\Profilverzeichnis.zip'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird 2.0.0.23 (de) - 2010-02-21.pcv'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\Documents\_Meine 
      Dokumente\_Bernd_Backup\Thunderbird\Thunderbird 2.0.0.23 (de) - 2010-02-19.pcv'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\Roaming\Thunderbird\Profiles\5bxbzq2s.default\Mail\Local
       Folders\Privat.sbd\berndmail@yahoo.de.sbd\Gesendete'
      enthielt einen Virus oder unerwünschtes Programm 'BDS/ExitWindows.E' [backdoor].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\Roaming\Thunderbird\Profiles\5bxbzq2s.default\Mail\Local
       Folders\Inbox'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.AN.1943' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ignoriert.

19.02.2011 19:43 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-69555
      ccc'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2009-3867.EH' 
      [exploit].
      Durchgeführte Aktion(en):
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
      Die Quelldatei konnte nicht gefunden werden.
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
      Eine Exception wurde abgefangen!
      Die Datei wurde zum Löschen nach einem Neustart markiert.

19.02.2011 19:35 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\7bb99554-757b7
      3ac'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2009-3867.GC' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '64529390.qua' 
      verschoben!

19.02.2011 05:28 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Local\Temp\32fdfb4.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Agent.vro' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben

19.02.2011 05:28 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Local\Temp\32fdfb4.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Agent.vro' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

19.02.2011 19:35 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-1c301
      c4c'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.M.1' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '506c86b5.qua' 
      verschoben!

19.02.2011 19:35 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-69555
      ccc'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2009-3867.EH' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f9a911.qua' 
      verschoben!

19.02.2011 19:35 [Scanner] Malware gefunden
      Die Datei 
      'C:\Users\Bernd\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\7adbb65d-75807
      68b'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2008-5353.ND' 
      [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0263dc51.qua' 
      verschoben!

08.02.2011 16:33 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://77.92.78.28/games/javaobe.jar"
      wurde ein Virus oder unerwünschtes Programm 'JAVA/Applet.K' [virus] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

08.02.2011 16:33 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://77.92.78.28/games/javaobe.jar"
      wurde ein Virus oder unerwünschtes Programm 'JAVA/Applet.K' [virus] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

08.02.2011 16:33 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://77.92.78.28/games/javaobe.jar"
      wurde ein Virus oder unerwünschtes Programm 'JAVA/Applet.K' [virus] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

23.02.2011 01:21 [Guard] Malware gefunden
      In der Datei 'C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb'
      wurde ein Virus oder unerwünschtes Programm 'DR/FakePic.Gen' [dropper] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.02.2011 16:33 [WebGuard] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://77.92.78.28/games/javaobe.jar"
      wurde ein Virus oder unerwünschtes Programm 'JAVA/Applet.K' [virus] gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

08.03.2011 17:27 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:26 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:26 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:32 [Guard] Malware gefunden
      In der Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

08.03.2011 17:39 [Scanner] Malware gefunden
      Die Datei 'C:\Users\Bernd\AppData\Roaming\KBDKORI.dll'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen2' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a8ff46.qua' 
      verschoben!

mbam

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5977

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06.03.2011 23:13:37
mbam-log-2011-03-06 (23-13-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 178897
Laufzeit: 5 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

otl

Code:

ATTFilter

OTL logfile created on: 3/10/2011 2:48:28 AM - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Bernd\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 65.00% Memory free
6.00 Gb Paging File | 5.00 Gb Available in Paging File | 80.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 450.66 Gb Total Space | 68.76 Gb Free Space | 15.26% Space Free | Partition Type: NTFS
 
Computer Name: Bernd-NOTEBOOK | User Name: Bernd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011/03/09 23:36:35 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Downloads\OTL.exe
PRC - [2011/03/08 13:44:52 | 000,421,032 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2011/03/04 19:54:02 | 000,496,128 | ---- | M] (Crawler.com) -- C:\Program Files\Spyware Terminator\sp_rsser.exe
PRC - [2010/12/08 15:15:29 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010/11/02 12:09:15 | 000,339,624 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010/11/02 12:09:15 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010/11/02 12:09:15 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010/10/26 12:16:46 | 001,649,152 | ---- | M] () -- C:\Program Files\Xpadder\Xpadder 5.6\Xpadder.exe
PRC - [2010/10/25 10:03:52 | 000,217,088 | ---- | M] (Teruten) -- C:\Windows\System32\FsUsbExService.Exe
PRC - [2010/10/18 00:07:31 | 000,134,808 | ---- | M] (Google Inc.) -- C:\Users\Bernd\AppData\Local\Google\Update\1.2.183.39\GoogleCrashHandler.exe
PRC - [2010/09/11 04:07:50 | 003,975,088 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
PRC - [2010/09/08 04:04:48 | 000,391,296 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
PRC - [2010/09/08 04:04:44 | 000,780,504 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
PRC - [2010/09/08 04:04:00 | 005,514,296 | ---- | M] (Acronis) -- C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2010/09/02 16:15:54 | 002,570,688 | ---- | M] (Acronis) -- C:\Program Files\Acronis\OnlineBackupStandalone\TrueImageMonitor.exe
PRC - [2010/08/13 15:25:58 | 001,492,944 | ---- | M] (TrueCrypt Foundation) -- C:\Program Files\TrueCrypt\TrueCrypt.exe
PRC - [2010/06/26 01:15:32 | 001,311,312 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Logitech\SetPointP\SetPoint.exe
PRC - [2010/06/22 20:09:20 | 000,112,208 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Common Files\Logishrd\KHAL3\KHALMNPR.exe
PRC - [2010/03/24 23:49:26 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009/12/15 08:46:48 | 000,976,784 | ---- | M] (The Eraser Project) -- C:\Program Files\Eraser\Eraser.exe
PRC - [2009/11/04 05:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009/10/26 12:53:14 | 000,091,136 | ---- | M] (SAMSUNG Electronics) -- C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
PRC - [2009/10/02 17:48:26 | 000,795,936 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2009/10/02 17:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
PRC - [2009/07/14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009/07/14 02:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
PRC - [2008/03/09 16:12:24 | 000,240,640 | ---- | M] () -- C:\Program Files\AutoHotkey\AutoHotkey.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011/03/09 23:36:35 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Downloads\OTL.exe
MOD - [2010/08/21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/03/08 13:44:52 | 000,421,032 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011/03/05 02:43:30 | 000,449,408 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Bernd\AppData\Local\Temp\MIQLOC.exe -- (MIQLOC)
SRV - [2011/03/05 02:41:59 | 000,494,464 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Bernd\AppData\Local\Temp\UIXUZE.exe -- (UIXUZE)
SRV - [2011/03/04 19:54:02 | 000,496,128 | ---- | M] (Crawler.com) [Auto | Running] -- C:\Program Files\Spyware Terminator\sp_rsser.exe -- (sp_rssrv)
SRV - [2010/12/08 15:15:29 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/11/02 12:09:15 | 000,339,624 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010/11/02 12:09:15 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/10/25 10:07:48 | 000,095,568 | ---- | M] (Devguru Co., Ltd.) [Disabled | Stopped] -- C:\Windows\System32\dgdersvc.exe -- (dgdersvc)
SRV - [2010/10/25 10:03:52 | 000,217,088 | ---- | M] (Teruten) [Auto | Running] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2010/09/11 04:07:50 | 003,975,088 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2010/09/08 04:04:44 | 000,780,504 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2010/05/06 10:29:12 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2010/03/16 03:26:29 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009/10/02 17:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2009/08/13 21:58:10 | 000,044,312 | ---- | M] () [Disabled | Stopped] -- C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe -- (OberonGameConsoleService)
SRV - [2009/07/14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
SRV - [2008/02/22 09:33:00 | 000,104,960 | ---- | M] (ArcSoft Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2007/06/15 12:57:42 | 000,145,504 | ---- | M] (B.H.A Corporation) [Disabled | Stopped] -- C:\windows\System32\bgsvcgen.exe -- (bgsvcgen)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011/03/04 19:54:02 | 000,142,592 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\sp_rsdrv2.sys -- (sp_rsdrv2)
DRV - [2010/12/20 15:10:02 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2010/11/23 17:10:44 | 001,249,792 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2010/11/22 19:04:18 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/10/25 10:07:48 | 000,018,120 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2010/10/25 10:03:52 | 000,036,640 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010/09/11 04:07:53 | 000,163,232 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\afcdp.sys -- (afcdp)
DRV - [2010/09/11 04:07:45 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\tdrpm273.sys -- (tdrpman273) Acronis Try&Decide and Restore Points filter (build 273)
DRV - [2010/09/11 04:07:42 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2010/09/11 04:07:33 | 000,170,464 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2010/08/13 15:25:59 | 000,230,736 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010/07/28 14:33:06 | 000,121,576 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2010/07/28 14:33:06 | 000,096,488 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM)
DRV - [2010/07/28 14:33:06 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter)
DRV - [2010/04/29 23:49:05 | 000,281,760 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt)
DRV - [2010/04/29 23:49:05 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010/04/26 13:58:42 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010/03/18 10:02:08 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2010/03/18 10:01:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2010/03/18 10:01:44 | 000,010,448 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidEqd.sys -- (LHidEqd)
DRV - [2010/03/18 10:01:36 | 000,040,912 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LEqdUsb.sys -- (LEqdUsb)
DRV - [2010/02/15 10:24:00 | 000,322,336 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2010/02/10 17:17:24 | 009,936,584 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009/11/25 13:32:16 | 000,125,824 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Impcd.sys -- (Impcd)
DRV - [2009/09/11 12:48:04 | 000,066,056 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmXlCore.sys -- (WmXlCore)
DRV - [2009/09/11 12:47:54 | 000,014,984 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WmVirHid.sys -- (WmVirHid)
DRV - [2009/09/11 12:47:32 | 000,035,592 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmFilter.sys -- (WmFilter)
DRV - [2009/09/11 12:47:22 | 000,022,792 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmBEnum.sys -- (WmBEnum)
DRV - [2009/07/14 00:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009/07/01 21:46:20 | 000,043,944 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btusbflt.sys -- (btusbflt)
DRV - [2009/06/27 15:55:12 | 000,066,080 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2009/05/11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/10/21 09:22:48 | 000,114,600 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mdm.sys -- (s0017mdm)
DRV - [2008/10/21 09:22:48 | 000,109,736 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017unic.sys -- (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM)
DRV - [2008/10/21 09:22:48 | 000,108,328 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mgmt.sys -- (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM)
DRV - [2008/10/21 09:22:48 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017obex.sys -- (s0017obex)
DRV - [2008/10/21 09:22:48 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017bus.sys -- (s0017bus) Sony Ericsson Device 0017 driver (WDM)
DRV - [2008/10/21 09:22:48 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017nd5.sys -- (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS)
DRV - [2008/10/21 09:22:48 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mdfl.sys -- (s0017mdfl)
DRV - [2008/07/24 11:03:56 | 000,101,760 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2006/02/20 19:17:40 | 000,033,408 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\windows\System32\drivers\cdrbsdrv.sys -- (cdrbsdrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: ""
FF - prefs.js..extensions.enabledItems: {4fd0131c-5156-4a4a-af5b-e04381314163}:2.0
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.5
FF - prefs.js..extensions.enabledItems: {6AC85730-7D0F-4de0-B3FA-21142DD85326}:2.2.2
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.3
FF - prefs.js..extensions.enabledItems: beysim@beysim.net:1.7
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
FF - prefs.js..extensions.enabledItems: firecookie@janodvarko.cz:1.2.1
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.14.2
FF - prefs.js..extensions.enabledItems: {5C46D283-ABDE-4dce-B83C-08881401921C}:2.1.5
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170634FE}:4.0
FF - prefs.js..extensions.enabledItems: {05f6a7ea-896b-11da-8bde-f66bad1e3fff}:3.5.20090705
FF - prefs.js..extensions.enabledItems: {75CEEE46-9B64-46f8-94BF-54012DE155F0}:0.4.6
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.1
FF - prefs.js..extensions.enabledItems: {888d99e7-e8b5-46a3-851e-1ec45da1e644}:4.0.2
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - prefs.js..extensions.enabledItems: {6D1D11DB-3C6C-4db8-96E4-20F4A1088AAC}:0.8
FF - prefs.js..extensions.enabledItems: {3e9bb2a7-62ca-4efa-a4e6-f6f6168a652d}:0.8.19
FF - prefs.js..extensions.enabledItems: {54BB9F3F-07E5-486c-9B39-C7398B99391C}:4.0.2011021601
FF - prefs.js..extensions.enabledItems: AmazonHotStuff@wangtom.com:1.1.1
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.8.4
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: anticontainer@downthemall.net:0.9.5
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010/02/25 01:24:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010/03/24 03:09:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/03/08 14:53:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/08 14:53:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Components: C:\Program Files\Mozilla Sunbird\components [2011/01/11 23:35:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Plugins: C:\Program Files\Mozilla Sunbird\plugins
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/03/05 14:29:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions
[2010/03/31 22:19:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions\{718e30fb-e89b-41dd-9da7-e25a45638b28}
[2011/03/09 16:37:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions
[2010/03/26 01:29:56 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2010/12/23 21:05:11 | 000,000,000 | ---D | M] ("ColorfulTabs") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2010/02/21 02:18:01 | 000,000,000 | ---D | M] (Locator) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{05f6a7ea-896b-11da-8bde-f66bad1e3fff}
[2011/03/04 15:37:20 | 000,000,000 | ---D | M] (FlashGot) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010/10/14 23:34:45 | 000,000,000 | ---D | M] (Flashblock) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2010/06/16 20:31:05 | 000,000,000 | ---D | M] (ShowIP) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{3e9bb2a7-62ca-4efa-a4e6-f6f6168a652d}
[2010/02/21 02:18:01 | 000,000,000 | ---D | M] (Blog This in Windows Live Writer) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{4fd0131c-5156-4a4a-af5b-e04381314163}
[2011/02/18 00:27:06 | 000,000,000 | ---D | M] ("Text Link") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{54BB9F3F-07E5-486c-9B39-C7398B99391C}
[2011/01/02 04:21:57 | 000,000,000 | ---D | M] (Google Shortcuts) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{5C46D283-ABDE-4dce-B83C-08881401921C}
[2010/09/12 02:31:21 | 000,000,000 | ---D | M] (ColorZilla) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}
[2011/02/14 15:12:04 | 000,000,000 | ---D | M] (Show MyIP) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{6D1D11DB-3C6C-4db8-96E4-20F4A1088AAC}
[2010/10/29 00:09:19 | 000,000,000 | ---D | M] (MeasureIt) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
[2011/02/18 00:27:06 | 000,000,000 | ---D | M] (ReloadEvery) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}
[2011/02/19 00:10:12 | 000,000,000 | ---D | M] (ImTranslator) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
[2011/02/14 15:12:04 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010/10/09 03:19:47 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2011/02/10 23:27:18 | 000,000,000 | ---D | M] ("Yoono") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{d9284e50-81fc-11da-a72b-0800200c9a66}
[2011/02/10 23:27:04 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010/12/10 01:53:43 | 000,000,000 | ---D | M] (Amazon Button) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\AmazonHotStuff@wangtom.com
[2011/02/06 02:50:41 | 000,000,000 | ---D | M] (DownThemAll! AntiContainer) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\anticontainer@downthemall.net
[2010/02/21 02:17:57 | 000,000,000 | ---D | M] (DT Whois) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\beysim@beysim.net
[2011/02/10 23:27:13 | 000,000,000 | ---D | M] (Firebug) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\firebug@software.joehewitt.com
[2011/03/09 16:37:31 | 000,000,000 | ---D | M] (Firecookie) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\firecookie@janodvarko.cz
[2010/09/12 02:31:20 | 000,000,000 | ---D | M] (Personas) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\personas@Berndtopher.beard
[2011/03/09 16:37:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan6kct.default\extensions\staged-xpis
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Sunbird\Profiles\xat7e77z.default\extensions
[2007/07/24 13:35:28 | 000,001,653 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\brockhaus.xml
[2007/07/24 13:40:34 | 000,001,949 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\das-telefonbuch.xml
[2007/07/24 13:40:38 | 000,001,270 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\dasrtliche---rckwrtssuche.xml
[2007/07/24 13:36:54 | 000,005,888 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\de-wrterbuch-tu-chemnitz.xml
[2007/07/24 13:43:52 | 000,002,271 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\denic-whois.xml
[2007/07/24 13:43:50 | 000,002,223 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\denic.xml
[2007/07/24 13:36:46 | 000,001,960 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\digitales-wrterbuch-der-deutschen-sprache.xml
[2007/07/24 13:37:24 | 000,001,130 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\duden.xml
[2007/07/24 13:40:44 | 000,001,562 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\gelbe-seiten.xml
[2007/07/24 13:40:46 | 000,001,969 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\goyellow.xml
[2009/07/23 18:54:48 | 000,004,446 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\hyperwords.xml
[2007/07/24 13:40:56 | 000,001,405 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\klicktel-invers.xml
[2007/07/24 13:40:54 | 000,001,406 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\klicktel.xml
[2007/07/24 13:37:56 | 000,002,161 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\l-fremdwoerter.xml
[2007/07/24 13:38:06 | 000,001,039 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\openthesaurus.xml
[2007/07/24 13:28:10 | 000,000,820 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\reimemaschinede.xml
[2009/07/03 05:14:56 | 000,001,289 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\twitter-search.xml
[2007/07/24 13:38:32 | 000,001,906 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\wortschatz-deutsch.xml
[2010/04/22 20:45:22 | 000,002,064 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\youtube-videosuche.xml
[2009/09/21 04:33:54 | 000,004,153 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan6kct.default\searchplugins\youtube.xml
[2011/02/16 17:00:07 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/01/03 00:53:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/02/16 17:00:07 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/02/14 15:19:24 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\bak
[2011/02/02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2010/07/23 01:48:56 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/07/23 01:48:56 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010/07/23 01:48:56 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/07/23 01:48:56 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/07/23 01:48:56 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (FlashFXP Helper for Internet Explorer) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Program Files\FlashFXP\IEFlash.dll (IniCom Networks, Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe (The Eraser Project)
O4 - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SAOB Monitor] C:\Program Files\Acronis\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKCU..\Run: [KiesTrayAgent]  File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [SpywareTerminatorUpdate] C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe (Crawler.com)
O4 - HKCU..\Run: [TrueCrypt] C:\Program Files\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
O4 - HKCU..\Run: [Xpadder] C:\Program Files\Xpadder\Xpadder 5.6\Xpadder.exe ()
O4 - Startup: C:\Users\Bernd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ac'tivAid.lnk = C:\Program Files\ac'tivAid\ac'tivAid.ahk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll - c:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{9cca01f7-591d-11df-a4a5-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{9cca01f7-591d-11df-a4a5-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{9cca01fc-591d-11df-a4a5-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{9cca01fc-591d-11df-a4a5-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{b7583518-e164-11de-93e5-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{b7583518-e164-11de-93e5-806e6f6e6963}\Shell\AutoRun\command - "" = E:\autorun.exe
O33 - MountPoints2\{ec6e34a0-a8c1-11df-8d14-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{ec6e34a0-a8c1-11df-8d14-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{ec6e34a5-a8c1-11df-8d14-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{ec6e34a5-a8c1-11df-8d14-002454425735}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
Drivers32: aux - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\windows\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\windows\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\windows\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\windows\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\windows\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.siren - C:\windows\System32\sirenacm.dll (Microsoft Corporation)
Drivers32: MSVideo8 - C:\windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.i420 - C:\windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: VIDC.IYUV - C:\windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\windows\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\windows\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVU9 - C:\windows\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\windows\System32\msacm32.drv (Microsoft Corporation)

 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/03/09 00:02:50 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Pavark
[2011/03/06 23:05:55 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\Malwarebytes
[2011/03/06 23:05:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/03/06 23:05:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2011/03/06 23:05:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011/03/06 23:05:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2011/03/06 23:05:38 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011/03/04 19:54:01 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\Spyware Terminator
[2011/03/04 19:53:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Spyware Terminator
[2011/03/04 19:53:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator
[2011/03/04 19:53:59 | 000,000,000 | ---D | C] -- C:\Program Files\Spyware Terminator
[2011/03/04 19:46:48 | 000,000,000 | ---D | C] -- C:\Program Files\HashTab Shell Extension
[2011/03/02 03:37:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
[2011/03/02 03:37:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011/03/02 03:37:33 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2011/02/22 03:12:04 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\TV-Browser
[2011/02/22 02:52:56 | 000,000,000 | ---D | C] -- C:\SOUND
[2011/02/22 02:52:56 | 000,000,000 | ---D | C] -- C:\MATERIAL
[2011/02/20 03:25:42 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Documents\LoiLo
[2011/02/16 17:00:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
 
========== Files - Modified Within 30 Days ==========
 
[2011/03/10 02:23:00 | 000,001,118 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1410236154-1455553273-2078879821-1001UA.job
[2011/03/10 02:12:00 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/03/10 01:57:24 | 000,001,090 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/03/10 01:57:19 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011/03/09 21:23:00 | 000,001,066 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1410236154-1455553273-2078879821-1001Core.job
[2011/03/09 17:23:37 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/03/09 17:23:37 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/03/09 17:15:59 | 2406,899,712 | -HS- | M] () -- C:\hiberfil.sys
[2011/03/09 00:26:31 | 000,002,457 | ---- | M] () -- C:\Users\Bernd\Desktop\Google Chrome Canary-Build.lnk
[2011/03/06 23:05:44 | 000,001,031 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/03/04 19:56:08 | 000,001,044 | ---- | M] () -- C:\Users\Public\Desktop\Spyware Terminator.lnk
[2011/03/04 19:54:02 | 000,142,592 | ---- | M] () -- C:\windows\System32\drivers\sp_rsdrv2.sys
[2011/03/02 03:37:40 | 000,001,180 | ---- | M] () -- C:\Users\Bernd\Desktop\Spybot - Search & Destroy.lnk
[2011/02/27 04:34:25 | 000,654,166 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2011/02/27 04:34:25 | 000,616,008 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2011/02/27 04:34:25 | 000,130,006 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2011/02/27 04:34:25 | 000,106,388 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2011/02/20 03:59:45 | 007,109,977 | ---- | M] () -- C:\Users\Bernd\Documents\ohne Titel.wmv
[2011/02/20 03:28:12 | 000,000,000 | RH-- | M] () -- C:\Users\Bernd\AppData\Roaming\7234305b717824c14817afc819e9bb9b
[2011/02/14 01:40:09 | 000,000,306 | RHS- | M] () -- C:\ProgramData\ntuser.pol
[2011/02/09 17:50:24 | 002,379,056 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT
[2011/02/09 04:31:48 | 002,332,763 | ---- | M] () -- C:\Users\Bernd\Desktop\Audiovision HDMI-Probleme vermeiden.pdf
 
========== Files Created - No Company Name ==========
 
[2011/03/06 23:05:44 | 000,001,031 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/03/04 19:56:08 | 000,001,044 | ---- | C] () -- C:\Users\Public\Desktop\Spyware Terminator.lnk
[2011/03/04 19:54:02 | 000,142,592 | ---- | C] () -- C:\windows\System32\drivers\sp_rsdrv2.sys
[2011/03/02 03:37:40 | 000,001,180 | ---- | C] () -- C:\Users\Bernd\Desktop\Spybot - Search & Destroy.lnk
[2011/02/20 03:58:45 | 007,109,977 | ---- | C] () -- C:\Users\Bernd\Documents\ohne Titel.wmv
[2011/02/20 03:28:12 | 000,000,000 | RH-- | C] () -- C:\Users\Bernd\AppData\Roaming\7234305b717824c14817afc819e9bb9b
[2011/02/09 04:31:48 | 002,332,763 | ---- | C] () -- C:\Users\Bernd\Desktop\Audiovision HDMI-Probleme vermeiden.pdf
[2011/01/19 02:09:52 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2010/11/17 07:35:33 | 000,110,592 | ---- | C] () -- C:\windows\System32\FsUsbExDevice.Dll
[2010/11/17 07:35:33 | 000,036,640 | ---- | C] () -- C:\windows\System32\FsUsbExDisk.Sys
[2010/10/25 10:09:56 | 000,974,848 | ---- | C] () -- C:\windows\System32\cis-2.4.dll
[2010/10/25 10:09:56 | 000,081,920 | ---- | C] () -- C:\windows\System32\issacapi_bs-2.3.dll
[2010/10/25 10:09:56 | 000,065,536 | ---- | C] () -- C:\windows\System32\issacapi_pe-2.3.dll
[2010/10/25 10:09:56 | 000,057,344 | ---- | C] () -- C:\windows\System32\issacapi_se-2.3.dll
[2010/08/30 18:12:13 | 000,000,193 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
[2010/04/29 23:41:55 | 000,281,760 | ---- | C] () -- C:\windows\System32\drivers\atksgt.sys
[2010/04/29 23:41:55 | 000,025,888 | ---- | C] () -- C:\windows\System32\drivers\lirsgt.sys
[2010/03/16 01:37:07 | 000,000,483 | ---- | C] () -- C:\windows\rsagent.ini
[2010/03/16 01:35:19 | 000,373,248 | ---- | C] () -- C:\windows\EyeCand3.INI
[2010/03/01 17:00:37 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010/02/25 01:23:29 | 000,023,699 | ---- | C] () -- C:\windows\hpqins15.dat
[2010/02/25 01:03:04 | 000,234,706 | ---- | C] () -- C:\windows\hpoins21.dat
[2010/02/25 01:03:04 | 000,005,474 | ---- | C] () -- C:\windows\hpomdl21.dat
[2010/02/21 02:14:55 | 000,001,632 | ---- | C] () -- C:\windows\System32\wa7nowrt.dll
[2010/02/19 20:51:33 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2010/02/10 05:58:14 | 000,040,588 | ---- | C] () -- C:\windows\System32\nvcoproc.bin
[2009/12/05 23:15:51 | 000,654,166 | ---- | C] () -- C:\windows\System32\perfh007.dat
[2009/12/05 23:15:51 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat
[2009/12/05 23:15:51 | 000,130,006 | ---- | C] () -- C:\windows\System32\perfc007.dat
[2009/12/05 23:15:51 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat
[2009/12/05 06:11:50 | 000,307,200 | ---- | C] () -- C:\windows\SetDisplayResolution.exe
[2009/12/05 05:29:32 | 000,000,002 | ---- | C] () -- C:\windows\HotFixList.ini
[2009/07/14 05:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat
[2009/07/14 05:33:53 | 002,379,056 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT
[2009/07/14 03:05:48 | 000,616,008 | ---- | C] () -- C:\windows\System32\perfh009.dat
[2009/07/14 03:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat
[2009/07/14 03:05:48 | 000,106,388 | ---- | C] () -- C:\windows\System32\perfc009.dat
[2009/07/14 03:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat
[2009/07/14 03:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT
[2009/07/14 03:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat
[2009/07/14 00:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin
[2009/07/14 00:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll
[2009/07/14 00:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll
[2009/07/13 23:09:19 | 000,982,196 | ---- | C] () -- C:\windows\System32\igkrng500.bin
[2009/07/13 23:09:19 | 000,417,344 | ---- | C] () -- C:\windows\System32\igcompkrng500.bin
[2009/07/13 23:09:19 | 000,139,824 | ---- | C] () -- C:\windows\System32\igfcg500.bin
[2009/07/13 23:09:19 | 000,097,448 | ---- | C] () -- C:\windows\System32\igfcg500m.bin
[2009/06/10 22:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat
[2008/10/22 05:29:06 | 000,173,550 | ---- | C] () -- C:\windows\System32\xlive.dll.cat
[2007/04/27 10:43:58 | 000,120,200 | ---- | C] () -- C:\windows\System32\DLLDEV32i.dll
[2006/10/08 11:33:54 | 000,000,000 | ---- | C] () -- C:\windows\R-series.ini
 
========== LOP Check ==========
 
[2010/02/25 05:39:24 | 000,000,000 | -HSD | M] -- C:\Users\Bernd\AppData\Roaming\.#
[2010/02/24 14:55:39 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\ac'tivAid
[2010/08/07 04:34:21 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Acronis
[2010/09/21 00:53:30 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Bioshock
[2010/02/22 20:54:45 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Buhl Data Service
[2010/09/06 13:54:31 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Buhl Data Service GmbH
[2010/09/11 04:07:52 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\C9EEA19D-0368-4C0F-BC89-A12A5713BE14
[2010/04/27 00:06:14 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\DAEMON Tools Lite
[2010/02/23 03:18:18 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\DataDesign
[2010/02/22 14:38:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\FlashFXP
[2010/02/22 04:45:40 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\GameConsole
[2010/02/19 23:43:40 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\GHISLER
[2010/11/08 01:20:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\gnupg
[2010/03/02 04:38:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\IrfanView
[2010/03/18 02:31:48 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\jpg-Illuminator
[2010/03/12 17:27:16 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Kobi Pinhasov
[2010/02/20 03:13:31 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Leadertech
[2010/02/22 20:54:38 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\LetsTrade
[2011/01/14 03:25:25 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\MAGIX
[2010/10/01 23:41:36 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Mp3tag
[2010/11/22 20:11:34 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\MyPhoneExplorer
[2010/02/22 00:12:58 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Notepad++
[2010/04/26 03:14:17 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org
[2010/02/25 00:58:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org.alt
[2010/04/26 02:39:15 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org.alt2
[2011/01/13 16:06:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Publish Providers
[2010/11/17 07:34:37 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Samsung
[2011/01/25 02:35:36 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\ScreeNet iSaver
[2010/03/29 15:49:37 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\sobees Ltd
[2011/01/13 16:20:05 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Sony
[2010/05/09 04:08:02 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\SpieleEntwicklungsKombinat
[2011/03/09 00:47:09 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Spyware Terminator
[2010/09/24 16:27:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TeamViewer
[2010/03/31 22:19:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Thunderbird
[2010/08/31 00:52:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TrueCrypt
[2011/03/10 02:47:09 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TV-Browser
[2010/03/29 15:52:57 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[2011/02/22 03:01:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\uTorrent
[2010/02/23 15:08:15 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Windows Live Writer
[2011/03/04 14:13:10 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\WLWTemplates
[2010/06/30 03:40:47 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\XRay Engine
[2011/03/06 22:50:48 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010/12/25 17:57:10 | 000,002,006 | ---- | M] () -- C:\aqua_bitmap.cpp
[2009/06/10 22:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009/06/10 22:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011/03/09 17:15:59 | 2406,899,712 | -HS- | M] () -- C:\hiberfil.sys
[2010/03/16 01:42:44 | 000,001,248 | -HS- | M] () -- C:\jxxjaezn.sys
[2011/03/09 17:16:02 | 3209,199,616 | -HS- | M] () -- C:\pagefile.sys
[2010/03/24 00:42:21 | 000,002,167 | ---- | M] () -- C:\RHDSetup.log
[2010/03/24 00:42:21 | 000,000,206 | ---- | M] () -- C:\setup.log
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2009/07/14 05:52:25 | 000,026,040 | ---- | M] () -- C:\windows\Fonts\GlobalMonospace.CompositeFont
[2009/07/14 05:52:25 | 000,026,489 | ---- | M] () -- C:\windows\Fonts\GlobalSansSerif.CompositeFont
[2009/07/14 05:52:25 | 000,029,779 | ---- | M] () -- C:\windows\Fonts\GlobalSerif.CompositeFont
[2009/07/14 05:52:25 | 000,043,318 | ---- | M] () -- C:\windows\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009/06/10 22:31:19 | 000,000,065 | ---- | M] () -- C:\windows\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2009/07/14 02:15:26 | 000,280,064 | ---- | M] (Hewlett-Packard Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\hpzppw71.dll
[2009/07/14 02:15:35 | 000,022,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\jnwppr.dll
[2006/10/26 19:56:12 | 000,033,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\msonpppr.dll
[2009/07/14 02:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
[2009/11/16 08:27:16 | 019,480,587 | ---- | M] () -- C:\Windows\Crystal Delight.scr
[2008/02/20 08:50:28 | 000,903,680 | ---- | M] (Jan Kolarik & Ondrej Vaverka) -- C:\Windows\R-series.scr
[2010/04/17 00:45:28 | 000,307,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\WLXPGSS.SCR
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009/07/14 05:41:57 | 000,000,174 | -HS- | M] () -- C:\Program Files\desktop.ini
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2009/07/14 02:15:13 | 000,346,112 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\dxtmsft.dll
[2009/07/14 02:15:13 | 000,215,552 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\dxtrans.dll
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\system32\user32.dll /md5 >
[2009/07/14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2009/07/14 02:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2009/07/14 02:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2009/10/06 07:06:36 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_523cdab8f40fe558\explorer.exe
[2009/07/14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009/08/03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009/08/03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009/10/31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
[2009/10/06 06:53:03 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_51c00e6ddae85c4b\explorer.exe
 
< MD5 for: WININIT.EXE  >
[2009/07/14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009/07/14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009/10/28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009/10/28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009/10/28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009/07/14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-09 15:53:51
 
<           >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54

< End of report >

Extras

Code:

ATTFilter

OTL Extras logfile created on: 3/10/2011 2:48:28 AM - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Bernd\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 65.00% Memory free
6.00 Gb Paging File | 5.00 Gb Available in Paging File | 80.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 450.66 Gb Total Space | 68.76 Gb Free Space | 15.26% Space Free | Partition Type: NTFS
 
Computer Name: Bernd-NOTEBOOK | User Name: Bernd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [RapidShareManagerMail] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -mailto  "%1" (RapidShare AG)
Directory [RapidShareManagerUpload] -- C:\Program Files\RapidShareManager\RapidShareManager.exe -sendto  "%1" (RapidShare AG)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\FlashFXP\FlashFXP.exe" = C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\FlashFXP\FlashFXP.exe" = C:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{04A3A6B0-8E19-49BB-82FF-65C5A55F917D}" = Acronis*True*Image*Home 2011
"{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4
"{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{06E6E30D-B498-442F-A943-07DE41D7F785}" = Microsoft Search Enhancement Pack
"{0840B4D6-7DD1-4187-8523-E6FC0007EFB7}" = Windows Live ID-Anmelde-Assistent
"{08B3869E-D282-424C-9AFC-870E04A4BA14}" = Rockstar Games Social Club
"{09771D9C-7134-400F-B7D5-76929D5B59EE}" = WinLiveZipper
"{098727E1-775A-4450-B573-3F441F1CA243}" = kuler
"{0EF5BEA9-B9D3-46d7-8958-FB69A0BAEACC}" = Status
"{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4
"{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{178EE5F4-0F86-4BF0-A0D1-9790AFF409D1}" = EasyBatteryManager
"{18C9716F-C906-441F-BA66-CABAA5CB2DCE}" = Adobe XMP Panels CS4
"{1EC71BFB-01A3-4239-B6AF-B1AE656B15C0}" = TrayApp
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20EFC9AA-BBC1-4DFD-81FF-99654F71CBF8}" = HPPhotoSmartDiscLabel_PrintOnDisc
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{28773E11-6E44-46DC-90BD-273A3FA2CAC1}" = Adobe Setup
"{2A22FD79-42F4-4D62-A233-3F70C6376C01}" = Snippets Manager for Windows Live Writer
"{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm
"{2FF8C687-DB7D-4adc-A5DC-57983EC25046}" = DeviceDiscovery
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3C92B2E6-380D-4fef-B4DF-4A3B4B669771}" = Copy
"{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{3EED7541-55F8-4DC6-B9CD-28762D71310E}" = Samsung R-Series
"{406FB8A4-F539-48A9-809C-F94706F9C9F6}_is1" = S.T.A.L.K.E.R. - Call Of Pripyat [v1.6.01]
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{428FDF9F-E010-4C4C-A8BB-156960AFCA1C}" = Adobe Fireworks CS4
"{43CDF946-F5D9-4292-B006-BA0D92013021}" = WebReg
"{440B915A-0C85-45DB-92AE-75AE14704A64}" = Fax
"{458207CA-1B0C-4A35-AEDF-9C9D5B0579C5}" = Livestream Procaster
"{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter
"{4E7C28C7-D5DA-4E9F-A1CA-60490B54AE35}" = UnloadSupport
"{5454083B-1308-4485-BF17-1110000B8301}" = Grand Theft Auto IV
"{5454083B-1308-4485-BF17-1110000B8302}" = Grand Theft Auto IV
"{5454083B-1308-4485-BF17-1110000B8303}" = Grand Theft Auto IV
"{5454083B-1308-4485-BF17-1110000B8304}" = Grand Theft Auto IV
"{5454083B-1308-4485-BF17-1110000D8301}" = Grand Theft Auto IV
"{579BA58C-F33D-4970-9953-B94B43768AC3}" = Grand Theft Auto IV
"{586509F0-350D-48B5-B763-9CC2F8D96C4C}" = Windows Live Sync
"{59E4543A-D49D-4489-B445-473D763C79AF}" = Microsoft Games for Windows - LIVE Redistributable
"{5BD6DE00-9A77-4A63-801C-AEDD38C5176B}" = TagCreator for Windows Live Writer
"{63eafc52-b963-4297-a7eb-d412944e7065}_is1" = Game Pack
"{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2
"{681B698F-C997-42C3-B184-B489C6CA24C9}" = HPPhotoSmartDiscLabelContent1
"{685B0843-6C8D-4E42-B60D-2B86B45526E0}" = PS_AIO_02_Software_Min
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6B2FFB21-AC88-45C3-9A7D-4BB3E744EC91}" = HPSSupply
"{6BBA26E9-AB03-4FE7-831A-3535584CA002}" = Toolbox
"{6FED7B0F-E870-4606-B87D-444514E4A891}" = Twitter Plugin for Windows Live Writer
"{70AA9B4F-64F7-4B0D-ADD8-05802D61AF72}" = Windows Live Toolbar
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75247E38-5C9B-45D6-ADF8-E11CB56B4990}" = Network
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112920767}" = Alice Greenfingers
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-114072167}" = Go-Go Gourmet
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-115053100}" = Dairy Dash
"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11531173}" = Farm Frenzy 2
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4
"{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4
"{846B5DED-DC8C-4E1A-B5B4-9F5B39A0CACE}" = HPDiagnosticAlert
"{850C7BD3-9F3F-46AD-9396-E7985B38C55E}" = Windows Live Fotogalerie
"{853F8A41-A3C9-43FA-87FA-1AE74FC6F3F7}" = BatteryLifeExtender
"{8933F8EE-26E2-41A7-A6CF-2DC66869C102}" = ArcSoft Print Creations
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{8E5233E1-7495-44FB-8DEB-4BE906D59619}" = Junk Mail filter update
"{8FF6F5CA-4E30-4E3B-B951-204CAAA2716A}" = SmartWebPrinting
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}" = 32 Bit HP CIO Components Installer
"{92D50865-FC60-4EA8-BA7A-5581B0D13EFB}" = ChargeableUSB
"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4
"{94F8D42D-BB31-4858-9705-7D756D8D9655}" = PS_AIO_02_Software
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v3
"{988329F4-A1A1-4D51-803C-EF2725A97627}" = HP Photosmart All-In-One Driver Software 13.0 Rel. 2
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = WIDCOMM Bluetooth Software
"{A2759A66-B99E-4A62-9DFD-325F3AF7F717}" = <hr/> LiveWriter Plugin
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A498D9EB-927B-459B-85D6-DD6EF8C2C564}" = erLT
"{A7496F46-78AE-4DB2-BCF5-95F210FA6F96}" = Windows Live Movie Maker
"{A8833100-1481-11D4-9731-00C04F8EEB39}" = Macromedia Fireworks 4
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC4BDEB4-E06A-4605-B5D2-2FE6750681A5}" = HD Writer AE 2.1
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B0069CFA-5BB9-4C03-B1C6-89CE290E5AFE}" = HP Update
"{B28635AB-1DF3-4F07-BFEA-975D911B549B}" = hpphotosmartdisclabelplugin
"{B29AD377-CC12-490A-A480-1452337C618D}" = Connect
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B4B2096B-B13E-408E-8985-BD07463D5487}" = PS_AIO_02_ProductContext
"{B660E0D0-A8CB-45A7-96FB-93E8C915A0B2}" = Easy Network Manager
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module
"{BC14E9A8-E41F-4345-BAB3-2EC6CC315085}" = Eraser 6.0.6.1376
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{C59CF2CE-B302-4833-AA35-E0E07D8EBC52}_is1" = SRWare Iron 7.0.520.0
"{c600ab3d-8b64-41df-bf36-b3d87ce0706b}" = C7200_Help
"{C867F57B-39C1-4341-A164-F569839BCCBF}" = Cards
"{CAE4213F-F797-439D-BD9E-79B71D115BE3}" = HPPhotoGadget
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw
"{CCC2B140-B47A-45FA-AAE3-BD60DA41AE00}" = Samsung Support Center
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D1434266-0486-4469-B338-A60082CC04E1}" = Atheros Client Installation Program
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}" = Samsung Update Plus
"{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}" = DIE SIEDLER - Aufstieg eines Königreichs
"{D6C630BF-8DBB-4042-8562-DC9A52CB6E7E}" = Intel(R) Turbo Boost Technology Driver
"{D6CD26FD-CD7F-4C86-96A3-EEBFABE5FE47}" = Kies
"{D79113E7-274C-470B-BD46-01B10219DF6A}" = HPPhotosmartEssential
"{D86B0E2E-DF9A-441C-AF77-8D1A0FF00FA6}" = AIO_Scan
"{D9D8F2CF-FE2D-4644-9762-01F916FE90A9}" = HPPhotoSmartDiscLabel_PaperLabel
"{DE787736-66F0-4BD9-884B-E4BCA3661646}" = Adobe ExtendScript Toolkit CS4
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E280923D-C5D9-4728-8C79-AC9A0DC75875}" = BioShock
"{E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E59113EB-0285-4BFD-A37A-B79EAC6B8F4B}" = Microsoft SQL Server Compact 3.5 SP1 English
"{E9A55E1F-777E-4EB8-AAF8-3FF6340F426F}" = Dynamic Template Plug-in for Windows Live Writer
"{EAA01BA0-6991-4296-A404-4FFF2DAC2225}" = ParaWorld
"{EE5926BD-9590-48A3-AB1E-C1C49575823D}" = C7200
"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager
"{EFCEF949-9821-4759-A573-3EB8C857DF46}" = Windows Live Family Safety
"{F04F9557-81A9-4293-BC49-2C216FA325A7}" = ArcSoft Print Creations - Greeting Card
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1ED5BD7-4770-4037-9CBD-5DF9A5BEC408}" = Plus Pack für Acronis True Image Home 2011
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4
"{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All
"{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"755087041320E005CB1E8A67C5C55A260EB81B90" = Windows Driver Package - Broadcom Bluetooth  (09/11/2009 6.2.0.9407)
"A6A8668C0A13640CA28FE2A7D9654BE4AE478B13" = Windows Driver Package - Broadcom Bluetooth  (07/30/2009 6.2.0.9405)
"ac'tivAid" = ac'tivAid v1.3.2 beta1
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe_ccb135070a90ff24d6e7cc4bc5a59cb" = Adobe Fireworks CS4
"Audiograbber" = Audiograbber 1.83 SE 
"Audiograbber-Lame" = Audiograbber Lame-MP3-Plugin
"AutoHotkey" = AutoHotkey 1.0.47.06
"Avira AntiVir Desktop" = Avira AntiVir Premium
"BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800)
"Google Chrome" = Google Chrome
"HashTab" = HashTab 4.0.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"HP Imaging Device Functions" = HP Imaging Device Functions 13.0
"HP Photosmart Essential" = HP Photosmart Essential 3.5
"HP Smart Web Printing" = HP Smart Web Printing 4.60
"HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0
"HPExtendedCapabilities" = HP Customer Participation Program 13.0
"HPOCR" = OCR Software by I.R.I.S. 13.0
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite
"InstallShield_{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}" = CyberLink PowerDVD 8
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"InstallShield_{D6CD26FD-CD7F-4C86-96A3-EEBFABE5FE47}" = Kies
"InstallShield_{FEFAF112-4DA8-479C-89E2-7DE25091711A}" = Call of Juarez - Bound in Blood
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mobile Partner" = Mobile Partner
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)
"Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9)
"Mp3tag" = Mp3tag v2.47a
"MPE" = MyPhoneExplorer
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"RapidShare Manager" = RapidShare Manager
"RealPlayer 12.0" = RealPlayer
"S.T.A.L.K.E.R. - Clear Sky_is1" = S.T.A.L.K.E.R. - Clear Sky
"S.T.A.L.K.E.R. - Shadow of Chernobyl_is1" = S.T.A.L.K.E.R. - Shadow of Chernobyl
"S2TNG" = Die Siedler II - Die nächste Generation
"Shop for HP Supplies" = Shop for HP Supplies
"SP6" = Logitech SetPoint 6.15
"Spyware Terminator_is1" = Spyware Terminator
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Totalcmd" = Total Commander (Remove or Repair)
"TrueCrypt" = TrueCrypt
"tvbrowser" = TV-Browser 3.0-RC3
"VLC media player" = VLC media player 1.1.6
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"f9a9ef3325f8e69e" = Sobees
"Google Chrome SxS" = Google Chrome Canary-Build
"GoToMeeting" = GoToMeeting 4.5.0.456
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 2/26/2011 8:44:58 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
 Support Center\Drv\drv2x64\KStartMem.exe.Manifest".  Die abhängige Assemblierung 
"Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/26/2011 8:45:36 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Acronis\TrueImageHome\BartPE\Files\TrueImage.exe".
Die
 abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",type="win32",version="8.0.50727.762""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/26/2011 8:45:40 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
 abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/26/2011 8:45:42 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 2/26/2011 8:45:48 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Adobe\Adobe
 Fireworks CS4\Configuration\Win\Shared\AdobeAIR\SDK\runtime\Adobe AIR\Versions\1.0\Adobe
 AIR.dll". Fehler in Manifest- oder Richtliniendatei "C:\Program Files\Adobe\Adobe
 Fireworks CS4\Configuration\Win\Shared\AdobeAIR\SDK\runtime\Adobe AIR\Versions\1.0\Adobe
 AIR.dll" in Zeile 3.  Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR"
 des "version"-Attributs im assemblyIdentity-Element ist ungültig.
 
Error - 2/26/2011 11:06:28 PM | Computer Name = Bernd-Notebook | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 2/27/2011 7:42:31 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\Samsung
 Support Center\Drv\drv2x64\KStartMem.exe.Manifest".  Die abhängige Assemblierung 
"Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/27/2011 7:43:09 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Acronis\TrueImageHome\BartPE\Files\TrueImage.exe".
Die
 abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",type="win32",version="8.0.50727.762""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/27/2011 7:43:12 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Samsung\BatteryLifeExtender\Drv\SABI2x64\KStartMem.exe.Manifest".
Die
 abhängige Assemblierung "Microsoft.Windows.Common-Controls,language="&#x2a;",processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.0.0""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 2/27/2011 7:43:15 PM | Computer Name = Bernd-Notebook | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\Common
 Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder Richtliniendatei
 "C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll" in Zeile 3.
Der
 Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR" des "version"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
[ Media Center Events ]
Error - 3/22/2010 11:01:59 AM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 16:01:51 - Broadband konnte nicht abgerufen werden (Fehler: Die zugrunde
 liegende Verbindung wurde geschlossen: Für den geschützten SSL/TLS-Kanal konnte
 keine Vertrauensstellung hergestellt werden..)  
 
Error - 4/11/2010 11:13:58 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 05:13:58 - Fehler beim Herstellen der Internetverbindung.  05:13:58 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 4/11/2010 11:14:04 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 05:14:03 - Fehler beim Herstellen der Internetverbindung.  05:14:03 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 4/14/2010 11:10:59 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 05:10:59 - Fehler beim Herstellen der Internetverbindung.  05:10:59 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 4/14/2010 11:11:06 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 05:11:04 - Fehler beim Herstellen der Internetverbindung.  05:11:04 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 3/6/2011 6:45:21 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 23:45:20 - Fehler beim Herstellen der Internetverbindung.  23:45:21 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 3/6/2011 6:45:37 PM | Computer Name = Bernd-Notebook | Source = MCUpdate | ID = 0
Description = 23:45:27 - Fehler beim Herstellen der Internetverbindung.  23:45:27 
-     Serververbindung konnte nicht hergestellt werden..  
 
[ System Events ]
Error - 3/5/2011 9:47:19 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/6/2011 7:00:25 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/6/2011 9:35:15 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/8/2011 9:09:42 AM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/8/2011 11:11:24 AM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/8/2011 12:40:05 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/9/2011 10:38:17 AM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/9/2011 11:50:27 AM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/9/2011 12:08:29 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
Error - 3/9/2011 6:04:40 PM | Computer Name = Bernd-Notebook | Source = bowser | ID = 8003
Description = 
 
 
< End of report >

Swisstreasure · 10.03.2011, 17:02

Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Mist einmal deinen Thunderbird Ordner aus:
C:\Users\Bernd\Documents\_MeineDokumente\_Bernd_Backup\Thunderbird

Schritt 3

Datei-Überprüfung bei VirusTotal

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send filei" nach VirusTotal hochladen und prüfen lassen. Beim Firefox mit NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, zunächst den vierzeiligen Kopf hier in den Thread kopieren, damit ich sehe, welche Datei Du wann hast prüfen lassen. Sieht ungefähr so aus:

Code:

ATTFilter

File name:
mbr.exe
Submission date:
2010-09-08 07:58:01 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)

Nun kleinen Button "Compact" links oberhalb der Ergebnisse drücken und auf den Reiter BBCode klicken und das Ergebnis inkl. MD5 und SHA1 kopieren und hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Code:

ATTFilter

C:\jxxjaezn.sys

Schritt 4

Downloade Dir bitte VundoFix

Speichere die Datei auf dem Desktop.
Doppelklick auf die VundoFix.exe
Klicke Scan for Vundo
When der Scan beendet wurde klicke Remove Vundo
Wenn Du gefragt wirst ob du die Dateien löschen willst klicke Yes
Der Desktop wird wahrscheinlich verschwinden. Das ist normal.
Wenn Du nach einem Neustart gefragt wirst, bestätige dies mit Ja.

Bernd1978 · 11.03.2011, 02:18

Hallo,

Vielen Dank schon mal.

bytheway: nach einem reboot heute wurde die Ordneransicht automatisch auf standardwerte zurückgesetzt: bekannte Dateinamen ausblenden etc.
Nichts welt bewegendes und wieder hergestellt, doch ungewöhnlich.

VirusTotalScan

Code:

ATTFilter

File name:
jxxjaezn.sys
Submission date:
2011-03-11 00:45:55 (UTC)
Current status:
queued queued (#2) analysing finished
Result:
0/ 43 (0.0%)

gmer
stürzt nach wie vor beim scannen ab. Beim restart ohne reboot=bluescreen
Nach Anleitung IAT/EAT, ADS und Show all aus.
Teatimer nach Anleitung ausgschaltet--reboot--Scan--Absturz.
Spybot SD deinstaliert--reboot--Scan--Absturz.
SybotTerminator deinstalliert--reboot--Scan--Absturz.
Mit Absturz meine ich "Programm reagiert nicht mehr. schließen?"
Avira vor Scan immer per rechtsclick alle 3Guards aus.

Vor einigen Tagen und vor unserem Kontakt habe ich GMER allerdings schon einmal ausgeführt. Allerdings ohne "als Admin ausführen" soweit ich mich erinnere und mit noch installiertem DaemonToolLite.

Das Log von damals:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-06 23:53:43
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 SAMSUNG_ rev.2AC1
Running: 8gpmnqsh.exe; Driver: C:\Users\Bernd\AppData\Local\Temp\awdyraoc.sys


---- System - GMER 1.0.15 ----

SSDT            92330CA3                                                                                                            ZwLoadDriver
SSDT            92330CA8                                                                                                            ZwSetSystemInformation
SSDT            92330C67                                                                                                            ZwTerminateProcess
SSDT            92330C62                                                                                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                     83682589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                              836A7092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 45C                                                                                 836AEA6C 4 Bytes  [A3, 0C, 33, 92]
.text           ntkrnlpa.exe!RtlSidHashLookup + 768                                                                                 836AED78 4 Bytes  [A8, 0C, 33, 92]
.text           ntkrnlpa.exe!RtlSidHashLookup + 7B8                                                                                 836AEDC8 4 Bytes  [67, 0C, 33, 92]
.text           ntkrnlpa.exe!RtlSidHashLookup + 82C                                                                                 836AEE3C 4 Bytes  [62, 0C, 33, 92] {BOUND ECX, [EBX+ESI]; XCHG EDX, EAX}
?               System32\Drivers\spos.sys                                                                                           Das System kann den angegebenen Pfad nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                               9396ACA0 5 Bytes  JMP 88E381D8 
.text           arbdjbee.SYS                                                                                                        93192000 12 Bytes  [44, D8, 60, 83, EE, D6, 60, ...]
.text           arbdjbee.SYS                                                                                                        9319200D 9 Bytes  [B7, 60, 83, 48, DB, 60, 83, ...] {MOV BH, 0x60; OR DWORD [EAX-0x25], 0x60; ADD DWORD [EAX], 0x0}
.text           arbdjbee.SYS                                                                                                        93192017 20 Bytes  [00, DE, 47, DA, 8B, E6, 45, ...]
.text           arbdjbee.SYS                                                                                                        9319202C 20 Bytes  [00, 00, 00, 00, C0, D1, 67, ...]
.text           arbdjbee.SYS                                                                                                        93192041 128 Bytes  [76, 6A, 83, 60, 75, 6A, 83, ...]
.text           ...                                                                                                                 
.text           C:\windows\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0x9FAA3300, 0x3B6D8, 0xE8000020]
.text           C:\windows\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0x9FAE6300, 0x1BEE, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                            [8BCA8042] \SystemRoot\System32\Drivers\spos.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                           [8BCA86D6] \SystemRoot\System32\Drivers\spos.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                    [8BCA8800] \SystemRoot\System32\Drivers\spos.sys
IAT             \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                     [8BCA813E] \SystemRoot\System32\Drivers\spos.sys
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortNotification]                                          00147880
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortQuerySystemTime]                                       78800C75
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortReadPortUchar]                                         06750015
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortStallExecution]                                        C25DC033
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortWritePortUchar]                                        458B0008
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortWritePortUlong]                                        6A006A08
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortGetPhysicalAddress]                                    50056A24
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong]                         005AB7E8
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortGetScatterGatherList]                                  0001B800
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortGetParentBusType]                                      C25D0000
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortRequestCallback]                                       CCCC0008
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortWritePortBufferUshort]                                 CCCCCCCC
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortGetUnCachedExtension]                                  CCCCCCCC
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortCompleteRequest]                                       CCCCCCCC
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortCopyMemory]                                            53EC8B55
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortEtwTraceLog]                                           800C5D8B
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]                             7500117B
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]                                127B806A
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]                                  80647500
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortReadPortBufferUshort]                                  7500137B
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortInitialize]                                            157B805E
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortGetDeviceBase]                                         56587500
IAT             \SystemRoot\System32\Drivers\arbdjbee.SYS[ataport.SYS!AtaPortDeviceStateChange]                                     8008758B

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                     [743F2494] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                [743D5624] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                               [743D56E2] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipFree]                                      [743F250F] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                            [743E8573] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                              [743E4D27] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                             [743E50CE] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                            [743E51A3] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]                   [743E66D0] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                             [743E82CA] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                        [743E8819] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                      [743E907A] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                            [743EE21D] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\windows\Explorer.EXE[2440] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                [743E4C59] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]               [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]              [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]             [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress]              [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT             C:\Windows\System32\rundll32.exe[6020] @ C:\windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]              [75845E25] C:\windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device                                                                                                                              85F791F8
Device                                                                                                                              Ntfs.sys (NT-Dateisystemtreiber/Microsoft Corporation)

AttachedDevice                                                                                                                      tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{950DA0D3-753E-4406-B72F-1BBAEDF93390}                                            88F44500

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                             Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

Device          \Driver\volmgr \Device\VolMgrControl                                                                                85F731F8
Device          \Driver\usbehci \Device\USBPDO-0                                                                                    88E351F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                    88E351F8

AttachedDevice                                                                                                                      fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000058                                                                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device          \Driver\cdrom \Device\CdRom0                                                                                        88D7A500
Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                  [8C081420] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                       [8C081420] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                              iaStor.sys (Intel Rapid Storage Technology driver - x86/Intel Corporation)
Device          \Driver\PCI_PNP1827 \Device\00000069                                                                                spos.sys
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             88F44500
Device          \Driver\usbehci \Device\USBFDO-0                                                                                    88E351F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                    88E351F8
Device          \Driver\sptd \Device\957369832                                                                                      spos.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{EA5FFB13-942A-4BFE-8062-4E8F59AD1F02}                                            88F44500
Device          \Driver\arbdjbee \Device\Scsi\arbdjbee1                                                                             88E781F8

---- Threads - GMER 1.0.15 ----

Thread          SYSTEM [4:2532]                                                                                                     A60F0F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0026b6b1ae2e                                         
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0026b6b1ae2e@d4e8b2510e7a                            0x4F 0x37 0x2F 0xBA ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0c6076fedf8b                                         
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xC7 0x41 0x72 0x4B ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xEC 0x13 0xD5 0x38 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x50 0xE7 0x20 0xD1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                0xE0 0xA5 0x3B 0x8F ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0026b6b1ae2e (not active ControlSet)                     
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0026b6b1ae2e@d4e8b2510e7a                                0x4F 0x37 0x2F 0xBA ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0c6076fedf8b (not active ControlSet)                     
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xC7 0x41 0x72 0x4B ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xEC 0x13 0xD5 0x38 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x50 0xE7 0x20 0xD1 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                    0xE0 0xA5 0x3B 0x8F ...

---- EOF - GMER 1.0.15 ----

Swisstreasure · 11.03.2011, 16:06

Wo bleibt Schritt 4?

Bernd1978 · 12.03.2011, 00:36

Hallo,

Schritt4:
Die Datei Users\***\AppData\Roaming\KBDKORI.dll" hatte ich bereits nach der ersten Avira Meldung per Hand gelöscht.
Der Vundo Scan meldet jetzt keine Infektionen.

gmer
Der Scan bleibt bei Device\Harddisk\VolumeShadowCopy1 reproduzierbar hängen.
Dann GMER restart ohne reboot immer bluescreen.

Thunderbird
alle entspechenden Dateien gelöscht. Ich hoffe ich hab den Überblick behalten.

Swisstreasure · 12.03.2011, 23:15

Schritt 1

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bernd1978 · 13.03.2011, 23:17

Hallo,
könntest Du mir mal eine Einschätzung geben, wie schwer der Befall bei mir ist, bzw. ob das System Deiner Meinung nach zu retten ist.

Schritt1
ich möchte meinen Rechner nicht schutzlos ins Netz hängen. Wenn Du eine weitere Scanengine benötigst gibt es doch sicherlich Alternativen als meinen Rechner schutzlos online durchsuchen zu lassen.

Schritt 2
OTL schmeißt mir keine Extras.txt logs raus!?
nur die otl.txt:

Code:

ATTFilter

OTL logfile created on: 3/13/2011 10:54:25 PM - Run 3
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Bernd\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 63.00% Memory free
6.00 Gb Paging File | 5.00 Gb Available in Paging File | 80.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 450.66 Gb Total Space | 72.20 Gb Free Space | 16.02% Space Free | Partition Type: NTFS
Drive E: | 3.12 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF
 
Computer Name: Bernd-NOTEBOOK | User Name: Bernd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011/03/13 22:25:59 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
PRC - [2011/03/08 13:44:52 | 000,421,032 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010/12/08 15:15:29 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010/11/02 12:09:15 | 000,339,624 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010/11/02 12:09:15 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010/11/02 12:09:15 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010/10/26 12:16:46 | 001,649,152 | ---- | M] () -- C:\Program Files\Xpadder\Xpadder 5.6\Xpadder.exe
PRC - [2010/10/25 10:03:52 | 000,217,088 | ---- | M] (Teruten) -- C:\Windows\System32\FsUsbExService.Exe
PRC - [2010/09/11 04:07:50 | 003,975,088 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
PRC - [2010/09/08 04:04:48 | 000,391,296 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
PRC - [2010/09/08 04:04:44 | 000,780,504 | ---- | M] (Acronis) -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
PRC - [2010/09/08 04:04:00 | 005,514,296 | ---- | M] (Acronis) -- C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2010/09/02 16:15:54 | 002,570,688 | ---- | M] (Acronis) -- C:\Program Files\Acronis\OnlineBackupStandalone\TrueImageMonitor.exe
PRC - [2010/08/13 15:25:58 | 001,492,944 | ---- | M] (TrueCrypt Foundation) -- C:\Program Files\TrueCrypt\TrueCrypt.exe
PRC - [2010/06/26 01:15:32 | 001,311,312 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Logitech\SetPointP\SetPoint.exe
PRC - [2010/06/22 20:09:20 | 000,112,208 | ---- | M] (Logitech, Inc.) -- C:\Program Files\Common Files\Logishrd\KHAL3\KHALMNPR.exe
PRC - [2010/03/24 23:49:26 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009/12/15 08:46:48 | 000,976,784 | ---- | M] (The Eraser Project) -- C:\Program Files\Eraser\Eraser.exe
PRC - [2009/11/04 05:11:48 | 000,835,072 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
PRC - [2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009/10/26 12:53:14 | 000,091,136 | ---- | M] (SAMSUNG Electronics) -- C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
PRC - [2009/10/02 17:48:26 | 000,795,936 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2009/10/02 17:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
PRC - [2009/07/14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009/07/14 02:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2008/03/09 16:12:24 | 000,240,640 | ---- | M] () -- C:\Program Files\AutoHotkey\AutoHotkey.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011/03/13 22:25:59 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
MOD - [2010/08/21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (UIXUZE)
SRV - File not found [On_Demand | Stopped] --  -- (MIQLOC)
SRV - [2011/03/08 13:44:52 | 000,421,032 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010/12/08 15:15:29 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/11/02 12:09:15 | 000,339,624 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010/11/02 12:09:15 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/10/25 10:07:48 | 000,095,568 | ---- | M] (Devguru Co., Ltd.) [Disabled | Stopped] -- C:\Windows\System32\dgdersvc.exe -- (dgdersvc)
SRV - [2010/10/25 10:03:52 | 000,217,088 | ---- | M] (Teruten) [Auto | Running] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2010/09/11 04:07:50 | 003,975,088 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2010/09/08 04:04:44 | 000,780,504 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2010/05/06 10:29:12 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2010/03/16 03:26:29 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009/10/02 17:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2009/08/13 21:58:10 | 000,044,312 | ---- | M] () [Disabled | Stopped] -- C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe -- (OberonGameConsoleService)
SRV - [2009/07/14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/02/22 09:33:00 | 000,104,960 | ---- | M] (ArcSoft Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2007/06/15 12:57:42 | 000,145,504 | ---- | M] (B.H.A Corporation) [Disabled | Stopped] -- C:\windows\System32\bgsvcgen.exe -- (bgsvcgen)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010/12/20 15:10:02 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2010/11/23 17:10:44 | 001,249,792 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2010/11/22 19:04:18 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/10/25 10:07:48 | 000,018,120 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2010/10/25 10:03:52 | 000,036,640 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2010/09/11 04:07:53 | 000,163,232 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\afcdp.sys -- (afcdp)
DRV - [2010/09/11 04:07:45 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\tdrpm273.sys -- (tdrpman273) Acronis Try&Decide and Restore Points filter (build 273)
DRV - [2010/09/11 04:07:42 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2010/09/11 04:07:33 | 000,170,464 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\windows\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2010/08/13 15:25:59 | 000,230,736 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010/07/28 14:33:06 | 000,121,576 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2010/07/28 14:33:06 | 000,096,488 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM)
DRV - [2010/07/28 14:33:06 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter)
DRV - [2010/04/29 23:49:05 | 000,281,760 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt)
DRV - [2010/04/29 23:49:05 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2010/04/26 13:58:42 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010/03/18 10:02:08 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2010/03/18 10:01:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2010/03/18 10:01:44 | 000,010,448 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidEqd.sys -- (LHidEqd)
DRV - [2010/03/18 10:01:36 | 000,040,912 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LEqdUsb.sys -- (LEqdUsb)
DRV - [2010/02/15 10:24:00 | 000,322,336 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2010/02/10 17:17:24 | 009,936,584 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009/11/25 13:32:16 | 000,125,824 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Impcd.sys -- (Impcd)
DRV - [2009/09/11 12:48:04 | 000,066,056 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmXlCore.sys -- (WmXlCore)
DRV - [2009/09/11 12:47:54 | 000,014,984 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WmVirHid.sys -- (WmVirHid)
DRV - [2009/09/11 12:47:32 | 000,035,592 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmFilter.sys -- (WmFilter)
DRV - [2009/09/11 12:47:22 | 000,022,792 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\WmBEnum.sys -- (WmBEnum)
DRV - [2009/07/14 00:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009/07/01 21:46:20 | 000,043,944 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btusbflt.sys -- (btusbflt)
DRV - [2009/06/27 15:55:12 | 000,066,080 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2009/05/11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/10/21 09:22:48 | 000,114,600 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mdm.sys -- (s0017mdm)
DRV - [2008/10/21 09:22:48 | 000,109,736 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017unic.sys -- (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM)
DRV - [2008/10/21 09:22:48 | 000,108,328 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mgmt.sys -- (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM)
DRV - [2008/10/21 09:22:48 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017obex.sys -- (s0017obex)
DRV - [2008/10/21 09:22:48 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017bus.sys -- (s0017bus) Sony Ericsson Device 0017 driver (WDM)
DRV - [2008/10/21 09:22:48 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017nd5.sys -- (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS)
DRV - [2008/10/21 09:22:48 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s0017mdfl.sys -- (s0017mdfl)
DRV - [2008/07/24 11:03:56 | 000,101,760 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2006/02/20 19:17:40 | 000,033,408 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\windows\System32\drivers\cdrbsdrv.sys -- (cdrbsdrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: ""
FF - prefs.js..extensions.enabledItems: {4fd0131c-5156-4a4a-af5b-e04381314163}:2.0
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.5
FF - prefs.js..extensions.enabledItems: {6AC85730-7D0F-4de0-B3FA-21142DD85326}:2.2.2
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.3
FF - prefs.js..extensions.enabledItems: beysim@beysim.net:1.7
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
FF - prefs.js..extensions.enabledItems: firecookie@janodvarko.cz:1.2.1
FF - prefs.js..extensions.enabledItems: {3d7eb24f-2740-49df-8937-200b1cc08f8a}:1.5.14.2
FF - prefs.js..extensions.enabledItems: {5C46D283-ABDE-4dce-B83C-08881401921C}:2.1.5
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170634FE}:4.0
FF - prefs.js..extensions.enabledItems: {05f6a7ea-896b-11da-8bde-f66bad1e3fff}:3.5.20090705
FF - prefs.js..extensions.enabledItems: {75CEEE46-9B64-46f8-94BF-54012DE155F0}:0.4.6
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.1
FF - prefs.js..extensions.enabledItems: {888d99e7-e8b5-46a3-851e-1ec45da1e644}:4.0.2
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - prefs.js..extensions.enabledItems: {6D1D11DB-3C6C-4db8-96E4-20F4A1088AAC}:0.8
FF - prefs.js..extensions.enabledItems: {3e9bb2a7-62ca-4efa-a4e6-f6f6168a652d}:0.8.19
FF - prefs.js..extensions.enabledItems: {54BB9F3F-07E5-486c-9B39-C7398B99391C}:4.0.2011021601
FF - prefs.js..extensions.enabledItems: AmazonHotStuff@wangtom.com:1.1.1
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.8.4
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: anticontainer@downthemall.net:0.9.5
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010/02/25 01:24:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010/03/24 03:09:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/03/08 14:53:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/08 14:53:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Components: C:\Program Files\Mozilla Sunbird\components [2011/01/11 23:35:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Plugins: C:\Program Files\Mozilla Sunbird\plugins
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/03/05 14:29:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.9\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions
[2010/03/31 22:19:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Extensions\{718e30fb-e89b-41dd-9da7-e25a45638b28}
[2011/03/13 00:35:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions
[2010/03/26 01:29:56 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2010/12/23 21:05:11 | 000,000,000 | ---D | M] ("ColorfulTabs") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{0545b830-f0aa-4d7e-8820-50a4629a56fe}
[2010/02/21 02:18:01 | 000,000,000 | ---D | M] (Locator) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{05f6a7ea-896b-11da-8bde-f66bad1e3fff}
[2011/03/04 15:37:20 | 000,000,000 | ---D | M] (FlashGot) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010/10/14 23:34:45 | 000,000,000 | ---D | M] (Flashblock) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
[2010/06/16 20:31:05 | 000,000,000 | ---D | M] (ShowIP) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{3e9bb2a7-62ca-4efa-a4e6-f6f6168a652d}
[2010/02/21 02:18:01 | 000,000,000 | ---D | M] (Blog This in Windows Live Writer) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{4fd0131c-5156-4a4a-af5b-e04381314163}
[2011/02/18 00:27:06 | 000,000,000 | ---D | M] ("Text Link") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{54BB9F3F-07E5-486c-9B39-C7398B99391C}
[2011/01/02 04:21:57 | 000,000,000 | ---D | M] (Google Shortcuts) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{5C46D283-ABDE-4dce-B83C-08881401921C}
[2010/09/12 02:31:21 | 000,000,000 | ---D | M] (ColorZilla) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}
[2011/02/14 15:12:04 | 000,000,000 | ---D | M] (Show MyIP) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{6D1D11DB-3C6C-4db8-96E4-20F4A1088AAC}
[2010/10/29 00:09:19 | 000,000,000 | ---D | M] (MeasureIt) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{75CEEE46-9B64-46f8-94BF-54012DE155F0}
[2011/02/18 00:27:06 | 000,000,000 | ---D | M] (ReloadEvery) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}
[2011/02/19 00:10:12 | 000,000,000 | ---D | M] (ImTranslator) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
[2011/02/14 15:12:04 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010/10/09 03:19:47 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2011/02/10 23:27:18 | 000,000,000 | ---D | M] ("Yoono") -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{d9284e50-81fc-11da-a72b-0800200c9a66}
[2011/02/10 23:27:04 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010/12/10 01:53:43 | 000,000,000 | ---D | M] (Amazon Button) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\AmazonHotStuff@wangtom.com
[2011/02/06 02:50:41 | 000,000,000 | ---D | M] (DownThemAll! AntiContainer) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\anticontainer@downthemall.net
[2010/02/21 02:17:57 | 000,000,000 | ---D | M] (DT Whois) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\beysim@beysim.net
[2011/02/10 23:27:13 | 000,000,000 | ---D | M] (Firebug) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\firebug@software.joehewitt.com
[2011/03/09 16:37:31 | 000,000,000 | ---D | M] (Firecookie) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\firecookie@janodvarko.cz
[2010/09/12 02:31:20 | 000,000,000 | ---D | M] (Personas) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\personas@christopher.beard
[2011/03/09 16:37:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Firefox\Profiles\hqan5uch.default\extensions\staged-xpis
[2011/01/11 23:36:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd\AppData\Roaming\mozilla\Sunbird\Profiles\xat7e77z.default\extensions
[2007/07/24 13:35:28 | 000,001,653 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\brockhaus.xml
[2007/07/24 13:40:34 | 000,001,949 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\das-telefonbuch.xml
[2007/07/24 13:40:38 | 000,001,270 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\dasrtliche---rckwrtssuche.xml
[2007/07/24 13:36:54 | 000,005,888 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\de-wrterbuch-tu-chemnitz.xml
[2007/07/24 13:43:52 | 000,002,271 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\denic-whois.xml
[2007/07/24 13:43:50 | 000,002,223 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\denic.xml
[2007/07/24 13:36:46 | 000,001,960 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\digitales-wrterbuch-der-deutschen-sprache.xml
[2007/07/24 13:37:24 | 000,001,130 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\duden.xml
[2007/07/24 13:40:44 | 000,001,562 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\gelbe-seiten.xml
[2007/07/24 13:40:46 | 000,001,969 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\goyellow.xml
[2009/07/23 18:54:48 | 000,004,446 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\hyperwords.xml
[2007/07/24 13:40:56 | 000,001,405 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\klicktel-invers.xml
[2007/07/24 13:40:54 | 000,001,406 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\klicktel.xml
[2007/07/24 13:37:56 | 000,002,161 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\l-fremdwoerter.xml
[2007/07/24 13:38:06 | 000,001,039 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\openthesaurus.xml
[2007/07/24 13:28:10 | 000,000,820 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\reimemaschinede.xml
[2009/07/03 05:14:56 | 000,001,289 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\twitter-search.xml
[2007/07/24 13:38:32 | 000,001,906 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\wortschatz-deutsch.xml
[2010/04/22 20:45:22 | 000,002,064 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\youtube-videosuche.xml
[2009/09/21 04:33:54 | 000,004,153 | ---- | M] () -- C:\Users\Bernd\AppData\Roaming\Mozilla\Firefox\Profiles\hqan5uch.default\searchplugins\youtube.xml
[2011/02/16 17:00:07 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/01/03 00:53:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/02/16 17:00:07 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/02/14 15:19:24 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\bak
[2011/02/02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2010/07/23 01:48:56 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/07/23 01:48:56 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010/07/23 01:48:56 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/07/23 01:48:56 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/07/23 01:48:56 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (FlashFXP Helper for Internet Explorer) - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Program Files\FlashFXP\IEFlash.dll (IniCom Networks, Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe (The Eraser Project)
O4 - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SAOB Monitor] C:\Program Files\Acronis\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKCU..\Run: [KiesTrayAgent]  File not found
O4 - HKCU..\Run: [TrueCrypt] C:\Program Files\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
O4 - HKCU..\Run: [Xpadder] C:\Program Files\Xpadder\Xpadder 5.6\Xpadder.exe ()
O4 - Startup: C:\Users\Bernd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ac'tivAid.lnk = C:\Program Files\ac'tivAid\ac'tivAid.ahk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll - c:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007/02/15 09:20:36 | 000,000,045 | R--- | M] () - E:\AUTORUN.INF -- [ UDF ]
O33 - MountPoints2\{9cca01f7-591d-11df-a4a5-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{9cca01f7-591d-11df-a4a5-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{9cca01fc-591d-11df-a4a5-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{9cca01fc-591d-11df-a4a5-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{b7583518-e164-11de-93e5-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{b7583518-e164-11de-93e5-806e6f6e6963}\Shell\AutoRun\command - "" = E:\setup.exe -- [2007/02/28 03:23:41 | 000,537,332 | R--- | M] (THQ                                                         )
O33 - MountPoints2\{ec6e34a0-a8c1-11df-8d14-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{ec6e34a0-a8c1-11df-8d14-002454425735}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{ec6e34a5-a8c1-11df-8d14-002454425735}\Shell - "" = AutoRun
O33 - MountPoints2\{ec6e34a5-a8c1-11df-8d14-002454425735}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
Drivers32: aux - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\windows\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\windows\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\windows\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\windows\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\windows\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.siren - C:\windows\System32\sirenacm.dll (Microsoft Corporation)
Drivers32: MSVideo8 - C:\windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.i420 - C:\windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: VIDC.IYUV - C:\windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\windows\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\windows\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVU9 - C:\windows\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave5 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave6 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave7 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave8 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave9 - C:\windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\windows\System32\msacm32.drv (Microsoft Corporation)

 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/03/13 22:29:20 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Desktop\Logs
[2011/03/13 22:28:55 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
[2011/03/11 23:52:14 | 000,000,000 | ---D | C] -- C:\VundoFix Backups
[2011/03/11 03:19:05 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\mp3DirectCut
[2011/03/11 03:18:45 | 000,000,000 | ---D | C] -- C:\Program Files\mp3DirectCut
[2011/03/09 00:02:50 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Pavark
[2011/03/06 23:05:55 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\Malwarebytes
[2011/03/06 23:05:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/03/06 23:05:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2011/03/06 23:05:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011/03/06 23:05:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2011/03/06 23:05:38 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011/03/04 19:53:59 | 000,000,000 | ---D | C] -- C:\Program Files\Spyware Terminator
[2011/03/04 19:46:48 | 000,000,000 | ---D | C] -- C:\Program Files\HashTab Shell Extension
[2011/03/02 03:37:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011/03/02 03:37:33 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2011/02/22 03:12:04 | 000,000,000 | ---D | C] -- C:\Users\Bernd\AppData\Roaming\TV-Browser
[2011/02/22 02:52:56 | 000,000,000 | ---D | C] -- C:\SOUND
[2011/02/22 02:52:56 | 000,000,000 | ---D | C] -- C:\MATERIAL
[2011/02/20 03:25:42 | 000,000,000 | ---D | C] -- C:\Users\Bernd\Documents\LoiLo
[2011/02/16 17:00:22 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
 
========== Files - Modified Within 30 Days ==========
 
[2011/03/13 22:25:59 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd\Desktop\OTL.exe
[2011/03/13 22:23:00 | 000,001,118 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1410236154-1455553273-2078879821-1001UA.job
[2011/03/13 22:16:49 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/03/13 22:16:49 | 000,014,512 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/03/13 22:12:00 | 000,001,094 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/03/13 22:07:50 | 000,001,090 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/03/13 22:07:41 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011/03/13 22:07:37 | 2406,899,712 | -HS- | M] () -- C:\hiberfil.sys
[2011/03/13 00:04:29 | 000,001,066 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-1410236154-1455553273-2078879821-1001Core.job
[2011/03/12 15:26:26 | 000,002,457 | ---- | M] () -- C:\Users\Bernd\Desktop\Google Chrome Canary-Build.lnk
[2011/03/11 04:45:16 | 000,654,166 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2011/03/11 04:45:16 | 000,616,008 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2011/03/11 04:45:16 | 000,130,006 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2011/03/11 04:45:16 | 000,106,388 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2011/03/11 03:18:46 | 000,000,977 | ---- | M] () -- C:\Users\Bernd\Desktop\mp3DirectCut.lnk
[2011/03/11 00:24:34 | 000,000,306 | RHS- | M] () -- C:\ProgramData\ntuser.pol
[2011/03/06 23:05:44 | 000,001,031 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/02/20 03:59:45 | 007,109,977 | ---- | M] () -- C:\Users\Bernd\Documents\ohne Titel.wmv
[2011/02/20 03:28:12 | 000,000,000 | RH-- | M] () -- C:\Users\Bernd\AppData\Roaming\7234305b717824c14817afc819e9bb9b
 
========== Files Created - No Company Name ==========
 
[2011/03/11 03:18:46 | 000,000,977 | ---- | C] () -- C:\Users\Bernd\Desktop\mp3DirectCut.lnk
[2011/03/06 23:05:44 | 000,001,031 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/02/20 03:58:45 | 007,109,977 | ---- | C] () -- C:\Users\Bernd\Documents\ohne Titel.wmv
[2011/02/20 03:28:12 | 000,000,000 | RH-- | C] () -- C:\Users\Bernd\AppData\Roaming\7234305b717824c14817afc819e9bb9b
[2011/01/19 02:09:52 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2010/11/17 07:35:33 | 000,110,592 | ---- | C] () -- C:\windows\System32\FsUsbExDevice.Dll
[2010/11/17 07:35:33 | 000,036,640 | ---- | C] () -- C:\windows\System32\FsUsbExDisk.Sys
[2010/10/25 10:09:56 | 000,974,848 | ---- | C] () -- C:\windows\System32\cis-2.4.dll
[2010/10/25 10:09:56 | 000,081,920 | ---- | C] () -- C:\windows\System32\issacapi_bs-2.3.dll
[2010/10/25 10:09:56 | 000,065,536 | ---- | C] () -- C:\windows\System32\issacapi_pe-2.3.dll
[2010/10/25 10:09:56 | 000,057,344 | ---- | C] () -- C:\windows\System32\issacapi_se-2.3.dll
[2010/08/30 18:12:13 | 000,000,193 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
[2010/04/29 23:41:55 | 000,281,760 | ---- | C] () -- C:\windows\System32\drivers\atksgt.sys
[2010/04/29 23:41:55 | 000,025,888 | ---- | C] () -- C:\windows\System32\drivers\lirsgt.sys
[2010/03/16 01:37:07 | 000,000,483 | ---- | C] () -- C:\windows\rsagent.ini
[2010/03/16 01:35:19 | 000,373,248 | ---- | C] () -- C:\windows\EyeCand3.INI
[2010/03/01 17:00:37 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010/02/25 01:23:29 | 000,023,699 | ---- | C] () -- C:\windows\hpqins15.dat
[2010/02/25 01:03:04 | 000,234,706 | ---- | C] () -- C:\windows\hpoins21.dat
[2010/02/25 01:03:04 | 000,005,474 | ---- | C] () -- C:\windows\hpomdl21.dat
[2010/02/21 02:14:55 | 000,001,632 | ---- | C] () -- C:\windows\System32\wa7nowrt.dll
[2010/02/19 20:51:33 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2010/02/10 05:58:14 | 000,040,588 | ---- | C] () -- C:\windows\System32\nvcoproc.bin
[2009/12/05 23:15:51 | 000,654,166 | ---- | C] () -- C:\windows\System32\perfh007.dat
[2009/12/05 23:15:51 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat
[2009/12/05 23:15:51 | 000,130,006 | ---- | C] () -- C:\windows\System32\perfc007.dat
[2009/12/05 23:15:51 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat
[2009/12/05 06:11:50 | 000,307,200 | ---- | C] () -- C:\windows\SetDisplayResolution.exe
[2009/12/05 05:29:32 | 000,000,002 | ---- | C] () -- C:\windows\HotFixList.ini
[2009/07/14 05:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat
[2009/07/14 05:33:53 | 002,379,056 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT
[2009/07/14 03:05:48 | 000,616,008 | ---- | C] () -- C:\windows\System32\perfh009.dat
[2009/07/14 03:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat
[2009/07/14 03:05:48 | 000,106,388 | ---- | C] () -- C:\windows\System32\perfc009.dat
[2009/07/14 03:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat
[2009/07/14 03:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT
[2009/07/14 03:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat
[2009/07/14 00:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin
[2009/07/14 00:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll
[2009/07/14 00:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll
[2009/07/13 23:09:19 | 000,982,196 | ---- | C] () -- C:\windows\System32\igkrng500.bin
[2009/07/13 23:09:19 | 000,417,344 | ---- | C] () -- C:\windows\System32\igcompkrng500.bin
[2009/07/13 23:09:19 | 000,139,824 | ---- | C] () -- C:\windows\System32\igfcg500.bin
[2009/07/13 23:09:19 | 000,097,448 | ---- | C] () -- C:\windows\System32\igfcg500m.bin
[2009/06/10 22:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat
[2008/10/22 05:29:06 | 000,173,550 | ---- | C] () -- C:\windows\System32\xlive.dll.cat
[2007/04/27 10:43:58 | 000,120,200 | ---- | C] () -- C:\windows\System32\DLLDEV32i.dll
[2006/10/08 11:33:54 | 000,000,000 | ---- | C] () -- C:\windows\R-series.ini
 
========== LOP Check ==========
 
[2010/02/25 05:39:24 | 000,000,000 | -HSD | M] -- C:\Users\Bernd\AppData\Roaming\.#
[2010/02/24 14:55:39 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\ac'tivAid
[2010/08/07 04:34:21 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Acronis
[2010/09/21 00:53:30 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Bioshock
[2010/02/22 20:54:45 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Buhl Data Service
[2010/09/06 13:54:31 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Buhl Data Service GmbH
[2010/09/11 04:07:52 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\C9EEA19D-0368-4C0F-BC89-A12A5713BE14
[2010/04/27 00:06:14 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\DAEMON Tools Lite
[2010/02/23 03:18:18 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\DataDesign
[2010/02/22 14:38:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\FlashFXP
[2010/02/22 04:45:40 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\GameConsole
[2010/02/19 23:43:40 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\GHISLER
[2010/11/08 01:20:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\gnupg
[2010/03/02 04:38:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\IrfanView
[2010/03/18 02:31:48 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\jpg-Illuminator
[2010/03/12 17:27:16 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Kobi Pinhasov
[2010/02/20 03:13:31 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Leadertech
[2010/02/22 20:54:38 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\LetsTrade
[2011/01/14 03:25:25 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\MAGIX
[2011/03/11 03:19:05 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\mp3DirectCut
[2010/10/01 23:41:36 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Mp3tag
[2010/11/22 20:11:34 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\MyPhoneExplorer
[2010/02/22 00:12:58 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Notepad++
[2010/04/26 03:14:17 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org
[2010/02/25 00:58:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org.alt
[2010/04/26 02:39:15 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\OpenOffice.org.alt2
[2011/01/13 16:06:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Publish Providers
[2010/11/17 07:34:37 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Samsung
[2011/01/25 02:35:36 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\ScreeNet iSaver
[2010/03/29 15:49:37 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\sobees Ltd
[2011/01/13 16:20:05 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Sony
[2010/05/09 04:08:02 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\SpieleEntwicklungsKombinat
[2010/09/24 16:27:13 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TeamViewer
[2010/03/31 22:19:41 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Thunderbird
[2010/08/31 00:52:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TrueCrypt
[2011/03/10 21:12:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TV-Browser
[2010/03/29 15:52:57 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[2011/02/22 03:01:19 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\uTorrent
[2010/02/23 15:08:15 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\Windows Live Writer
[2011/03/04 14:13:10 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\WLWTemplates
[2010/06/30 03:40:47 | 000,000,000 | ---D | M] -- C:\Users\Bernd\AppData\Roaming\XRay Engine
[2011/03/06 22:50:48 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010/12/25 17:57:10 | 000,002,006 | ---- | M] () -- C:\aqua_bitmap.cpp
[2009/06/10 22:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009/06/10 22:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011/03/13 22:07:37 | 2406,899,712 | -HS- | M] () -- C:\hiberfil.sys
[2010/03/16 01:42:44 | 000,001,248 | -HS- | M] () -- C:\jxxjaezn.sys
[2011/03/13 22:07:40 | 3209,199,616 | -HS- | M] () -- C:\pagefile.sys
[2010/03/24 00:42:21 | 000,002,167 | ---- | M] () -- C:\RHDSetup.log
[2010/03/24 00:42:21 | 000,000,206 | ---- | M] () -- C:\setup.log
[2011/03/12 00:01:30 | 000,000,135 | ---- | M] () -- C:\VundoFix.txt
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2009/07/14 05:52:25 | 000,026,040 | ---- | M] () -- C:\windows\Fonts\GlobalMonospace.CompositeFont
[2009/07/14 05:52:25 | 000,026,489 | ---- | M] () -- C:\windows\Fonts\GlobalSansSerif.CompositeFont
[2009/07/14 05:52:25 | 000,029,779 | ---- | M] () -- C:\windows\Fonts\GlobalSerif.CompositeFont
[2009/07/14 05:52:25 | 000,043,318 | ---- | M] () -- C:\windows\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009/06/10 22:31:19 | 000,000,065 | ---- | M] () -- C:\windows\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2009/07/14 02:15:26 | 000,280,064 | ---- | M] (Hewlett-Packard Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\hpzppw71.dll
[2009/07/14 02:15:35 | 000,022,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\jnwppr.dll
[2006/10/26 19:56:12 | 000,033,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\msonpppr.dll
[2009/07/14 02:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
[2009/11/16 08:27:16 | 019,480,587 | ---- | M] () -- C:\Windows\Crystal Delight.scr
[2008/02/20 08:50:28 | 000,903,680 | ---- | M] (Jan Kolarik & Ondrej Vaverka) -- C:\Windows\R-series.scr
[2010/04/17 00:45:28 | 000,307,056 | ---- | M] (Microsoft Corporation) -- C:\Windows\WLXPGSS.SCR
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009/07/14 05:41:57 | 000,000,174 | -HS- | M] () -- C:\Program Files\desktop.ini
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2009/07/14 02:15:13 | 000,346,112 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\dxtmsft.dll
[2009/07/14 02:15:13 | 000,215,552 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\dxtrans.dll
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\system32\user32.dll /md5 >
[2009/07/14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2009/07/14 02:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2009/07/14 02:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2009/10/06 07:06:36 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=00B0358734CAA32C39D181FE6916B178 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20542_none_523cdab8f40fe558\explorer.exe
[2009/07/14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009/10/31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009/08/03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009/08/03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009/10/31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
[2009/10/06 06:53:03 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=FC89FACA0473641CB625EDA9277D0885 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16434_none_51c00e6ddae85c4b\explorer.exe
 
< MD5 for: WININIT.EXE  >
[2009/07/14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009/07/14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009/10/28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009/10/28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009/10/28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009/07/14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-11 13:48:05
 
<           >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54

< End of report >

Swisstreasure · 13.03.2011, 23:22

Bitte mache den Onlinescan. Ich weiss was ich mache

Bernd1978 · 14.03.2011, 03:22

Hallo Swiss,
Tut mir wirklich leid, aber weder Du noch ich können wissen was der Code letztendlich macht,während das Ding vollkommen ungeschützt und offen im Netz hängt. Zum anderen erschliest sich mir der Sinn nicht.

Onlinescan

Swisstreasure · 14.03.2011, 08:54

Du surfst während dem Scan weder im Netz noch lädst Du Dir irgendwelche Datein vom Netz. Zudem sehe ich im Log nichts mehr was auffällig wäre oder hast Du noch irgendwelche Beschwerden?

Du kannst den Onlinescan wirklich ohne Probelem druchführen. Wenn Du schon irgendwelche dubiosen EXE ausführst dann sollte das für Dich ja kein Problem sein...

Zudem ind wir ja in der Bereinigung und Dein System ist oder war auch infiziert.

Bernd1978 · 14.03.2011, 12:32

Hallo Swiss,
die dubiose .exe war unter Stress und ein Fehler, der Onlinecsan wäre unter vollem Bewusstsein

Wieso nicht ein weiterer/neuer installierter Scanner?
Wieso stürzt GMER seit neustem immer an der gleichen Stelle ab? und ist otl genauso gut?
Viren Trojaner und Backdoors haben wir gefunden, aber was ist mit rootkits? die dubiose .exe hat mehr gemacht hat außer den redirect einzurichten, ein backdoor und trojaner waren auch dabei, vielleicht hatt es das nachgeladen. Zumindest habe ich nur diese eine dubiose .exe ausgeführt.

Weitere Beschwerden:
außer das GMER abstürzt, meine Internetverbindung in letzter Zeit extrem lahmt
(4000 statt 6000) sehe ich aktuell keine Beschwerden mehr. Ist das eine trügerische Sicherheit?

Sorry für die vielen Fragen

Gruß
Bernd

Larusso · 14.03.2011, 15:14

Zitat:

Tut mir wirklich leid, aber weder Du noch ich können wissen was der Code letztendlich macht,während das Ding vollkommen ungeschützt und offen im Netz hängt. Zum anderen erschliest sich mir der Sinn nicht.

Wenn Du uns schon nicht vertraust, dann brauchst Du auch nicht unsere Zeit beanspruchen. Online Scans sind für uns eine zweite Meinung. Aber für was rede ich da, wenn Du ja selber einfach irgendwelche .exe Dateien startest. Willst Du dann nochmal unsere Hilfe. Wie lange soll das dann gehen ?

Gmer ist ein sehr starkes Tool und kann Abstürze verursachen. Kommt in der Regel vor wenn man im Kernel rumbohrt.
OTL und GMER sind 2 grundverschiedene Dinge.

Zitat:

Zitat von NUBs

Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich.

Du redest davon Angst zu haben deinen PC schutzlos im Netz zu haben, startest aber als Unfall bezeichnete Dateien ? Wie kommt die Datei dann überhaupt auf den Rechner?
Auch zufällig herunter geladen ? Muss und will ich nicht verstehen.

Entweder du folgst den Anweisungen von Swisstreasure oder ich gebe dir eine Anweisung die zu 100% alles entfernt.
Setup.exe

Shadow · 14.03.2011, 15:51

Zitat:

Zitat von Bernd1978

Tut mir wirklich leid, aber weder Du noch ich können wissen was der Code letztendlich macht,während das Ding vollkommen ungeschützt und offen im Netz hängt.

Welcher Code? Der potentielle Schadcode, den du schon heruntergeladen und installiert hast oder der vom Online-Scanner?
Zu deiner Beruhigung: Der Malware ist es doch offensichtlich eher egal und der Online-Scanner macht/versucht nichts anderes, egal ob eine AV-Guard aktiv ist oder nicht oder der AV-Guard würde auch nicht schützen.

Aber der AV-Guard verringert deutlich die Geschwindigkeit der Durchsuchung und kann u.U. sie so behindern, dass nie ein Ergebnis zustande kommt, oder das richtige/wichtige nicht gefunden wird (eventuell blockieren sich beide Scanner gegenseitig, vorallem wenn etwas gefunden wird, auch bei false positives)

Da auch ein Online-Scanner i.d.R. während des Scannens keine aktive Internetverbidnung braucht, könntest du den Scanner herunterladen (ausführen, Aktualisierungen herunterladen ...) und sobald der Scan startet, die Verbindung kappen (Kabel raus) und den Guard deaktivieren. Ich weiß nur nicht wie der Scanner bei einem Fund reagiert, eventuell würde er dabei gerne was nachladen. Magst du einfach ausprobieren.
(Mit dem empfohlenen Eset-Scanner geht es zumindest unter "alternativen Browsern" und wenn er nichts findet)

Zitat:

Zitat von Bernd1978

Zum anderen erschliest sich mir der Sinn nicht.

Onlinescan

Ein Online-Scanner ist nichts als ein zweiter, reiner On-Demand-Scanner mit möglichst wenig Eingriff in dein System und ganz sicher hochaktuell (zumindest so aktuell, wie es der Hersteller zulässt). Wenn man nach Funden schon keine komplette Neuinstallation macht, dann sollte man unbedingt noch mit vollkommen anderen "Engines" Zweit- und Drittmeinungen einholen.

Nachtrag: Hinter einem DSL-Router bist du i.d.R. zumindest vor Würmern und anderen unerlaubten Zugriffen (aber nur) aus dem Internet geschützt (vor beidem würde ein AV-Programm auch nicht vorsorglich schützen), also kann so wenig oder viel wie sonst - ohne dein Zutun - auf deinem PC hüpfen. Ein AV-Programm spielt da eigentlich keine Rolle. Du darfst halt nichts herunterladen und ausführen (E-Mail-Anhänge, wilde Webseiten betrachten (Drive-by-Downloads) etc.

11.03.2011, 16:06	#6
Swisstreasure /// Malwareteam	Gomeo Virus und mehr? Wo bleibt Schritt 4?

13.03.2011, 23:22	#10
Swisstreasure /// Malwareteam	Gomeo Virus und mehr? Bitte mache den Onlinescan. Ich weiss was ich mache

Gomeo Virus und mehr?

Plagegeister aller Art und deren Bekämpfung: Gomeo Virus und mehr?