Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iphone 4 gewonnen, internet explorer ad (https://www.trojaner-board.de/101259-iphone-4-gewonnen-internet-explorer-ad.html)

Lyot 12.07.2011 14:23

iphone 4 gewonnen, internet explorer ad
 
Guten Tag,

ich habe folgendes Problem:

habe mir wohl irgendwas schädliches eingefangen, das regelmäßig "Herzlichen Glückwunsch, sie haben ein Apple Iphone 4 gewonnen!" in Form einer Meldung sendet und den Internet Explorer (wird nicht benutzt) öffnet, welcher eine ad von gala7 oder billiger.de z.B. beinhaltet.
Habe mit Malwarebytes Anti Malware einiges gefunden und unter Quarantäne gestellt.
FRAUDPACK.GEN oder so stand da.

Anbei die OTL logfiles.

M-K-D-B 12.07.2011 16:27

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
  • Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
  • Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  • Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.

Lyot 12.07.2011 16:36

hallo!

ich bin sehr daran interessiert, mit dir zusammen das problem zu lösen! ich werde die genannten punkte befolgen!

vielen dank für deine hilfe! ich habe nun mit malwarebytes anti malware 17 objekte in die quarantäne verschoben, da es noch am scannen war (vor deinem post ;) )

edit: seitdem ist das problem mit den werbe meldungen weg.

mein betriebssystem ist windows 7 64 bit. Aber das kannst du ja glaube ich auch aus den logfiles lesen.

M-K-D-B 12.07.2011 16:49

Hallo Lyot,




Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Folgendes interessiert mich:
    Zitat:

    Zitat von Lyot (Beitrag 681920)
    Habe mit Malwarebytes Anti Malware einiges gefunden und unter Quarantäne gestellt.
    FRAUDPACK.GEN oder so stand da.

    Zitat:

    Zitat von Lyot (Beitrag 681920)
    ich habe nun mit malwarebytes anti malware 17 objekte in die quarantäne verschoben,

    Alles schön und gut, aber wie soll ich dir effektiv helfen können, wenn du MBAM ausführst, aber das Logfile nicht hier ins Forum kopierst? :)
    Öffne MBAM, klicke auf den Reiter Logdateien und füge alle Logfiles von MBAM mit Funden hier ins Forum ein.
  • Was genau willst du mir hiermit sagen?
    Zitat:

    [2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!
    Solche Hinweise sind mit Sicherheit nur gut gemeint von dir, aber nicht notwendig. Wir passen schon auf, dass keine persönlichen Daten gelöscht werden. :)
    Was befindet sich denn genau in dem Ordner?

    Zitat:

    seitdem ist das problem mit den werbe meldungen weg.
    Nur weil keine Symptome mehr vorhanden sind, heißt das noch nicht, dass dein Rechner wieder komplett sauber ist. Aber darum kümmern wir uns ja jetzt. :daumenhoc
    Zu Beginn machen wir nochmal einen neuen Scan mit MBAM, um zu sehen, ob wieder etwas gefunden wird:




Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.




Schritt # 3: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
  • DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).
Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 5: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
ctfmon.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread




Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen inklusive aller alten Logfiles von MBAM,
  • das neue Logfile von MBAM,
  • das Logfile von Defogger,
  • das Logfile von aswMBR und
  • das neue Logfile von OTL.

Lyot 12.07.2011 17:21

Hallo,

das sind backup dateien von einem spiel, und ich war in einem kreativen anfall in der namensgebung eben dieser sehr tiefführend :> das ist alles ironisch gemeint.
der name ist auch NICHT auf EUCH bezogen, sondern an die MITNUTZER meines PCs gerichtet :)

Alter MBAM Log:

Code:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7084

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.07.2011 17:24:33
mbam-log-2011-07-12 (17-24-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|)
Durchsuchte Objekte: 438725
Laufzeit: 1 Stunde(n), 57 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
c:\Windows\Mtumia.exe (Trojan.FraudPack.Gen) -> 3240 -> Failed to unload process.
c:\Users\Noxas\AppData\Local\Temp\Mrs.exe (Trojan.FraudPack.Gen) -> 3480 -> Unloaded process successfully.
c:\Users\Noxas\AppData\Local\Temp\Mrt.exe (Trojan.FraudPack.Gen) -> 8984 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\T7PKEYSDPX (Trojan.FraudPack.Gen) -> Value: T7PKEYSDPX -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Mtumia.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\AppData\Local\Temp\Mrs.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\AppData\Local\Temp\Mrt.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\AppData\Local\Google\Chrome\user data\Default\Cache\f_0032a0 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\AppData\Local\Google\Chrome\user data\Default\Cache\f_0032a1 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\AppData\Local\Temp\Mrr.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Noxas\downloads\removewga.exe (PUP.RemoveWGA) -> Not selected for removal.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

Neuer MBAM Log:

Code:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7088

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.07.2011 18:15:53
mbam-log-2011-07-12 (18-15-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 224171
Laufzeit: 12 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Noxas\downloads\removewga.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.

Protection Log (von MBAM):

Code:

15:07:06        Noxas        MESSAGE        Protection started successfully
15:07:09        Noxas        MESSAGE        IP Protection started successfully
15:12:12        Noxas        IP-BLOCK        95.64.55.4 (Type: outgoing, Port: 59053, Process: mtumia.exe)
15:12:12        Noxas        IP-BLOCK        95.64.55.4 (Type: outgoing, Port: 59055, Process: mtumia.exe)
15:15:58        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrt.exe        Trojan.FraudPack.Gen        QUARANTINE
15:16:01        Noxas        ERROR        Quarantine failed:  DeleteFile failed with error code 5
15:16:51        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrs.exe        Trojan.FraudPack.Gen        QUARANTINE
15:16:52        Noxas        ERROR        Quarantine failed:  DeleteFile failed with error code 5
15:58:00        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrs.exe        Trojan.FraudPack.Gen        DENY
16:15:00        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrt.exe        Trojan.FraudPack.Gen        DENY
16:16:58        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrs.exe        Trojan.FraudPack.Gen        DENY
16:58:00        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrs.exe        Trojan.FraudPack.Gen        DENY
17:15:00        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrt.exe        Trojan.FraudPack.Gen        DENY
17:17:08        Noxas        DETECTION        C:\Users\Noxas\AppData\Local\Temp\Mrs.exe        Trojan.FraudPack.Gen        DENY
17:26:46        Noxas        MESSAGE        Protection started successfully
17:26:50        Noxas        MESSAGE        IP Protection started successfully
18:01:55        Noxas        MESSAGE        IP Protection stopped
18:01:57        Noxas        MESSAGE        Database updated successfully
18:01:58        Noxas        MESSAGE        IP Protection started successfully
18:19:55        Noxas        MESSAGE        Protection started successfully
18:19:59        Noxas        MESSAGE        IP Protection started successfully

defogger Log:

Code:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:22 on 12/07/2011 (Noxas)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

hat das so seine richtigkeit? die meldung "Finished!" kam direkt nach drücken des disable buttons und auch keine aufforderung zum neustart!

die weiteren logfiles folgen, nachdem mir die frage beantwortet wurde, damit ich nichts durcheinander mache oder so.

M-K-D-B 12.07.2011 17:56

Hallo Lyot,




Zitat:

Zitat von Lyot (Beitrag 681987)
das sind backup dateien von einem spiel, und ich war in einem kreativen anfall in der namensgebung eben dieser sehr tiefführend :> das ist alles ironisch gemeint.
der name ist auch NICHT auf EUCH bezogen, sondern an die MITNUTZER meines PCs gerichtet :)

Alles klar, danke für die Rückmeldung.



Zitat:

Zitat von Lyot (Beitrag 681987)
hat das so seine richtigkeit? die meldung "Finished!" kam direkt nach drücken des disable buttons und auch keine aufforderung zum neustart!

Das hat alles seine Richtigkeit, danke für die bisherigen Logfiles. :)


Zitat:

Zitat von Lyot (Beitrag 681987)
die weiteren logfiles folgen, nachdem mir die frage beantwortet wurde, damit ich nichts durcheinander mache oder so.

Ich warte auf aswMBR und das neue Logfile von OTL. :daumenhoc
Achja, OTL wird nur ein Logfile erstellen (OTL.txt)... nicht, dass du vergeblich nach einem 2. Logfile suchst, ein kleiner Fehler in meiner Anleitung von vorhin. ;)

Lyot 12.07.2011 19:34

Code:

aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software
Run date: 2011-07-12 19:08:55
-----------------------------
19:08:55.874    OS Version: Windows x64 6.1.7600
19:08:55.874    Number of processors: 4 586 0x402
19:08:55.876    ComputerName: MICHAEL  UserName: Noxas
19:08:58.417    Initialze error C000010E - driver not loaded
19:08:58.608    write error "aswEngin.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
19:10:30.596    AVAST engine defs: 11071201
19:11:00.165    Service scanning
19:11:01.997    Disk 0 trace - called modules:
19:11:01.998   
19:11:04.849    AVAST engine scan C:\Windows
19:21:28.893    File: C:\Windows\System32\drivers\de-DE\bfe.dll.mui  **SUSPICIOUS**
19:21:30.024    File: C:\Windows\System32\drivers\de-DE\ndiscap.sys.mui  **SUSPICIOUS**
19:21:30.126    File: C:\Windows\System32\drivers\de-DE\pacer.sys.mui  **SUSPICIOUS**
19:21:30.216    File: C:\Windows\System32\drivers\de-DE\qwavedrv.sys.mui  **SUSPICIOUS**
19:21:30.276    File: C:\Windows\System32\drivers\de-DE\scfilter.sys.mui  **SUSPICIOUS**
19:21:30.378    File: C:\Windows\System32\drivers\de-DE\tcpip.sys.mui  **SUSPICIOUS**
19:21:38.023    File: C:\Windows\System32\drivers\wimmount.sys  **SUSPICIOUS**
19:42:44.900    AVAST engine scan C:\Users\Noxas
20:03:01.480    AVAST engine scan C:\ProgramData
20:03:48.420    Scan finished successfully
20:06:44.718    The log file has been saved successfully to "C:\Users\Noxas\Desktop\aswMBR.txt"


Code:

OTL logfile created on: 12.07.2011 20:08:08 - Run 2
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 58,19% Memory free
8,00 Gb Paging File | 6,23 Gb Available in Paging File | 77,92% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 477,39 Gb Free Space | 80,09% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Users\Noxas\AppData\Roaming\cacaoweb\cacaoweb.exe ()
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Windows Media Player\wmplayer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV:64bit: - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (QipGuard) -- C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Dyyno Launcher) -- C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (LBTServ) -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (LGVirHid) -- C:\Windows\SysNative\drivers\LGVirHid.sys (Logitech Inc.)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (LUsbFilt) -- C:\Windows\SysNative\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (LGBusEnum) -- C:\Windows\SysNative\drivers\LGBusEnum.sys (Logitech Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages =  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E8 B4 22 03 BB 10 CC 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {58beca16-cae6-4b7a-a0e8-153d0cbba63a} - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.9
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..browser.startup.homepage: "hxxp://qip.ru"
FF - prefs.js..browser.search.selectedEngine: "QIP Search"
FF - prefs.js..browser.search.defaultenginename: "QIP Search"
FF - prefs.js..keyword.URL: "hxxp://search.qip.ru/search?from=FF&query="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Program Files (x86)\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files (x86)\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.12.22 16:14:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.01.23 15:29:00 | 000,000,000 | ---D | M]
 
[2010.12.22 16:14:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (QipAuthorizer) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2011.04.16 17:36:22 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.12.27 02:30:28 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com
[2010.05.12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\icqplugin.xml
[2011.05.25 15:04:23 | 000,002,062 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\qip-search.xml
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.05.08 15:10:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.23 15:29:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.15 12:44:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {58BECA16-CAE6-4B7A-A0E8-153D0CBBA63A} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [cacaoweb] C:\Users\Noxas\AppData\Roaming\cacaoweb\cacaoweb.exe ()
O4 - HKCU..\Run: [QIP Internet Guardian] C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - Reg Error: Key error. - c:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
 
MsConfig:64bit - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
MsConfig:64bit - StartUpReg: Dyyno Launcher - hkey= - key= - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe ()
MsConfig:64bit - StartUpReg: EvtMgr6 - hkey= - key= - C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
MsConfig:64bit - StartUpReg: Google Update - hkey= - key= - C:\Users\Noxas\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
MsConfig:64bit - StartUpReg: ICQ - hkey= - key= - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
MsConfig:64bit - StartUpReg: LogMeIn Hamachi Ui - hkey= - key= - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
MsConfig:64bit - StartUpReg: Octoshape Streaming Services - hkey= - key= - C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
MsConfig:64bit - StartUpReg: RegistryBooster - hkey= - key= -  File not found
MsConfig:64bit - StartUpReg: Skype - hkey= - key= - C:\Program Files (x86)\Skype\Phone\Skype.exe (Skype Technologies S.A.)
MsConfig:64bit - State: "startup" - Reg Error: Key error.
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.12 19:08:15 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.12 15:06:13 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Malwarebytes
[2011.07.12 15:06:08 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.12 15:06:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.07.12 15:06:03 | 000,025,912 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.07.12 15:06:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.07.09 13:41:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Local\ArmA 2 Free
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Documents\ArmA 2
[2011.06.30 13:27:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:31:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Bohemia Interactive
[2011.06.27 21:56:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Steam
[2011.06.27 21:56:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
[2011.06.27 21:56:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Steam
[2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!
[2011.06.16 03:14:27 | 000,000,000 | ---D | C] -- C:\22528142113c9126cc2dc5
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.12 19:14:00 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000UA.job
[2011.07.12 19:14:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.12 18:24:58 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.07.12 18:24:58 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.07.12 18:22:40 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.07.12 18:22:40 | 000,656,028 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.07.12 18:22:40 | 000,617,910 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.07.12 18:22:40 | 000,130,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.07.12 18:22:40 | 000,107,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.07.12 18:19:31 | 000,000,000 | ---- | M] () -- C:\Users\Noxas\defogger_reenable
[2011.07.12 18:17:50 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.12 18:17:21 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.07.12 18:17:13 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.12 14:57:52 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.11 22:14:00 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000Core.job
[2011.07.11 18:20:07 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2011.07.11 18:20:07 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2011.07.11 18:15:28 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2011.06.30 14:14:39 | 000,002,363 | ---- | M] () -- C:\Users\Noxas\Desktop\Google Chrome.lnk
[2011.06.30 14:06:13 | 000,292,872 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.06.30 13:27:44 | 385,101,516 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | M] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.29 15:24:02 | 000,123,784 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avipbb.sys
[2011.06.29 15:24:02 | 000,088,288 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2011.06.27 01:51:52 | 632,653,730 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:51:05 | 836,911,523 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.06.27 01:44:51 | 000,007,608 | ---- | M] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.12 18:19:31 | 000,000,000 | ---- | C] () -- C:\Users\Noxas\defogger_reenable
[2011.06.30 13:27:44 | 385,101,516 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | C] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:41:54 | 632,653,730 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:41:29 | 836,911,523 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.05.15 14:35:37 | 000,000,632 | ---- | C] () -- C:\Windows\Edofma.INI
[2011.04.23 23:24:14 | 000,021,840 | ---- | C] () -- C:\Windows\SysWow64\SIntfNT.dll
[2011.04.23 23:24:14 | 000,017,212 | ---- | C] () -- C:\Windows\SysWow64\SIntf32.dll
[2011.04.23 23:24:14 | 000,012,067 | ---- | C] () -- C:\Windows\SysWow64\SIntf16.dll
[2011.04.03 02:47:54 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2010.12.31 21:56:26 | 000,280,768 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2010.12.31 21:56:25 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2010.12.31 21:56:25 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2010.12.24 00:18:34 | 000,301,056 | ---- | C] () -- C:\Windows\SysWow64\XDogcat.dll
[2010.12.21 19:37:20 | 046,504,568 | ---- | C] () -- C:\Users\Noxas\AppData\Roaming\.minecraft.zip
[2010.12.21 10:48:24 | 002,968,064 | ---- | C] () -- C:\Windows\es.exe
[2010.12.09 17:25:56 | 000,815,104 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2010.12.09 17:25:55 | 000,180,224 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2010.11.06 18:02:45 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.10.31 18:15:53 | 000,007,608 | ---- | C] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2009.07.14 07:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 04:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 02:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2004.02.20 22:36:34 | 000,416,256 | ---- | C] () -- C:\Windows\exchndl.dll
 
========== LOP Check ==========
 
[2011.06.23 21:02:31 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\.minecraft
[2011.07.11 13:28:09 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\cacaoweb
[2011.04.23 20:53:06 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Darkfall
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.02.27 19:08:22 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Dyyno
[2011.06.29 15:36:41 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\gtk-2.0
[2011.04.16 15:29:22 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\ICQ
[2011.05.12 18:06:06 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Juniper Networks
[2010.11.07 00:51:27 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Leadertech
[2010.10.30 17:24:53 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\LolClient
[2010.11.01 20:04:58 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Mumble
[2011.03.02 14:17:54 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Octoshape
[2011.05.08 15:11:25 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\OpenOffice.org
[2011.05.25 15:04:29 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\QIP
[2011.05.25 15:04:17 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\QipGuard
[2010.12.24 00:20:24 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\SpeedyiTunes
[2011.05.24 17:09:44 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\TS3Client
[2011.01.01 21:08:26 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Uniblue
[2011.04.14 16:28:15 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\wargaming.net
[2011.04.17 09:50:43 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.10.30 16:32:20 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2011.06.16 03:14:27 | 000,000,000 | ---D | M] -- C:\22528142113c9126cc2dc5
[2011.04.16 03:00:44 | 000,000,000 | ---D | M] -- C:\90fd99c6d3fe5ea2c8
[2009.07.14 07:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2010.10.30 16:32:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.11.11 10:18:47 | 000,000,000 | ---D | M] -- C:\Downloads
[2011.04.14 15:36:13 | 000,000,000 | ---D | M] -- C:\Games
[2010.10.30 17:57:46 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2009.07.14 05:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2010.11.12 15:17:18 | 000,000,000 | ---D | M] -- C:\PFiles
[2011.04.24 17:58:18 | 000,000,000 | R--D | M] -- C:\Program Files
[2011.07.12 15:06:03 | 000,000,000 | R--D | M] -- C:\Program Files (x86)
[2011.07.12 15:06:07 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2010.10.30 16:32:05 | 000,000,000 | -HSD | M] -- C:\Programme
[2010.10.30 16:32:05 | 000,000,000 | -HSD | M] -- C:\Recovery
[2011.07.12 20:09:17 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.10.30 16:32:12 | 000,000,000 | R--D | M] -- C:\Users
[2011.07.12 17:27:11 | 000,000,000 | ---D | M] -- C:\Windows
[2010.12.10 14:14:02 | 000,000,000 | ---D | M] -- C:\xampp
 
< %PROGRAMFILES%\*.exe >
 
< %PROGRAMFILES%\*. >
[2011.05.15 15:18:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Activision
[2011.01.23 15:34:44 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Avira
[2011.06.27 22:31:19 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Bohemia Interactive
[2011.07.09 13:41:07 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Common Files
[2011.04.23 14:54:07 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Darkfall
[2011.04.24 02:57:43 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Diablo II
[2011.04.14 15:21:27 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\DivX
[2011.02.03 17:02:03 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Duty Calls
[2011.05.12 18:37:11 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\DVDVideoSoft
[2011.02.27 19:08:22 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Dyyno
[2011.02.03 22:44:45 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Electric Sheep
[2010.12.30 18:30:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Electronic Arts
[2010.12.19 13:58:20 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\GIMP-2.0
[2011.06.15 02:15:36 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Google
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ6Toolbar
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ7.2
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ7.4
[2010.10.30 18:07:44 | 000,000,000 | -H-D | M] -- C:\Program Files (x86)\InstallShield Installation Information
[2011.06.16 13:12:50 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Internet Explorer
[2011.07.09 13:40:54 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Java
[2011.05.24 17:10:47 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\League of Legends
[2011.05.30 23:47:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\LogMeIn Hamachi
[2010.10.30 17:12:23 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\LOLSetup
[2011.07.12 15:06:09 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.04.03 02:47:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft Antimalware
[2011.04.03 02:47:52 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft Security Client
[2010.10.31 17:01:33 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft.NET
[2010.12.22 16:14:40 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mozilla Firefox
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\MSBuild
[2011.05.17 12:59:57 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\MSXML 4.0
[2010.11.01 19:19:39 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mumble
[2010.10.30 17:03:43 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\NOS
[2010.10.30 17:59:50 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\NVIDIA Corporation
[2011.05.08 15:08:29 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenOffice
[2011.05.08 15:10:30 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenOffice.org 3
[2011.05.07 15:50:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenPlsInWMP
[2010.10.30 16:36:28 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Pando Networks
[2011.05.25 15:04:17 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\QIP 2010
[2011.05.25 15:04:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\QipGuard
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Reference Assemblies
[2010.11.07 00:46:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\RegCleaner
[2010.11.06 18:02:10 | 000,000,000 | R--D | M] -- C:\Program Files (x86)\Skype
[2011.07.12 18:18:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Steam
[2011.05.12 18:03:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\VideoDownloader
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Defender
[2010.12.16 04:17:30 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Mail
[2010.10.31 17:10:15 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Media Player
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows NT
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Photo Viewer
[2009.07.14 07:32:40 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Portable Devices
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Sidebar
[2011.06.09 21:01:07 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\World of Warcraft
[2010.12.24 01:04:19 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Xvid
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: CTFMON.EXE  >
[2009.07.14 03:39:02 | 000,009,728 | ---- | M] (Microsoft Corporation) MD5=42B6A94DD747DF2B5F628A2752E62A98 -- C:\Windows\SysNative\ctfmon.exe
[2009.07.14 03:39:02 | 000,009,728 | ---- | M] (Microsoft Corporation) MD5=42B6A94DD747DF2B5F628A2752E62A98 -- C:\Windows\winsxs\amd64_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_f9257e7aaa4290ce\ctfmon.exe
[2009.07.14 03:14:16 | 000,008,704 | ---- | M] (Microsoft Corporation) MD5=4A3CDCEF8ED41B221F3DBEF5792FB52D -- C:\Windows\SysWOW64\ctfmon.exe
[2009.07.14 03:14:16 | 000,008,704 | ---- | M] (Microsoft Corporation) MD5=4A3CDCEF8ED41B221F3DBEF5792FB52D -- C:\Windows\winsxs\x86_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.1.7600.16385_none_9d06e2f6f1e51f98\ctfmon.exe
 
< MD5 for: EXPLORER.EXE  >
[2011.02.26 08:23:14 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=0862495E0C825893DB75EF44FAEA8E93 -- C:\Windows\explorer.exe
[2011.02.26 08:23:14 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=0862495E0C825893DB75EF44FAEA8E93 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe
[2011.02.26 07:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe
[2011.02.26 07:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_b8ce9756e0b786a4\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_b819b343c7ba6202\explorer.exe
[2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\SysWOW64\explorer.exe
[2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe
[2011.02.25 08:19:30 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=332FEAB1435662FC6C672E25BEB37BE3 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe
[2011.02.26 08:14:34 | 002,871,808 | ---- | M] (Microsoft Corporation) MD5=3B69712041F3D63605529BD66DC00C48 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe
[2010.11.20 14:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe
[2009.08.03 08:19:07 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=700073016DAC1C3D2E7E2CE4223334B6 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_ae84b558ac4eb41c\explorer.exe
[2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe
[2009.10.31 08:34:59 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=9AAAEC8DAC27AA17B053E6352AD233AE -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_adc508f19359a007\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_b8d95faae0af7617\explorer.exe
[2010.11.20 15:24:45 | 002,872,320 | ---- | M] (Microsoft Corporation) MD5=AC4C51EB24AA95B77F705AB159189E24 -- C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe
[2009.10.31 08:38:38 | 002,870,272 | ---- | M] (Microsoft Corporation) MD5=B8EC4BD49CE8F6FC457721BFC210B67F -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_ae46d6aeac7ca7c7\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_b853c407c78e3ba9\explorer.exe
[2009.07.14 03:39:10 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=C235A51CB740E45FFA0EBFB9BAFCDA64 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_b89b8100e0dd69c2\explorer.exe
[2011.02.26 08:26:45 | 002,870,784 | ---- | M] (Microsoft Corporation) MD5=E38899074D4951D31B4040E994DD7C8D -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_ae79ed04ac56c4a9\explorer.exe
[2009.08.03 08:17:37 | 002,868,224 | ---- | M] (Microsoft Corporation) MD5=F170B4A061C9E026437B193B4D571799 -- C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_adff19b5932d79ae\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2009.07.14 03:39:29 | 000,427,008 | ---- | M] (Microsoft Corporation) MD5=2E2C937846A0B8789E5E91739284D17A -- C:\Windows\winsxs\amd64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_5023a70bf589ad3e\regedit.exe
[2009.07.14 03:39:29 | 000,427,008 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\SysWOW64\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\wow64_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_5a78515e29ea6f39\regedit.exe
 
< MD5 for: SVCHOST.EXE  >
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\SysWOW64\svchost.exe
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe
[2009.07.14 03:39:46 | 000,027,136 | ---- | M] (Microsoft Corporation) MD5=C78655BC80301D76ED4FEF1C1EA40A7D -- C:\Windows\SysNative\svchost.exe
[2009.07.14 03:39:46 | 000,027,136 | ---- | M] (Microsoft Corporation) MD5=C78655BC80301D76ED4FEF1C1EA40A7D -- C:\Windows\winsxs\amd64_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_11b04b481efec48c\svchost.exe
 
< MD5 for: USERINIT.EXE  >
[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\SysWOW64\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
[2009.07.14 03:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\SysNative\userinit.exe
[2009.07.14 03:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_381dabbceb60feb2\userinit.exe
[2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\SysNative\wininit.exe
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\SysWOW64\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe
[2009.07.14 03:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe
[2009.10.28 09:01:57 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=A93D41A4D4B0D91C072D11DD8AF266DE -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe
[2009.10.28 08:24:40 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\SysNative\winlogon.exe
[2009.10.28 08:24:40 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

< End of report >


M-K-D-B 12.07.2011 19:45

Hallo Lyot,





Schritt # 1: Mehrere Anti-Virus-Programme

Code:

Microsoft Security Essentials
Avira AntiVir

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme deinstallieren.
Hinweis:
Aufgrund aktueller Vorkommnisse empfehlen wir Avira nicht mehr: aviras neue partner: uniblue und ask
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.

Zitat:

Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."






Schritt # 2: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Hast du aswMBR mit Rechtsklick als Administrator ausgeführt?
  • Waren alle anderen Programme geschlossen, als du das Tool ausgeführt hast?
    Zitat:

    19:08:58.417 Initialze error C000010E - driver not loaded
    19:08:58.608 write error "aswEngin.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
    Wurde eine Fehlermeldung angezeigt?




Schritt # 3: ComboFix ausführen
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung für welches AV-Programm du dich entschieden hast,
  • die Beantwortung der gestellten Fragen und
  • das Logfile von ComboFix.

Lyot 12.07.2011 20:23

Zitat:

Zitat von M-K-D-B (Beitrag 682062)
Hallo Lyot,





Schritt # 1: Mehrere Anti-Virus-Programme

Code:

Microsoft Security Essentials
Avira AntiVir

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme deinstallieren.
Hinweis:
Aufgrund aktueller Vorkommnisse empfehlen wir Avira nicht mehr: aviras neue partner: uniblue und ask
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.









Schritt # 2: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Hast du aswMBR mit Rechtsklick als Administrator ausgeführt?
  • Waren alle anderen Programme geschlossen, als du das Tool ausgeführt hast?

    Wurde eine Fehlermeldung angezeigt?

******ich habe es als admin ausgeführt, es waren alle anderen programme geschlosse und es wurde keine fehlermeldung angezeigt.*******


Schritt # 3: ComboFix ausführen
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung für welches AV-Programm du dich entschieden hast,
  • die Beantwortung der gestellten Fragen und
  • das Logfile von ComboFix.


Code:

ComboFix 11-07-12.07 - Noxas 12.07.2011  21:08:44.1.4 - x64
Microsoft Windows 7 Professional  6.1.7600.0.1252.49.1031.18.4094.1389 [GMT 2:00]
ausgeführt von:: c:\users\Noxas\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Noxas\AppData\Roaming\cacaoweb
c:\users\Noxas\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\Noxas\AppData\Roaming\cacaoweb\npdfile.dat
c:\users\Noxas\AppData\Roaming\cacaoweb\replicating4B6C6A2FCE7455D84564ED980A170F31.cacao
c:\users\Noxas\AppData\Roaming\cacaoweb\storage.db
c:\windows\es.exe
c:\windows\pthreadGC2.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-06-12 bis 2011-07-12  ))))))))))))))))))))))))))))))
.
.
2011-07-12 19:13 . 2011-07-12 19:13        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-07-12 13:06 . 2011-07-12 13:06        --------        d-----w-        c:\users\Noxas\AppData\Roaming\Malwarebytes
2011-07-12 13:06 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-12 13:06 . 2011-07-12 13:06        --------        d-----w-        c:\programdata\Malwarebytes
2011-07-12 13:06 . 2011-07-12 13:06        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2011-07-12 13:06 . 2011-05-29 07:11        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-07-11 19:32 . 2011-06-07 17:10        8873296        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{1E22CB6B-90A4-4932-AA5F-991C464E5F14}\mpengine.dll
2011-07-09 11:41 . 2011-07-09 11:41        --------        d-----w-        c:\program files (x86)\Common Files\Java
2011-06-30 11:29 . 2011-06-30 11:29        --------        d-----w-        c:\users\Noxas\AppData\Local\ArmA 2 Free
2011-06-27 20:31 . 2011-06-27 20:31        --------        d-----w-        c:\program files (x86)\Bohemia Interactive
2011-06-27 19:56 . 2011-06-29 14:37        --------        d-----w-        c:\program files (x86)\Common Files\Steam
2011-06-27 19:56 . 2011-07-12 19:15        --------        d-----w-        c:\program files (x86)\Steam
2011-06-16 01:14 . 2011-06-16 01:14        --------        d-----w-        C:\22528142113c9126cc2dc5
2011-06-15 08:09 . 2011-01-17 06:17        197120        ----a-w-        c:\windows\system32\d3d10_1.dll
2011-06-15 08:09 . 2011-01-17 05:38        161792        ----a-w-        c:\windows\SysWow64\d3d10_1.dll
2011-06-15 08:09 . 2011-04-29 03:13        461312        ----a-w-        c:\windows\system32\drivers\srv.sys
2011-06-15 08:09 . 2011-04-29 03:12        399872        ----a-w-        c:\windows\system32\drivers\srv2.sys
2011-06-15 08:09 . 2011-04-29 03:12        161792        ----a-w-        c:\windows\system32\drivers\srvnet.sys
2011-06-15 08:08 . 2010-12-18 06:13        861184        ----a-w-        c:\windows\system32\oleaut32.dll
2011-06-15 08:08 . 2010-12-18 05:31        571904        ----a-w-        c:\windows\SysWow64\oleaut32.dll
2011-06-15 08:08 . 2011-05-03 05:21        976896        ----a-w-        c:\windows\system32\inetcomm.dll
2011-06-15 08:08 . 2011-05-03 04:50        740864        ----a-w-        c:\windows\SysWow64\inetcomm.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-11 16:20 . 2010-12-31 19:57        280768        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr
2011-07-11 16:20 . 2010-12-31 19:56        280768        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe
2011-07-11 16:15 . 2010-12-31 19:56        215128        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0
2011-06-29 13:24 . 2011-01-23 13:34        88288        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-06-29 13:24 . 2011-01-23 13:34        123784        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-06-07 17:10 . 2010-10-31 15:22        8873296        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-05-10 15:14 . 2011-05-25 13:04        141184        ----a-w-        c:\users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
2011-05-04 02:52 . 2010-12-03 18:37        472808        ----a-w-        c:\windows\SysWow64\deployJava1.dll
2011-04-23 21:51 . 2011-04-23 21:24        21840        ----atw-        c:\windows\SysWow64\SIntfNT.dll
2011-04-23 21:51 . 2011-04-23 21:24        17212        ----atw-        c:\windows\SysWow64\SIntf32.dll
2011-04-23 21:51 . 2011-04-23 21:24        12067        ----atw-        c:\windows\SysWow64\SIntf16.dll
2011-04-22 20:18 . 2011-05-25 12:29        27008        ----a-w-        c:\windows\system32\drivers\Diskdump.sys
2011-04-19 10:17 . 2010-11-06 22:51        18960        ----a-w-        c:\windows\system32\drivers\LNonPnP.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QIP Internet Guardian"="c:\users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe" [2011-05-10 187776]
"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-06-27 1242448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-05-25 1951112]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
c:\users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 gvhadszw;gvhadszw;c:\windows\system32\drivers\gvhadszw.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-30 136176]
R3 appliandMP;appliandMP;c:\windows\system32\DRIVERS\appliand.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-30 136176]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2010-11-11 282616]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
S2 Dyyno Launcher;Dyyno Service;c:\program files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe [2011-02-24 415072]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2011-05-25 2275720]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
S2 QipGuard;QipGuard;c:\program files (x86)\QipGuard\QipGuard.exe [2011-05-10 187776]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-16 369256]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [x]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-30 15:04]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-30 15:04]
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000Core.job
- c:\users\Noxas\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-12 08:45]
.
2011-07-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000UA.job
- c:\users\Noxas\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-12 08:45]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 1436224]
"Launch LCore"="c:\program files\Logitech Gaming Software\LCore.exe" [2010-11-16 104008]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
mLocal Page = c:\windows\SysWOW64\blank.htm
uSearchAssistant = hxxp://search.qip.ru/ie
IE: Free YouTube to MP3 Converter - c:\users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\
FF - prefs.js: browser.startup.homepage - hxxp://qip.ru
FF - prefs.js: browser.search.selectedEngine - QIP Search
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: cacaoweb: cacaoweb@cacaoweb.org - %profile%\extensions\cacaoweb@cacaoweb.org
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: Softonic-Eng7 Community Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{58beca16-cae6-4b7a-a0e8-153d0cbba63a} - (no file)
URLSearchHooks-{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - (no file)
Wow6432Node-HKCU-Run-cacaoweb - c:\users\Noxas\AppData\Roaming\cacaoweb\cacaoweb.exe
WebBrowser-{58BECA16-CAE6-4B7A-A0E8-153D0CBBA63A} - (no file)
WebBrowser-{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - (no file)
AddRemove-BattlEye A2 Free - c:\program files (x86)\Bohemia Interactive\ArmA 2 FreeBattlEye\UnInstallBE.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc_bc2.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-4162387930-1573310092-2657919576-1000\Software\SecuROM\License information*]
"datasecu"=hex:5d,04,16,5e,f4,d4,eb,73,7d,97,e0,23,9e,c3,d0,69,1a,a5,a6,ff,90,
  7f,84,ed,be,c0,65,3d,f3,eb,56,99,bd,17,6f,d0,75,67,b4,a9,12,5d,8e,4c,b9,ea,\
"rkeysecu"=hex:f4,7c,27,0e,95,7a,cb,86,3f,8b,b2,cc,be,58,a9,06
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
c:\program files (x86)\Windows Media Player\wmplayer.exe
c:\program files\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDMedia.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-12  21:18:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-12 19:18
.
Vor Suchlauf: 13 Verzeichnis(se), 512.755.519.488 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 515.792.625.664 Bytes frei
.
- - End Of File - - 5685EFE067F4EF9B958959FCD14D5B6B

ich habe mich für microsoft security essentials entschieden.

M-K-D-B 12.07.2011 20:40

Hallo Lyot,



hast du Schritt # 1 meines letzten Posts übersehen? :)




Schritt # 1: Mehrere Anti-Virus-Programme

Code:

Microsoft Security Essentials
Avira AntiVir

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Außerdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Programme deinstallieren.
Hinweis:
Aufgrund aktueller Vorkommnisse empfehlen wir Avira nicht mehr: aviras neue partner: uniblue und ask
Letztendlich liegt die Entscheidung natürlich bei dir.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.

Zitat:

Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."




Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:

    c:\windows\system32\drivers\gvhadszw.sys
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung für welches AV-Programm du dich entschieden hast und
  • den Link zum Ergebnis von VirusTotal.

Lyot 13.07.2011 10:19

so hallo, ich bin jetzt wach und habe nur microsoft security essenitals am laufen! falls du mir ein besseres kostenloses empfehlen könntest, dann hätt ich gern einen link! :)
ich werde die neuen anweisungen abarbeiten und die ergebnisse hier rein editieren!


schritt 2 kann nicht ausgeführt werden, da die datei nicht gefunden wurde.
in dem ordner sind nur mbamswissarmy.sys und wimmount.sys.

M-K-D-B 13.07.2011 19:01

Hallo Lyot,



Zitat:

Zitat von Lyot (Beitrag 682224)
... habe nur microsoft security essenitals am laufen! falls du mir ein besseres kostenloses empfehlen könntest, dann hätt ich gern einen link! :)

Wir empfehlen Microsoft Security Essentials und Avast. Da du ersteres besitzt, passt das soweit. :)




Zitat:

Zitat von Lyot (Beitrag 682224)
schritt 2 kann nicht ausgeführt werden, da die datei nicht gefunden wurde.
in dem ordner sind nur mbamswissarmy.sys und wimmount.sys.

Versuche bitte folgendes:




Schritt # 1: Alle Dateien anzeigen
Gehe bitte auf Start -> Computer --> Organisieren --> Ordner und Suchoptionen.
Wechsle auf den Reiter Ansicht.
  • Entferne den Haken bei Geschützte Systemdateien ausblenden ( empfohlen )
  • Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
  • Aktiviere Alle Dateien und Ordner anzeigen
Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:

    c:\windows\system32\drivers\gvhadszw.sys
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • den Link zum Ergebnis von VirusTotal.

Lyot 13.07.2011 19:52

Hallo, die Datei gibts immer noch nicht.

M-K-D-B 13.07.2011 20:00

Hallo Lyot,




Lösche die vorhandene aswMBR.exe von deinem Rechner.






Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 2: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
/md5start
gvhadszw.sys
/md5stop

  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile von aswMBR und
  • das neue Logfile von OTL.

Lyot 13.07.2011 21:15

Code:

aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software
Run date: 2011-07-12 19:08:55
-----------------------------
19:08:55.874    OS Version: Windows x64 6.1.7600
19:08:55.874    Number of processors: 4 586 0x402
19:08:55.876    ComputerName: MICHAEL  UserName: Noxas
19:08:58.417    Initialze error C000010E - driver not loaded
19:08:58.608    write error "aswEngin.dll". Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
19:10:30.596    AVAST engine defs: 11071201
19:11:00.165    Service scanning
19:11:01.997    Disk 0 trace - called modules:
19:11:01.998   
19:11:04.849    AVAST engine scan C:\Windows
19:21:28.893    File: C:\Windows\System32\drivers\de-DE\bfe.dll.mui  **SUSPICIOUS**
19:21:30.024    File: C:\Windows\System32\drivers\de-DE\ndiscap.sys.mui  **SUSPICIOUS**
19:21:30.126    File: C:\Windows\System32\drivers\de-DE\pacer.sys.mui  **SUSPICIOUS**
19:21:30.216    File: C:\Windows\System32\drivers\de-DE\qwavedrv.sys.mui  **SUSPICIOUS**
19:21:30.276    File: C:\Windows\System32\drivers\de-DE\scfilter.sys.mui  **SUSPICIOUS**
19:21:30.378    File: C:\Windows\System32\drivers\de-DE\tcpip.sys.mui  **SUSPICIOUS**
19:21:38.023    File: C:\Windows\System32\drivers\wimmount.sys  **SUSPICIOUS**
19:42:44.900    AVAST engine scan C:\Users\Noxas
20:03:01.480    AVAST engine scan C:\ProgramData
20:03:48.420    Scan finished successfully
20:06:44.718    The log file has been saved successfully to "C:\Users\Noxas\Desktop\aswMBR.txt"


aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software
Run date: 2011-07-13 21:15:26
-----------------------------
21:15:26.989    OS Version: Windows x64 6.1.7600
21:15:26.989    Number of processors: 4 586 0x402
21:15:26.990    ComputerName: MICHAEL  UserName: Noxas
21:15:29.552    Initialize success
21:17:49.337    AVAST engine defs: 11071301
21:18:18.595    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
21:18:18.596    Disk 0 Vendor: WDC_WD6401AALS-00L3B2 01.03B01 Size: 610480MB BusType: 3
21:18:20.623    Disk 0 MBR read successfully
21:18:20.625    Disk 0 MBR scan
21:18:20.626    Disk 0 Windows 7 default MBR code
21:18:20.628    Service scanning
21:18:21.657    Disk 0 trace - called modules:
21:18:21.659    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
21:18:21.661    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a35060]
21:18:21.663    3 CLASSPNP.SYS[fffff8800100143f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa80047d5060]
21:18:23.065    AVAST engine scan C:\Windows
21:30:02.640    File: C:\Windows\System32\drivers\de-DE\bfe.dll.mui  **SUSPICIOUS**
21:30:03.138    File: C:\Windows\System32\drivers\de-DE\ndiscap.sys.mui  **SUSPICIOUS**
21:30:03.247    File: C:\Windows\System32\drivers\de-DE\pacer.sys.mui  **SUSPICIOUS**
21:30:03.412    File: C:\Windows\System32\drivers\de-DE\qwavedrv.sys.mui  **SUSPICIOUS**
21:30:03.562    File: C:\Windows\System32\drivers\de-DE\scfilter.sys.mui  **SUSPICIOUS**
21:30:03.716    File: C:\Windows\System32\drivers\de-DE\tcpip.sys.mui  **SUSPICIOUS**
21:30:13.020    File: C:\Windows\System32\drivers\wimmount.sys  **SUSPICIOUS**
21:51:29.064    AVAST engine scan C:\Users\Noxas
22:05:07.102    AVAST engine scan C:\ProgramData
22:07:07.145    Scan finished successfully
22:08:51.260    Disk 0 MBR has been saved successfully to "C:\Users\Noxas\Desktop\MBR.dat"
22:08:51.332    The log file has been saved successfully to "C:\Users\Noxas\Desktop\aswMBR.txt"


Code:

OTL logfile created on: 13.07.2011 22:11:02 - Run 3
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 1,99 Gb Available Physical Memory | 49,68% Memory free
8,00 Gb Paging File | 5,92 Gb Available in Paging File | 74,10% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 480,22 Gb Free Space | 80,56% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
PRC - C:\Programme\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDMedia.exe (Logitech Inc.)
PRC - C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Windows Media Player\wmplayer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV:64bit: - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (QipGuard) -- C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Dyyno Launcher) -- C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (LBTServ) -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (LGVirHid) -- C:\Windows\SysNative\drivers\LGVirHid.sys (Logitech Inc.)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (LUsbFilt) -- C:\Windows\SysNative\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (LGBusEnum) -- C:\Windows\SysNative\drivers\LGBusEnum.sys (Logitech Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E8 B4 22 03 BB 10 CC 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.9
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..browser.startup.homepage: "hxxp://qip.ru"
FF - prefs.js..browser.search.selectedEngine: "QIP Search"
FF - prefs.js..browser.search.defaultenginename: "QIP Search"
FF - prefs.js..keyword.URL: "hxxp://search.qip.ru/search?from=FF&query="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Program Files (x86)\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files (x86)\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.12.22 16:14:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.01.23 15:29:00 | 000,000,000 | ---D | M]
 
[2010.12.22 16:14:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (QipAuthorizer) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2011.04.16 17:36:22 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.12.27 02:30:28 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com
[2010.05.12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\icqplugin.xml
[2011.05.25 15:04:23 | 000,002,062 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\qip-search.xml
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.05.08 15:10:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.23 15:29:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.15 12:44:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.12 21:15:05 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [QIP Internet Guardian] C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - Reg Error: Key error. - c:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
 
MsConfig:64bit - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
MsConfig:64bit - StartUpReg: Dyyno Launcher - hkey= - key= - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe ()
MsConfig:64bit - StartUpReg: EvtMgr6 - hkey= - key= - C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
MsConfig:64bit - StartUpReg: Google Update - hkey= - key= - C:\Users\Noxas\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
MsConfig:64bit - StartUpReg: ICQ - hkey= - key= - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
MsConfig:64bit - StartUpReg: LogMeIn Hamachi Ui - hkey= - key= - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
MsConfig:64bit - StartUpReg: Octoshape Streaming Services - hkey= - key= - C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
MsConfig:64bit - StartUpReg: RegistryBooster - hkey= - key= -  File not found
MsConfig:64bit - StartUpReg: Skype - hkey= - key= - C:\Program Files (x86)\Skype\Phone\Skype.exe (Skype Technologies S.A.)
MsConfig:64bit - State: "startup" - Reg Error: Key error.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.13 21:15:06 | 001,925,512 | ---- | C] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR.exe
[2011.07.12 21:18:12 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.07.12 21:15:08 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2011.07.12 21:07:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.07.12 21:07:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.07.12 21:07:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.07.12 21:06:59 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.07.12 21:06:14 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.12 21:05:53 | 004,149,129 | R--- | C] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 19:08:15 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.12 15:06:13 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Malwarebytes
[2011.07.12 15:06:08 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.12 15:06:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.07.12 15:06:03 | 000,025,912 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.07.12 15:06:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.07.09 13:41:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Local\ArmA 2 Free
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Documents\ArmA 2
[2011.06.30 13:27:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:31:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Bohemia Interactive
[2011.06.27 21:56:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Steam
[2011.06.27 21:56:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
[2011.06.27 21:56:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Steam
[2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!
[2011.06.16 03:14:27 | 000,000,000 | ---D | C] -- C:\22528142113c9126cc2dc5
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.13 22:08:51 | 000,000,512 | ---- | M] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.13 21:14:14 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.13 21:14:01 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000UA.job
[2011.07.13 18:59:46 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2011.07.13 18:59:46 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2011.07.13 18:58:43 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2011.07.13 11:18:22 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.07.12 22:14:00 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.12 22:14:00 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000Core.job
[2011.07.12 21:22:08 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.07.12 21:22:08 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.07.12 21:19:08 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.07.12 21:19:08 | 000,656,028 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.07.12 21:19:08 | 000,617,910 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.07.12 21:19:08 | 000,130,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.07.12 21:19:08 | 000,107,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.07.12 21:15:05 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2011.07.12 21:14:23 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.12 21:05:34 | 004,149,129 | R--- | M] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 19:08:07 | 001,925,512 | ---- | M] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | M] () -- C:\Users\Noxas\defogger_reenable
[2011.07.12 14:57:52 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.06.30 14:14:39 | 000,002,363 | ---- | M] () -- C:\Users\Noxas\Desktop\Google Chrome.lnk
[2011.06.30 14:06:13 | 000,292,872 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.06.30 13:27:44 | 385,101,516 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | M] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.29 15:24:02 | 000,123,784 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avipbb.sys
[2011.06.29 15:24:02 | 000,088,288 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2011.06.27 01:51:52 | 632,653,730 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:51:05 | 836,911,523 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.06.27 01:44:51 | 000,007,608 | ---- | M] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\Windows\PEV.exe
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.13 22:08:51 | 000,000,512 | ---- | C] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.12 21:07:03 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2011.07.12 21:07:03 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.07.12 21:07:03 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.07.12 21:07:03 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.07.12 21:07:03 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | C] () -- C:\Users\Noxas\defogger_reenable
[2011.06.30 13:27:44 | 385,101,516 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | C] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:41:54 | 632,653,730 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:41:29 | 836,911,523 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.05.15 14:35:37 | 000,000,632 | ---- | C] () -- C:\Windows\Edofma.INI
[2011.04.23 23:24:14 | 000,021,840 | ---- | C] () -- C:\Windows\SysWow64\SIntfNT.dll
[2011.04.23 23:24:14 | 000,017,212 | ---- | C] () -- C:\Windows\SysWow64\SIntf32.dll
[2011.04.23 23:24:14 | 000,012,067 | ---- | C] () -- C:\Windows\SysWow64\SIntf16.dll
[2011.04.03 02:47:54 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2010.12.31 21:56:26 | 000,280,768 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2010.12.31 21:56:25 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2010.12.31 21:56:25 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2010.12.24 00:18:34 | 000,301,056 | ---- | C] () -- C:\Windows\SysWow64\XDogcat.dll
[2010.12.21 19:37:20 | 046,504,568 | ---- | C] () -- C:\Users\Noxas\AppData\Roaming\.minecraft.zip
[2010.12.09 17:25:56 | 000,815,104 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2010.12.09 17:25:55 | 000,180,224 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2010.11.06 18:02:45 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.10.31 18:15:53 | 000,007,608 | ---- | C] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2009.07.14 07:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 04:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 02:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2004.02.20 22:36:34 | 000,416,256 | ---- | C] () -- C:\Windows\exchndl.dll
 
========== LOP Check ==========
 
[2011.06.23 21:02:31 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\.minecraft
[2011.04.23 20:53:06 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Darkfall
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.02.27 19:08:22 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Dyyno
[2011.06.29 15:36:41 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\gtk-2.0
[2011.04.16 15:29:22 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\ICQ
[2011.05.12 18:06:06 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Juniper Networks
[2010.11.07 00:51:27 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Leadertech
[2010.10.30 17:24:53 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\LolClient
[2010.11.01 20:04:58 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Mumble
[2011.03.02 14:17:54 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Octoshape
[2011.05.08 15:11:25 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\OpenOffice.org
[2011.05.25 15:04:29 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\QIP
[2011.05.25 15:04:17 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\QipGuard
[2010.12.24 00:20:24 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\SpeedyiTunes
[2011.05.24 17:09:44 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\TS3Client
[2011.01.01 21:08:26 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Uniblue
[2011.04.14 16:28:15 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\wargaming.net
[2011.04.17 09:50:43 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.07.12 21:15:08 | 000,000,000 | ---D | M] -- C:\$RECYCLE.BIN
[2011.06.16 03:14:27 | 000,000,000 | ---D | M] -- C:\22528142113c9126cc2dc5
[2011.04.16 03:00:44 | 000,000,000 | ---D | M] -- C:\90fd99c6d3fe5ea2c8
[2009.07.14 07:08:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2010.10.30 16:32:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.11.11 10:18:47 | 000,000,000 | ---D | M] -- C:\Downloads
[2011.04.14 15:36:13 | 000,000,000 | ---D | M] -- C:\Games
[2010.10.30 17:57:46 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2009.07.14 05:20:08 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2010.11.12 15:17:18 | 000,000,000 | ---D | M] -- C:\PFiles
[2011.04.24 17:58:18 | 000,000,000 | R--D | M] -- C:\Program Files
[2011.07.12 15:06:03 | 000,000,000 | R--D | M] -- C:\Program Files (x86)
[2011.07.12 15:06:07 | 000,000,000 | ---D | M] -- C:\ProgramData
[2010.10.30 16:32:05 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.07.12 21:18:13 | 000,000,000 | ---D | M] -- C:\Qoobox
[2010.10.30 16:32:05 | 000,000,000 | ---D | M] -- C:\Recovery
[2011.07.13 13:09:15 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.10.30 16:32:12 | 000,000,000 | R--D | M] -- C:\Users
[2011.07.12 21:18:12 | 000,000,000 | ---D | M] -- C:\Windows
[2010.12.10 14:14:02 | 000,000,000 | ---D | M] -- C:\xampp
 
< %PROGRAMFILES%\*.exe >
 
< %PROGRAMFILES%\*. >
[2011.05.15 15:18:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Activision
[2011.01.23 15:34:44 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Avira
[2011.06.27 22:31:19 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Bohemia Interactive
[2011.07.12 21:10:43 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Common Files
[2011.04.23 14:54:07 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Darkfall
[2011.04.24 02:57:43 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Diablo II
[2011.04.14 15:21:27 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\DivX
[2011.02.03 17:02:03 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Duty Calls
[2011.05.12 18:37:11 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\DVDVideoSoft
[2011.02.27 19:08:22 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Dyyno
[2011.02.03 22:44:45 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Electric Sheep
[2010.12.30 18:30:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Electronic Arts
[2010.12.19 13:58:20 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\GIMP-2.0
[2011.06.15 02:15:36 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Google
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ6Toolbar
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ7.2
[2011.04.16 17:36:24 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\ICQ7.4
[2010.10.30 18:07:44 | 000,000,000 | -H-D | M] -- C:\Program Files (x86)\InstallShield Installation Information
[2011.06.16 13:12:50 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Internet Explorer
[2011.07.09 13:40:54 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Java
[2011.05.24 17:10:47 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\League of Legends
[2011.05.30 23:47:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\LogMeIn Hamachi
[2010.10.30 17:12:23 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\LOLSetup
[2011.07.12 15:06:09 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.04.03 02:47:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft Antimalware
[2011.04.03 02:47:52 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft Security Client
[2010.10.31 17:01:33 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Microsoft.NET
[2010.12.22 16:14:40 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mozilla Firefox
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\MSBuild
[2011.05.17 12:59:57 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\MSXML 4.0
[2010.11.01 19:19:39 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mumble
[2010.10.30 17:03:43 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\NOS
[2010.10.30 17:59:50 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\NVIDIA Corporation
[2011.05.08 15:08:29 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenOffice
[2011.05.08 15:10:30 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenOffice.org 3
[2011.05.07 15:50:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\OpenPlsInWMP
[2010.10.30 16:36:28 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Pando Networks
[2011.05.25 15:04:17 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\QIP 2010
[2011.05.25 15:04:21 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\QipGuard
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Reference Assemblies
[2010.11.07 00:46:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\RegCleaner
[2010.11.06 18:02:10 | 000,000,000 | R--D | M] -- C:\Program Files (x86)\Skype
[2011.07.12 21:15:09 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Steam
[2011.05.12 18:03:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\VideoDownloader
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Defender
[2010.12.16 04:17:30 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Mail
[2010.10.31 17:10:15 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Media Player
[2009.07.14 07:32:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows NT
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Photo Viewer
[2009.07.14 07:32:40 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Portable Devices
[2009.07.14 19:58:49 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Windows Sidebar
[2011.06.09 21:01:07 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\World of Warcraft
[2010.12.24 01:04:19 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Xvid
 
< %LOCALAPPDATA%\*.exe >
 

< End of report >


M-K-D-B 13.07.2011 21:59

Hallo Lyot,






Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Ich denke, wir reden aneinander vorbei. Du sagtest:
    Zitat:

    Zitat von Lyot (Beitrag 682224)
    ... und habe nur microsoft security essenitals am laufen!

    Im aktuellen Logfile von OTL ist Avira immer noch installiert:
    Zitat:

    PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
    Daher meine Frage: Wieso ist Avira noch installiert, wenn du dich für Microsoft Security Essentials entschieden hast?
    ( Nur mal zur Info: Start -> Systemsteuerung -> Programme deinstallieren -> Avira auswählen und deinstallieren )
  • Warum hast du die letzten drei Zeilen des benutzerdefinierten Scans nicht in das Textfeld eingegeben?
    Zitat:

    /md5start
    gvhadszw.sys
    /md5stop

    Es fehlt nämlich im OTL Logfile. Da du alle anderen Zeilen eingefügt hast, frage ich mich, warum du diese ausgelassen hast?




Schritt # 2: Fix mit OTL
Code:

:OTL
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.9
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2010.12.27 02:30:28 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org
[2010.12.30 18:25:26 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
MsConfig:64bit - StartUpReg: RegistryBooster - hkey= - key= -  File not found
[2010.11.07 00:46:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\RegCleaner
[2011.01.01 21:08:26 | 000,000,000 | ---D | M] -- C:\Users\Noxas\AppData\Roaming\Uniblue

:commands
[Purity]
[Emptytemp]

  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread




Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.




Schritt # 4: Systemscan mit OTL
  • Starte bitte OTL.exe.
  • Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
  • Poste die OTL.txt und die Extras.txt hier in deinen Thread.




Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen,
  • das Logfile des OTL-Fix,
  • das Logfile von MBAM und
  • die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Lyot 14.07.2011 08:58

Hallo,

zu antivir: ich hab alle dienste deaktiviert, jedoch kam ich erst jetzt dazu es zu deinstallieren! sollte nun runter sein.

zu dem ausgelassenen code: da habe ich wohl ausversehen beim kopieren die letzten 3 zeilen weg gelassen.. hoffe das war nichts gravierendes.

ich werde die programme nach der schule in ruhe laufen lassen, da ich nur grade pause habe.

danke für die wirklich sehr kompetente hilfe bis hier hin :)


ps: MBAM hat mir grade mitgeteilt, dass der Zugang zu einer potenziell gefährlichen Webseite gestoppt wurde. Art: ausgehend. Port: 8.
grüße

M-K-D-B 14.07.2011 16:08

Hallo Lyot,



Zitat:

Zitat von Lyot (Beitrag 682657)
zu dem ausgelassenen code: da habe ich wohl ausversehen beim kopieren die letzten 3 zeilen weg gelassen.. hoffe das war nichts gravierendes.

Naja, es ging dabei um die Datei, die du zum Hochladen bei VirusTotal nicht gefunden hast. Das müssen wir dann eben später noch nachholen.


Zitat:

Zitat von Lyot (Beitrag 682657)
ich werde die programme nach der schule in ruhe laufen lassen, da ich nur grade pause habe.

Poste die Logfiles, sobald du Zeit dazu hast.


Zitat:

Zitat von Lyot (Beitrag 682657)
danke für die wirklich sehr kompetente hilfe bis hier hin :)

Gern geschehen, aber wir sind ja noch nicht fertig. Für gewöhnlich bedankt man sich erst nach getaner Arbeit. :)


Zitat:

Zitat von Lyot (Beitrag 682657)
ps: MBAM hat mir grade mitgeteilt, dass der Zugang zu einer potenziell gefährlichen Webseite gestoppt wurde. Art: ausgehend. Port: 8.

Ich brauche die genaue Meldung von MBAM.

Lyot 17.07.2011 14:56

Code:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Prefs.js: cacaoweb@cacaoweb.org:1.0.9 removed from extensions.enabledItems
Prefs.js: engine@conduit.com:3.2.5.2 removed from extensions.enabledItems
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\searchplugin folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\META-INF folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\lib folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\defaults folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\components folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}\chrome folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\defaults\preferences folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\defaults folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\skin folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\locale\fr-FR folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\locale\es-ES folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\locale\en-US folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\locale\de-DE folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\locale folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome\content folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org\chrome folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\cacaoweb@cacaoweb.org folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\searchplugin folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\META-INF folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\lib folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\DualPackage folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\defaults folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\components folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com\chrome folder moved successfully.
C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\engine@conduit.com folder moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\RegistryBooster\ not found.
C:\Program Files (x86)\RegCleaner\Languages folder moved successfully.
C:\Program Files (x86)\RegCleaner folder moved successfully.
C:\Users\Noxas\AppData\Roaming\Uniblue\RegistryBooster\_temp folder moved successfully.
C:\Users\Noxas\AppData\Roaming\Uniblue\RegistryBooster\history folder moved successfully.
C:\Users\Noxas\AppData\Roaming\Uniblue\RegistryBooster\backup folder moved successfully.
C:\Users\Noxas\AppData\Roaming\Uniblue\RegistryBooster folder moved successfully.
C:\Users\Noxas\AppData\Roaming\Uniblue folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Noxas
->Temp folder emptied: 45479915 bytes
->Temporary Internet Files folder emptied: 100450144 bytes
->Java cache emptied: 870156 bytes
->FireFox cache emptied: 53793311 bytes
->Google Chrome cache emptied: 391907640 bytes
->Flash cache emptied: 245454 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 401462 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 35098 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 566,00 mb
 
 
OTL by OldTimer - Version 3.2.26.1 log created on 07172011_154402

Files\Folders moved on Reboot...
C:\Users\Noxas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Code:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7173

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2011 15:50:19
mbam-log-2011-07-17 (15-50-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168637
Laufzeit: 1 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\T7PKEYSDPX (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

03:21:19        Noxas        MESSAGE        Protection started successfully
03:21:23        Noxas        MESSAGE        IP Protection started successfully
03:45:43        Noxas        MESSAGE        Scheduled update executed successfully
03:46:20        Noxas        MESSAGE        IP Protection stopped
03:46:22        Noxas        MESSAGE        Database updated successfully
03:46:22        Noxas        MESSAGE        IP Protection started successfully
10:06:11        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:06:11        Noxas        IP-BLOCK        82.80.245.100 (Type: outgoing, Port: 8)
10:06:11        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:06:19        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:06:19        Noxas        IP-BLOCK        82.80.245.100 (Type: outgoing, Port: 8)
10:06:19        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:12:20        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:12:20        Noxas        IP-BLOCK        82.80.245.100 (Type: outgoing, Port: 8)
10:12:20        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
10:12:20        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52387, Process: chrome.exe)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52388, Process: chrome.exe)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52389, Process: chrome.exe)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52390, Process: chrome.exe)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52391, Process: chrome.exe)
17:28:58        Noxas        IP-BLOCK        208.73.210.29 (Type: outgoing, Port: 52392, Process: chrome.exe)
23:19:41        Noxas        IP-BLOCK        82.80.245.100 (Type: outgoing, Port: 8)
23:19:41        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
23:19:41        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
23:19:41        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
23:19:41        Noxas        IP-BLOCK        83.222.109.20 (Type: outgoing, Port: 8)

Code:

03:45:57        Noxas        MESSAGE        Scheduled update executed successfully
03:46:21        Noxas        MESSAGE        IP Protection stopped
03:46:23        Noxas        MESSAGE        Database updated successfully
03:46:24        Noxas        MESSAGE        IP Protection started successfully
14:09:51        Noxas        MESSAGE        Protection started successfully
14:09:55        Noxas        MESSAGE        IP Protection started successfully
14:51:24        Noxas        IP-BLOCK        82.80.245.100 (Type: outgoing, Port: 8)
14:51:24        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)
14:51:24        Noxas        IP-BLOCK        83.222.109.30 (Type: outgoing, Port: 8)

Code:

OTL logfile created on: 17.07.2011 15:53:02 - Run 4
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,52 Gb Available Physical Memory | 63,11% Memory free
8,00 Gb Paging File | 6,26 Gb Available in Paging File | 78,26% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 481,77 Gb Free Space | 80,82% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
PRC - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
PRC - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
PRC - C:\Programme\Logitech Gaming Software\plugins\LCDAppletsMono-1.00.027\Applets\x86\LCDMedia.exe (Logitech Inc.)
PRC - C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Windows Media Player\wmplayer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV:64bit: - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (QipGuard) -- C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
SRV - (Dyyno Launcher) -- C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (LBTServ) -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (LGVirHid) -- C:\Windows\SysNative\drivers\LGVirHid.sys (Logitech Inc.)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (LUsbFilt) -- C:\Windows\SysNative\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (LGBusEnum) -- C:\Windows\SysNative\drivers\LGBusEnum.sys (Logitech Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E8 B4 22 03 BB 10 CC 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
IE - HKCU\..\URLSearchHook: {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems:
FF - prefs.js..extensions.enabledItems:
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..browser.startup.homepage: "hxxp://qip.ru"
FF - prefs.js..browser.search.selectedEngine: "QIP Search"
FF - prefs.js..browser.search.defaultenginename: "QIP Search"
FF - prefs.js..keyword.URL: "hxxp://search.qip.ru/search?from=FF&query="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Program Files (x86)\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files (x86)\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.12.22 16:14:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.01.23 15:29:00 | 000,000,000 | ---D | M]
 
[2010.12.22 16:14:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Extensions
[2011.07.17 15:44:04 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (QipAuthorizer) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}
[2011.04.16 17:36:22 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.05.12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\icqplugin.xml
[2011.05.25 15:04:23 | 000,002,062 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\qip-search.xml
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.05.08 15:10:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.23 15:29:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.15 12:44:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
File not found (No name found) -- C:\USERS\NOXAS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BQ471BPQ.DEFAULT\EXTENSIONS\{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3}
File not found (No name found) -- C:\USERS\NOXAS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BQ471BPQ.DEFAULT\EXTENSIONS\CACAOWEB@CACAOWEB.ORG
File not found (No name found) -- C:\USERS\NOXAS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BQ471BPQ.DEFAULT\EXTENSIONS\ENGINE@CONDUIT.COM
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.12 21:15:05 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [QIP Internet Guardian] C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - Reg Error: Key error. - c:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.17 15:44:02 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.07.13 21:15:06 | 001,925,512 | ---- | C] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR.exe
[2011.07.13 12:09:30 | 000,422,400 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\KernelBase.dll
[2011.07.13 12:09:29 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.07.13 12:09:29 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.07.13 12:09:28 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-file-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-threadpool-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processthreads-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-synch-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localregistry-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-memory-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-heap-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-xstate-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-util-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-string-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-profile-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-io-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-interlocked-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-handle-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-fibers-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-delayload-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-debug-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-datetime-l1-1-0.dll
[2011.07.13 12:09:27 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
[2011.07.13 12:09:27 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-security-base-l1-1-0.dll
[2011.07.13 12:09:27 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localization-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-misc-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-console-l1-1-0.dll
[2011.07.13 12:09:15 | 001,162,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\kernel32.dll
[2011.07.13 12:09:15 | 000,362,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64win.dll
[2011.07.13 12:09:14 | 000,338,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\conhost.exe
[2011.07.13 12:09:14 | 000,243,200 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64.dll
[2011.07.13 12:09:14 | 000,214,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winsrv.dll
[2011.07.13 12:09:14 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\setup16.exe
[2011.07.13 12:09:14 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntvdm64.dll
[2011.07.13 12:09:14 | 000,014,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntvdm64.dll
[2011.07.13 12:09:14 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64cpu.dll
[2011.07.13 12:09:14 | 000,007,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\instnm.exe
[2011.07.13 12:09:14 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wow32.dll
[2011.07.13 12:09:11 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\user.exe
[2011.07.12 21:18:12 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.07.12 21:15:08 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2011.07.12 21:07:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.07.12 21:07:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.07.12 21:07:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.07.12 21:06:59 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.07.12 21:06:14 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.12 21:05:53 | 004,149,129 | R--- | C] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 19:08:15 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.12 15:06:13 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Malwarebytes
[2011.07.12 15:06:08 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.12 15:06:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.07.12 15:06:03 | 000,025,912 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.07.12 15:06:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.07.09 13:41:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2011.07.09 13:40:56 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaws.exe
[2011.07.09 13:40:56 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaw.exe
[2011.07.09 13:40:56 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\java.exe
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Local\ArmA 2 Free
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Documents\ArmA 2
[2011.06.30 13:27:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.06.29 15:35:25 | 000,252,928 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drvinst.exe
[2011.06.29 15:35:24 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\devrtl.dll
[2011.06.29 15:35:21 | 002,228,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssrch.dll
[2011.06.29 15:35:20 | 002,326,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\tquery.dll
[2011.06.29 15:35:20 | 001,553,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\tquery.dll
[2011.06.29 15:35:20 | 001,401,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssrch.dll
[2011.06.29 15:35:19 | 000,491,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssph.dll
[2011.06.29 15:35:18 | 000,779,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssvp.dll
[2011.06.29 15:35:18 | 000,666,624 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssvp.dll
[2011.06.29 15:35:18 | 000,337,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssph.dll
[2011.06.29 15:35:18 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SearchProtocolHost.exe
[2011.06.29 15:35:18 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssphtb.dll
[2011.06.29 15:35:18 | 000,113,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SearchFilterHost.exe
[2011.06.29 15:35:18 | 000,075,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msscntrs.dll
[2011.06.29 15:35:17 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssphtb.dll
[2011.06.29 15:35:17 | 000,059,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msscntrs.dll
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:31:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Bohemia Interactive
[2011.06.27 21:56:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Steam
[2011.06.27 21:56:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
[2011.06.27 21:56:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Steam
[2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.17 15:53:35 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.07.17 15:53:35 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.07.17 15:52:24 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.07.17 15:52:24 | 000,656,028 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.07.17 15:52:24 | 000,617,910 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.07.17 15:52:24 | 000,130,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.07.17 15:52:24 | 000,107,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.07.17 15:46:29 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.17 15:46:12 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.07.17 15:46:07 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.17 15:31:02 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.17 15:30:48 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000UA.job
[2011.07.16 22:14:01 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000Core.job
[2011.07.15 17:43:51 | 000,001,148 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.07.15 14:51:56 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2011.07.15 14:51:56 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2011.07.15 14:50:33 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2011.07.14 09:54:56 | 000,002,363 | ---- | M] () -- C:\Users\Noxas\Desktop\Google Chrome.lnk
[2011.07.14 03:18:58 | 000,292,872 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.07.13 22:08:51 | 000,000,512 | ---- | M] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.12 21:15:05 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2011.07.12 21:05:34 | 004,149,129 | R--- | M] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 19:08:07 | 001,925,512 | ---- | M] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | M] () -- C:\Users\Noxas\defogger_reenable
[2011.07.12 14:57:52 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.06 19:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.06 19:52:42 | 000,025,912 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.06.30 13:27:44 | 385,101,516 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | M] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:51:52 | 632,653,730 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:51:05 | 836,911,523 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.06.27 01:44:51 | 000,007,608 | ---- | M] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\Windows\PEV.exe
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.15 17:43:51 | 000,001,148 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.07.13 22:08:51 | 000,000,512 | ---- | C] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.12 21:07:03 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2011.07.12 21:07:03 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.07.12 21:07:03 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.07.12 21:07:03 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.07.12 21:07:03 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | C] () -- C:\Users\Noxas\defogger_reenable
[2011.06.30 13:27:44 | 385,101,516 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | C] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:41:54 | 632,653,730 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:41:29 | 836,911,523 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.05.15 14:35:37 | 000,000,632 | ---- | C] () -- C:\Windows\Edofma.INI
[2011.04.23 23:24:14 | 000,021,840 | ---- | C] () -- C:\Windows\SysWow64\SIntfNT.dll
[2011.04.23 23:24:14 | 000,017,212 | ---- | C] () -- C:\Windows\SysWow64\SIntf32.dll
[2011.04.23 23:24:14 | 000,012,067 | ---- | C] () -- C:\Windows\SysWow64\SIntf16.dll
[2011.04.03 02:47:54 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2010.12.31 21:56:26 | 000,280,768 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2010.12.31 21:56:25 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2010.12.31 21:56:25 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2010.12.24 00:18:34 | 000,301,056 | ---- | C] () -- C:\Windows\SysWow64\XDogcat.dll
[2010.12.21 19:37:20 | 046,504,568 | ---- | C] () -- C:\Users\Noxas\AppData\Roaming\.minecraft.zip
[2010.12.09 17:25:56 | 000,815,104 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2010.12.09 17:25:55 | 000,180,224 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2010.11.06 18:02:45 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.10.31 18:15:53 | 000,007,608 | ---- | C] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2009.07.14 07:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 04:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 02:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2004.02.20 22:36:34 | 000,416,256 | ---- | C] () -- C:\Windows\exchndl.dll

< End of report >

Code:

OTL Extras logfile created on: 17.07.2011 15:53:02 - Run 4
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,52 Gb Available Physical Memory | 63,11% Memory free
8,00 Gb Paging File | 6,26 Gb Available in Paging File | 78,26% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 481,77 Gb Free Space | 80,82% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l File not found
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{23170F69-40C1-2702-0465-000001000000}" = 7-Zip 4.65 (x64 edition)
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{690285C2-2481-44FB-8402-162EA970A6DD}" = Logitech Gaming Software 7.00
"{774088D4-0777-4D78-904D-E435B318F5D2}" = Microsoft Antimalware
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 260.99
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{E77543EE-6FB5-4FF6-AB70-635392C8C756}" = Microsoft Security Client
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{FCAB9F73-BF5D-4E3D-92E7-B0F35C568F20}" = Microsoft Security Client DE-DE Language Pack
"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit
"KLiteCodecPack64_is1" = K-Lite Codec Pack (64-bit) v4.4.0
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"SP6" = Logitech SetPoint 6.15
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"WinRAR archiver" = WinRAR 4.00 (64-Bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0AEB967F-1D12-43C8-A59C-D93DA8EE4A4E}" = Duty Calls
"{1EAC1D02-C6AC-4FA6-9A44-96258C37C812}_is1" = World of Tanks v.0.6.3.11
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26
"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B3FED300-806C-11E0-A0D0-B8AC6F97B88E}" = Google Earth
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{EEF985E8-8B36-4230-B174-117A2381C17F}" = LogMeIn Hamachi
"{F868C16D-75F8-4EE8-BCBF-422D0833415D}_is1" = Open PLS in Windows Media Player 2.3.0
"{FDF7AE84-273E-47FD-9E39-CE0CB90A175B}" = Darkfall
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArmA 2" = ArmA 2 Free Uninstall
"AVI Screen Saver" = AVI Screen Saver
"BattlEye A2 Free" = BattlEye (A2Free) Uninstall
"DivX Setup.divx.com" = DivX-Setup
"Dyyno Broadcaster" = Dyyno Broadcaster
"EADM" = EA Download Manager
"Electric Sheep" = Electric Sheep 2.7b29
"Empires Dawn of the Modern World" = Empires Dawn of the Modern World
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free Video Flip and Rotate_is1" = Free Video Flip and Rotate version 1.8.11.426
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.31
"LogMeIn Hamachi" = LogMeIn Hamachi
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mumble" = Mumble and Murmur
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"PunkBusterSvc" = PunkBuster Services
"Uninstall_is1" = Uninstall 1.0.0.1
"Video Downloader Toolbar" = Video Downloader Toolbar
"WinGimp-2.0_is1" = GIMP 2.6.11
"World of Warcraft" = World of Warcraft
"Xvid_is1" = Xvid 1.2.1 final uninstall
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"Octoshape Streaming Services" = Octoshape Streaming Services
"QIP 2010" = QIP 2010 3.1.5488
"QipGuard" = QIP Internet Guardian
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 15.07.2011 08:17:13 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 15.07.2011 08:17:13 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 15.07.2011 14:00:01 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 15.07.2011 15:00:00 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 16.07.2011 12:23:21 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 16.07.2011 12:33:40 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 16.07.2011 12:33:40 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 17.07.2011 09:33:36 | Computer Name = MICHAEL | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 17.07.2011 09:46:21 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 17.07.2011 09:49:27 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
[ System Events ]
Error - 30.06.2011 08:06:53 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 30.06.2011 11:24:12 | Computer Name = Michael | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?30.?06.?2011 um 17:22:28 unerwartet heruntergefahren.
 
Error - 30.06.2011 11:25:43 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 30.06.2011 11:29:52 | Computer Name = Michael | Source = Service Control Manager | ID = 7006
Description = Der Aufruf "ScRegSetValueExW" ist für "Start" aufgrund folgenden Fehlers
 fehlgeschlagen:  %%5
 
Error - 12.07.2011 08:44:55 | Computer Name = Michael | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?12.?07.?2011 um 00:02:23 unerwartet heruntergefahren.
 
Error - 12.07.2011 11:26:48 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 12.07.2011 12:18:08 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 12.07.2011 15:10:40 | Computer Name = Michael | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 12.07.2011 15:13:02 | Computer Name = Michael | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\ComboFix\catchme.sys
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 12.07.2011 15:13:31 | Computer Name = Michael | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
 
< End of report >

sorry, dass es so lang gedauert hat :/ aber hoffe ich hab alles richtig gemacht diesmal :)

M-K-D-B 17.07.2011 20:47

Hallo Lyot,






Schritt # 1: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:

    C:\Windows\System32\drivers\wimmount.sys
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 2: Benutzerdefinierter Scan mit OTL
Code:

/md5start
wimmount.sys
gvhadszw.sys
/md5stop

  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Nichts und danach den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread




Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Wie läuft dein Rechner derzeit?
  • Meldet MBAM immer noch, dass der Zugang zu einer evtl. potentiellen Website blockiert wird?
    Welche Seite hast du zur Zeit der Meldung aufgerufen?
  • Gibt es noch andere Probleme auf deinem Rechner?
  • Wirst du bei einer Google Suche auf andere Seiten umgeleitet? Teste bitte mit allen Browsern und berichte.




Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • den Link zum Ergebnis von VirusTotal,
  • das neue Logfile von OTL (OTL.txt) und
  • die Beantwortung der gestellten Fragen.

M-K-D-B 21.07.2011 20:43

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Lyot 22.07.2011 11:13

Code:

hxxp://www.virustotal.com/file-scan/report.html?id=cea21302b3e855ee592810d4e0de10e47a47a393064c435463cd54598735cd8d-1311328959

Code:

OTL logfile created on: 22.07.2011 12:10:43 - Run 5
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,10 Gb Available Physical Memory | 77,65% Memory free
8,00 Gb Paging File | 6,63 Gb Available in Paging File | 82,93% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 482,34 Gb Free Space | 80,92% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
 
 
< MD5 for: WIMMOUNT.SYS  >
[2009.07.14 03:45:56 | 000,022,096 | ---- | M] (Microsoft Corporation) MD5=05ECAEC3E4529A7153B3136CEB49F0EC -- C:\Windows\SysNative\drivers\wimmount.sys
[2009.07.14 03:45:56 | 000,022,096 | ---- | M] (Microsoft Corporation) MD5=05ECAEC3E4529A7153B3136CEB49F0EC -- C:\Windows\winsxs\amd64_microsoft-windows-wimgapi_31bf3856ad364e35_6.1.7600.16385_none_e4f094112e8f905d\wimmount.sys
[2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) MD5=5CF95B35E59E2A38023836FFF31BE64C -- C:\Windows\SysWOW64\drivers\wimmount.sys
[2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) MD5=5CF95B35E59E2A38023836FFF31BE64C -- C:\Windows\winsxs\x86_microsoft-windows-wimgapi_31bf3856ad364e35_6.1.7600.16385_none_88d1f88d76321f27\wimmount.sys
[2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) MD5=5CF95B35E59E2A38023836FFF31BE64C -- C:\Windows\winsxs\x86_microsoft-windows-wimgapi_31bf3856ad364e35_6.1.7601.17514_none_8b030c557320a2c1\wimmount.sys

< End of report >


Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:
Wie läuft dein Rechner derzeit?

Ich habe ca. 2 mal in der Woche einen Freeze, bei dem eine rote LED am An-/Ausknopf leuchtet. Zudem hakt kurz vor dem Freeze der Sound, er wird verzerrt.

Meldet MBAM immer noch, dass der Zugang zu einer evtl. potentiellen Website blockiert wird?

Ja, MBAM meldet immernoch, dass der Zugang blockiert wird. Ca. 3-5 mal am Tag.

Welche Seite hast du zur Zeit der Meldung aufgerufen?

Ein oder zweimal kam die Meldung beim Aufruf einer Pornoseite, da bin ich mir sicher (ist auch irgendwie einleuchtend.) Die anderen Male weiß ich nicht, aber ich werde drauf achten und bescheid geben.

Gibt es noch andere Probleme auf deinem Rechner?

Ja, wenn ich ein Programm per Administrator starten will, muss ich in ca. 40% der Fälle erst den Task Manager öffnen, bevor die Meldung zur Bestätigung kommt.

Wirst du bei einer Google Suche auf andere Seiten umgeleitet? Teste bitte mit allen Browsern und berichte.

Nein, ich habe mehrere Suchen ausgeführt und bei keiner wurde ich umgeleitet. Getestet wurden alle Browser.


Sorry, dass es so lang gedauert hat. War keine Faulheit, hat andere Gründe gehabt. Hoffe du willst noch weitermachen :)

MfG

M-K-D-B 22.07.2011 13:39

Hallo Lyot,





Schritt # 1: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.
  • Trenne dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter, besonders den deiner Anti-Viren Software.
  • Schließe alle offenen Programme.
  • Starte die RKUnhookerLE.exe
    Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
  • Klicke rechts auf Report und anschließend auf den Scan Button.
  • Setze ein Häkchen vor
    • Drivers
    • Stealth Code
    • Code Hooks
  • Entferne alle anderen Haken.
  • Bestätige mit Ok.
  • Wenn Du gefragt wirst, welcher Bereich gescannt werden soll, gehe sicher das dein Systemlaufwerk ( meistens C: ) angehakt ist. Deaktiviere alle anderen Laufwerke. Bestätige wieder mit Ok.
  • Das Tool scannt nun deinen Rechner. Hab Geduld.
  • Wenn der Scan beendet ist, klicke auf File -> Save Report
  • Speichere die Datei als RKU.txt auf deinem Desktop.
  • Klicke auf Close und bestätige mit Ja.
  • Poste das Logfile mit deiner nächsten Antwort.
Hinweis: Solltest Du folgende Warnung bekommen
Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"
Klicke auf OK





Schritt # 2: Systemscan mit OTL
  • Starte bitte OTL.exe.
  • Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
  • Poste die OTL.txt und die Extras.txt hier in deinen Thread.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile von RKU und
  • die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Lyot 22.07.2011 16:41

Code:

Exception code : 0xC0000005
Instruction address : 0x00402EAA
Attempt to read at address  : 0xFFFFFFFF

das ist der inhalt des auf dem desktop generierten rku_error_logs, nachdem ich die bestätigung zum starten als admin gegeben habe. das programm lässt sich nicht starten.

M-K-D-B 22.07.2011 16:49

Hallo Lyot,


Zitat:

Zitat von Lyot (Beitrag 685844)
Code:

Exception code : 0xC0000005
Instruction address : 0x00402EAA
Attempt to read at address  : 0xFFFFFFFF

das ist der inhalt des auf dem desktop generierten rku_error_logs, nachdem ich die bestätigung zum starten als admin gegeben habe. das programm lässt sich nicht starten.

Mein Fehler, tut mir Leid.


Lösche die vorhandene aswMBR.exe von deinem Desktop.




Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 2: Systemscan mit OTL
  • Starte bitte OTL.exe.
  • Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
  • Poste die OTL.txt und die Extras.txt hier in deinen Thread.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile von aswMBR und
  • die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Lyot 23.07.2011 12:08

Hallo!

Hier die Logs:

Code:

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-23 12:59:27
-----------------------------
12:59:27.745    OS Version: Windows x64 6.1.7600
12:59:27.746    Number of processors: 4 586 0x402
12:59:27.746    ComputerName: MICHAEL  UserName: Noxas
12:59:30.719    Initialize success
12:59:57.360    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1
12:59:57.361    Disk 0 Vendor: WDC_WD6401AALS-00L3B2 01.03B01 Size: 610480MB BusType: 3
12:59:57.368    Disk 0 MBR read successfully
12:59:57.369    Disk 0 MBR scan
12:59:57.370    Disk 0 Windows 7 default MBR code
12:59:57.372    Service scanning
12:59:57.958    Service catchme C:\ComboFix\catchme.sys **LOCKED** 3
12:59:58.089    Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
12:59:58.799    Modules scanning
12:59:58.801    Disk 0 trace - called modules:
12:59:58.804    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
12:59:58.806    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a33060]
12:59:58.808    3 CLASSPNP.SYS[fffff8800189a43f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0xfffffa80047d1680]
12:59:58.810    Scan finished successfully
13:00:35.761    Disk 0 MBR has been saved successfully to "C:\Users\Noxas\Desktop\MBR.dat"
13:00:35.765    The log file has been saved successfully to "C:\Users\Noxas\Desktop\aswMBR.txt"

Code:

OTL logfile created on: 23.07.2011 13:01:03 - Run 6
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,23 Gb Available Physical Memory | 55,77% Memory free
8,00 Gb Paging File | 5,28 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 482,01 Gb Free Space | 80,86% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Games\World_of_Tanks\WorldOfTanks.exe (Wargaming.net)
PRC - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
PRC - C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Windows Media Player\wmplayer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Noxas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV:64bit: - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (QipGuard) -- C:\Program Files (x86)\QipGuard\QipGuard.exe (QIP.ru)
SRV - (Dyyno Launcher) -- C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe ()
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (LBTServ) -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (LGVirHid) -- C:\Windows\SysNative\drivers\LGVirHid.sys (Logitech Inc.)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (LUsbFilt) -- C:\Windows\SysNative\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (LGBusEnum) -- C:\Windows\SysNative\drivers\LGBusEnum.sys (Logitech Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://qip.ru
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = E8 B4 22 03 BB 10 CC 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
IE - HKCU\..\URLSearchHook: {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.9
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {32a1fd71-835e-4b11-8e54-886fda0b4c89}:1.2
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Program Files (x86)\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Noxas\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Noxas\AppData\Local\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files (x86)\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.12.22 16:14:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.01.23 15:29:00 | 000,000,000 | ---D | M]
 
[2010.12.22 16:14:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Extensions
[2011.07.22 12:23:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions
[2011.05.25 15:04:02 | 000,000,000 | ---D | M] (QipAuthorizer) -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{32a1fd71-835e-4b11-8e54-886fda0b4c89}
[2011.04.16 17:36:22 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.01.01 21:10:40 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\Noxas\AppData\Roaming\mozilla\Firefox\Profiles\bq471bpq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.05.12 17:40:48 | 000,001,042 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\icqplugin.xml
[2011.05.25 15:04:23 | 000,002,062 | ---- | M] () -- C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\searchplugins\qip-search.xml
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.05.08 15:10:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.01.23 15:29:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.15 12:44:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.07.09 13:40:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2010.12.03 20:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 20:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.12.03 20:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.12.03 20:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.12.03 20:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.12 21:15:05 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (QIPBHO Class) - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Noxas\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [QIP Internet Guardian] C:\Users\Noxas\AppData\Roaming\QipGuard\QipGuard.exe (QIP.ru)
O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Noxas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - Reg Error: Key error. - c:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.22 18:28:14 | 001,915,904 | ---- | C] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR (1).exe
[2011.07.17 15:44:02 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.07.13 12:09:30 | 000,422,400 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\KernelBase.dll
[2011.07.13 12:09:29 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.07.13 12:09:29 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.07.13 12:09:28 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-file-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-threadpool-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processthreads-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-synch-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
[2011.07.13 12:09:28 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localregistry-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-memory-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-heap-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-xstate-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-util-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-string-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-profile-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-io-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-interlocked-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-handle-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-fibers-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-delayload-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-debug-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
[2011.07.13 12:09:28 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-datetime-l1-1-0.dll
[2011.07.13 12:09:27 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
[2011.07.13 12:09:27 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-security-base-l1-1-0.dll
[2011.07.13 12:09:27 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
[2011.07.13 12:09:27 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-localization-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-misc-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
[2011.07.13 12:09:27 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\SysNative\api-ms-win-core-console-l1-1-0.dll
[2011.07.13 12:09:15 | 001,162,240 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\kernel32.dll
[2011.07.13 12:09:15 | 000,362,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64win.dll
[2011.07.13 12:09:14 | 000,338,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\conhost.exe
[2011.07.13 12:09:14 | 000,243,200 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64.dll
[2011.07.13 12:09:14 | 000,214,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\winsrv.dll
[2011.07.13 12:09:14 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\setup16.exe
[2011.07.13 12:09:14 | 000,016,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntvdm64.dll
[2011.07.13 12:09:14 | 000,014,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntvdm64.dll
[2011.07.13 12:09:14 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wow64cpu.dll
[2011.07.13 12:09:14 | 000,007,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\instnm.exe
[2011.07.13 12:09:14 | 000,005,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wow32.dll
[2011.07.13 12:09:11 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\user.exe
[2011.07.12 21:18:12 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.07.12 21:15:08 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2011.07.12 21:07:03 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.07.12 21:07:03 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.07.12 21:07:03 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.07.12 21:06:59 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.07.12 21:06:14 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.12 21:05:53 | 004,149,129 | R--- | C] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 19:08:15 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.12 15:06:13 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Malwarebytes
[2011.07.12 15:06:08 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.12 15:06:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.07.12 15:06:03 | 000,025,912 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.07.12 15:06:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2011.07.09 13:41:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2011.07.09 13:40:56 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaws.exe
[2011.07.09 13:40:56 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaw.exe
[2011.07.09 13:40:56 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\java.exe
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Local\ArmA 2 Free
[2011.06.30 13:29:01 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Documents\ArmA 2
[2011.06.30 13:27:47 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.06.29 15:35:25 | 000,252,928 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\drvinst.exe
[2011.06.29 15:35:24 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\devrtl.dll
[2011.06.29 15:35:21 | 002,228,224 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssrch.dll
[2011.06.29 15:35:20 | 002,326,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\tquery.dll
[2011.06.29 15:35:20 | 001,553,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\tquery.dll
[2011.06.29 15:35:20 | 001,401,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssrch.dll
[2011.06.29 15:35:19 | 000,491,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssph.dll
[2011.06.29 15:35:18 | 000,779,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssvp.dll
[2011.06.29 15:35:18 | 000,666,624 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssvp.dll
[2011.06.29 15:35:18 | 000,337,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssph.dll
[2011.06.29 15:35:18 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SearchProtocolHost.exe
[2011.06.29 15:35:18 | 000,197,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mssphtb.dll
[2011.06.29 15:35:18 | 000,113,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\SearchFilterHost.exe
[2011.06.29 15:35:18 | 000,075,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msscntrs.dll
[2011.06.29 15:35:17 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mssphtb.dll
[2011.06.29 15:35:17 | 000,059,392 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msscntrs.dll
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:34:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
[2011.06.27 22:31:19 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Bohemia Interactive
[2011.06.27 21:56:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Steam
[2011.06.27 21:56:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam
[2011.06.27 21:56:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Steam
[2011.06.26 21:29:07 | 000,000,000 | ---D | C] -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.23 13:00:35 | 000,000,512 | ---- | M] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.23 12:14:00 | 000,001,120 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000UA.job
[2011.07.23 12:14:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.23 11:12:47 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.07.22 22:14:01 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.22 22:14:01 | 000,001,068 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4162387930-1573310092-2657919576-1000Core.job
[2011.07.22 18:29:06 | 001,915,904 | ---- | M] (AVAST Software) -- C:\Users\Noxas\Desktop\aswMBR (1).exe
[2011.07.22 17:46:31 | 000,035,712 | ---- | M] () -- C:\Windows\SysWow64\drivers\BlackBox.sys
[2011.07.22 17:35:20 | 000,139,264 | ---- | M] () -- C:\Users\Noxas\Desktop\RKUnhookerLE.EXE
[2011.07.20 14:55:24 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.07.20 14:55:24 | 000,018,336 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.07.20 14:55:12 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.07.20 14:55:12 | 000,656,028 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.07.20 14:55:12 | 000,617,910 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.07.20 14:55:12 | 000,130,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.07.20 14:55:12 | 000,107,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.07.20 14:48:03 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.17 17:35:50 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2011.07.17 17:35:50 | 000,280,768 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2011.07.17 17:34:58 | 000,215,128 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2011.07.15 17:43:51 | 000,001,148 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.07.14 09:54:56 | 000,002,363 | ---- | M] () -- C:\Users\Noxas\Desktop\Google Chrome.lnk
[2011.07.14 03:18:58 | 000,292,872 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.07.12 21:15:05 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2011.07.12 21:05:34 | 004,149,129 | R--- | M] (Swearware) -- C:\Users\Noxas\Desktop\ComboFix.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | M] () -- C:\Users\Noxas\defogger_reenable
[2011.07.12 14:57:52 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Noxas\Desktop\OTL.exe
[2011.07.06 19:52:42 | 000,041,272 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.07.06 19:52:42 | 000,025,912 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.06.30 13:27:44 | 385,101,516 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | M] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:51:52 | 632,653,730 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:51:05 | 836,911,523 | ---- | M] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.06.27 01:44:51 | 000,007,608 | ---- | M] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\Windows\PEV.exe
 
========== Files Created - No Company Name ==========
 
[2011.07.22 17:39:28 | 000,035,712 | ---- | C] () -- C:\Windows\SysWow64\drivers\BlackBox.sys
[2011.07.22 17:35:17 | 000,139,264 | ---- | C] () -- C:\Users\Noxas\Desktop\RKUnhookerLE.EXE
[2011.07.15 17:43:51 | 000,001,148 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.07.13 22:08:51 | 000,000,512 | ---- | C] () -- C:\Users\Noxas\Desktop\MBR.dat
[2011.07.12 21:07:03 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2011.07.12 21:07:03 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.07.12 21:07:03 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.07.12 21:07:03 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.07.12 21:07:03 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.07.12 18:19:31 | 000,000,000 | ---- | C] () -- C:\Users\Noxas\defogger_reenable
[2011.06.30 13:27:44 | 385,101,516 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.06.29 15:36:41 | 000,006,438 | ---- | C] () -- C:\Users\Noxas\.recently-used.xbel
[2011.06.27 01:41:54 | 632,653,730 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.7z
[2011.06.27 01:41:29 | 836,911,523 | ---- | C] () -- C:\Users\Noxas\Desktop\World of Tanks BACKUP - NICHT LÖSCHEN!!! UNTER KEINEN UMSTÄNDEN!!! AUCH NICHT WENN IHR DENKT ICH WÄRE SÜCHTIG UND IHR MÜSSTET DAS SPIEL LÖSCHEN!!! DANKE!!!.rar
[2011.05.15 14:35:37 | 000,000,632 | ---- | C] () -- C:\Windows\Edofma.INI
[2011.04.23 23:24:14 | 000,021,840 | ---- | C] () -- C:\Windows\SysWow64\SIntfNT.dll
[2011.04.23 23:24:14 | 000,017,212 | ---- | C] () -- C:\Windows\SysWow64\SIntf32.dll
[2011.04.23 23:24:14 | 000,012,067 | ---- | C] () -- C:\Windows\SysWow64\SIntf16.dll
[2011.04.03 02:47:54 | 001,526,060 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2010.12.31 21:56:26 | 000,280,768 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2010.12.31 21:56:25 | 002,434,856 | ---- | C] () -- C:\Windows\SysWow64\pbsvc_bc2.exe
[2010.12.31 21:56:25 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2010.12.24 00:18:34 | 000,301,056 | ---- | C] () -- C:\Windows\SysWow64\XDogcat.dll
[2010.12.21 19:37:20 | 046,504,568 | ---- | C] () -- C:\Users\Noxas\AppData\Roaming\.minecraft.zip
[2010.12.09 17:25:56 | 000,815,104 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2010.12.09 17:25:55 | 000,180,224 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2010.11.06 18:02:45 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.10.31 18:15:53 | 000,007,608 | ---- | C] () -- C:\Users\Noxas\AppData\Local\Resmon.ResmonCfg
[2009.07.14 07:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 04:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 02:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2004.02.20 22:36:34 | 000,416,256 | ---- | C] () -- C:\Windows\exchndl.dll

< End of report >


Code:

OTL Extras logfile created on: 23.07.2011 13:01:03 - Run 6
OTL by OldTimer - Version 3.2.26.1    Folder = C:\Users\Noxas\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,23 Gb Available Physical Memory | 55,77% Memory free
8,00 Gb Paging File | 5,28 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 596,07 Gb Total Space | 482,01 Gb Free Space | 80,86% Space Free | Partition Type: NTFS
 
Computer Name: MICHAEL | User Name: Noxas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l File not found
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{23170F69-40C1-2702-0465-000001000000}" = 7-Zip 4.65 (x64 edition)
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{690285C2-2481-44FB-8402-162EA970A6DD}" = Logitech Gaming Software 7.00
"{774088D4-0777-4D78-904D-E435B318F5D2}" = Microsoft Antimalware
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 260.99
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{E77543EE-6FB5-4FF6-AB70-635392C8C756}" = Microsoft Security Client
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{FCAB9F73-BF5D-4E3D-92E7-B0F35C568F20}" = Microsoft Security Client DE-DE Language Pack
"Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit
"KLiteCodecPack64_is1" = K-Lite Codec Pack (64-bit) v4.4.0
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"SP6" = Logitech SetPoint 6.15
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"WinRAR archiver" = WinRAR 4.00 (64-Bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0AEB967F-1D12-43C8-A59C-D93DA8EE4A4E}" = Duty Calls
"{1EAC1D02-C6AC-4FA6-9A44-96258C37C812}_is1" = World of Tanks v.0.6.3.11
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26
"{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B3FED300-806C-11E0-A0D0-B8AC6F97B88E}" = Google Earth
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{EEF985E8-8B36-4230-B174-117A2381C17F}" = LogMeIn Hamachi
"{F868C16D-75F8-4EE8-BCBF-422D0833415D}_is1" = Open PLS in Windows Media Player 2.3.0
"{FDF7AE84-273E-47FD-9E39-CE0CB90A175B}" = Darkfall
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArmA 2" = ArmA 2 Free Uninstall
"AVI Screen Saver" = AVI Screen Saver
"BattlEye A2 Free" = BattlEye (A2Free) Uninstall
"DivX Setup.divx.com" = DivX-Setup
"Dyyno Broadcaster" = Dyyno Broadcaster
"EADM" = EA Download Manager
"Electric Sheep" = Electric Sheep 2.7b29
"Empires Dawn of the Modern World" = Empires Dawn of the Modern World
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4.7
"Free Video Flip and Rotate_is1" = Free Video Flip and Rotate version 1.8.11.426
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.9.31
"LogMeIn Hamachi" = LogMeIn Hamachi
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mumble" = Mumble and Murmur
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"PunkBusterSvc" = PunkBuster Services
"Uninstall_is1" = Uninstall 1.0.0.1
"Video Downloader Toolbar" = Video Downloader Toolbar
"WinGimp-2.0_is1" = GIMP 2.6.11
"World of Warcraft" = World of Warcraft
"Xvid_is1" = Xvid 1.2.1 final uninstall
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
"Octoshape Streaming Services" = Octoshape Streaming Services
"QIP 2010" = QIP 2010 3.1.5488
"QipGuard" = QIP Internet Guardian
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.07.2011 10:13:52 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 21.07.2011 10:13:52 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 21.07.2011 16:23:47 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 21.07.2011 16:30:47 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 03:44:52 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 03:59:32 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 13:30:02 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 13:30:03 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 13:30:03 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 22.07.2011 19:55:27 | Computer Name = Michael | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\system32\conhost.exe".
Die
 abhängige Assemblierung "Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
[ System Events ]
Error - 12.07.2011 08:44:55 | Computer Name = Michael | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?12.?07.?2011 um 00:02:23 unerwartet heruntergefahren.
 
Error - 12.07.2011 11:26:48 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 12.07.2011 12:18:08 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
Error - 12.07.2011 15:10:40 | Computer Name = Michael | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 12.07.2011 15:13:02 | Computer Name = Michael | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \??\C:\ComboFix\catchme.sys
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 12.07.2011 15:13:31 | Computer Name = Michael | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 13.07.2011 21:20:47 | Computer Name = Michael | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
 Steam Client Service erreicht.
 
Error - 13.07.2011 21:20:47 | Computer Name = Michael | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Steam Client Service" wurde aufgrund folgenden Fehlers
 nicht gestartet:  %%1053
 
Error - 15.07.2011 08:07:11 | Computer Name = Michael | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?15.?07.?2011 um 05:06:45 unerwartet heruntergefahren.
 
Error - 15.07.2011 08:08:00 | Computer Name = Michael | Source = Microsoft Antimalware | ID = 3002
Description = Fehler in %%860-Echtzeitschutzfunktion.    Funktion: %%835    Fehlercode:
0x80004005    Fehlerbeschreibung: Unbekannter Fehler      Ursache: %%842
 
 
< End of report >

Grüße!

M-K-D-B 23.07.2011 13:45

Hallo Lyot,




Zitat:

Zitat von Lyot (Beitrag 685673)
Ich habe ca. 2 mal in der Woche einen Freeze, bei dem eine rote LED am An-/Ausknopf leuchtet. Zudem hakt kurz vor dem Freeze der Sound, er wird verzerrt.

Das muss nicht zwingend von Malware kommen. Sind alle deine Treiber aktuell? Wie lange tritt dieses Problem bereits auf?


Zitat:

Zitat von Lyot (Beitrag 685673)
Welche Seite hast du zur Zeit der Meldung aufgerufen?

Ein oder zweimal kam die Meldung beim Aufruf einer Pornoseite, da bin ich mir sicher (ist auch irgendwie einleuchtend.) Die anderen Male weiß ich nicht, aber ich werde drauf achten und bescheid geben.

Hat sich schon was ergeben? Blockt MBAM auch, wenn du gar nicht im Internet bist oder nur, wenn du dich auf bestimmten Seiten aufhältst?
Wenn MBAM den Zugriff auf derartige Seiten schon blockt, dann empfehle ich dir auch, sie nicht länger aufzusuchen. ;)


Zitat:

Zitat von Lyot (Beitrag 685673)
wenn ich ein Programm per Administrator starten will, muss ich in ca. 40% der Fälle erst den Task Manager öffnen, bevor die Meldung zur Bestätigung kommt.

Gibt es dabei immer bei den gleichen Programmen Probleme oder nicht?


Zitat:

habe mir wohl irgendwas schädliches eingefangen, das regelmäßig "Herzlichen Glückwunsch, sie haben ein Apple Iphone 4 gewonnen!" in Form einer Meldung sendet
und den Internet Explorer (wird nicht benutzt) öffnet, welcher eine ad von gala7 oder billiger.de z.B. beinhaltet.
Öffnet sich der Internet Explorer immer noch von alleine und zeigt gefälschte Werbungen bezüglich eines Iphone 4 an?


In deinen Logfiles finde ich nichts auffälliges mehr. Wir machen noch ein paar Kontrollscans.
Führe bitte zudem ein Firefox-Update durch.






Schritt # 1: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition
  • Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
  • Schließe alle Anwendungen inkl. Browser.
  • Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
  • Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
  • Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
  • Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
  • Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
  • Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
  • Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
  • Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
  • Bitte kopiere diesen Bericht hier in den Thread.




Schritt # 2: Java deinstallieren
  • Schließe alle Internet Browser.
  • Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
  • Deinstalliere bitte Java(TM) 6 Update 22




Schritt # 3: Wichtige Updates
  • Lade dir bitte zudem von hier den Internet Explorer 9 (32 Bit Version) auf deinen Desktop und installiere die neue Version.




Schritt # 4: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:

"%ProgramFiles(X86)%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.





Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
  • Poste den Inhalt bitte hier.




Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen,
  • das Logfile von SAS,
  • das Logfile des ESET Online Scanners und
  • das Logfile von SecurityCheck.

Lyot 24.07.2011 17:29

Hallo M-K-D-B,


Code:

Das muss nicht zwingend von Malware kommen. Sind alle deine Treiber aktuell? Wie lange tritt dieses Problem bereits auf?
Das Problem habe ich schon länger, ca. ein halbes bis dreiviertel Jahr. Ich muss dazu sagen, dass mein aktueller PC mein erster selbst zusammengebauter PC ist. Deshalb schließe ich Konstruktionsfehler nicht aus, bin mir aber sehr sicher, keine Fehler gemacht zu haben, da ich nach Anleitung überprüft habe. Ich werde den PC nach Möglichkeit in naher Zukunft dem PC Fachmann meines Vertrauens übergeben, damit dieser ihn daraufhin mal durchcheckt. Vielleicht ists ja auch ein Defekt an irgendeinem Teil, RAM oder so. Mal schaun ;) Ob meine Treiber aktuell sind, kann ich dir so nicht sagen. Ich habe mir auf jeden Fall die aktuellen Treiber / aktuelle Treibersoftware damals heruntergeladen. Ich werde dies morgen überprüfen. Hierzu einfach auf der Herstellerseite die aktuelle Version herunterladen? Ich habe gehört, dass ein "drüber"installieren über die alten Treiber zu Problemen führen kann. Wie kann ich die alten Treiber zuverlässig und ohne "Rückstände" entfernen, damit eine problemlose Installation und Nutzung der neuen (aktuelleren) Treiber nicht gefährdet ist?



Code:

Hat sich schon was ergeben? Blockt MBAM auch, wenn du gar nicht im Internet bist oder nur, wenn du dich auf bestimmten Seiten aufhältst?

Wenn MBAM den Zugriff auf derartige Seiten schon blockt, dann empfehle ich dir auch, sie nicht länger aufzusuchen.

Seitdem habe ich keine Meldung bezüglich einer Blockung mehr erhalten. MBAM hat auch schon geblockt, als ich nicht im Internet war. Warum bauen Viren Verbindungen zu fremden Servern auf und ist das bei mir eine der Möglichkeiten? Ich war seit ca. 2 Tagen nichtmehr auf betreffenden Seiten, spätestens seitdem hat MBAM nichtsmehr geblockt.



Code:

Gibt es dabei immer bei den gleichen Programmen Probleme oder nicht?
Ich habe das Problem bisher nur bei "World of Tanks", einem PC Spiel, erlebt. Kann das an der .exe an sich liegen oder eher an meinem System? Ich werde auch dies beobachten und berichten, falls das Problem auch bei anderen Programmen auftritt.



Code:

Öffnet sich der Internet Explorer immer noch von alleine und zeigt gefälschte Werbungen bezüglich eines Iphone 4 an?
Der Internet Explorer hat sich seit Tagen nichtmehr von alleine geöffnet, dieses Problem und auch die Werbemeldung auf dem Desktop scheint mir behoben.



Ich habe auf C: 2 Dateiordner mit einem Schloss beim Icon (geschützter Ordner?) gefunden.

Code:

Namen: "90fd99c6d3fe5ea2c8" und "22528142113c9126cc2dc5"

Inhalt von "90fd99c6d3fe5ea2c8":

-Viele Ordner mit Bezeichnungen wie "1025" "1028" und so weiter. Auf diese Unterordner kann ich nicht zugreifen, "Zugriff verweigert" (trotz "OK" für die Bestätigung für dauerhaften Zugriff).
-.dll, .xml, .html, .bmp - Dateien.

Inhalt von"22528142113c9126cc2dc5":

-vc_red.rar (Google sagt das seien Installationsreste), Anwendungserweiterungen und Textdokumente.


Was sind das für Ordner und Dateien? Wie soll ich damit weiter verfahren? Kommt mir irgendwie suspekt vor.


Code:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/23/2011 at 11:58 PM

Application Version : 4.55.1000

Core Rules Database Version : 7451
Trace Rules Database Version: 5263

Scan type      : Complete Scan
Total Scan Time : 00:30:06

Memory items scanned      : 601
Memory threats detected  : 0
Registry items scanned    : 12792
Registry threats detected : 4
File items scanned        : 36576
File threats detected    : 335

Adware.Tracking Cookie
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.adnet[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tns-counter[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.gamersmedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@rambler[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserving.cpxinteractive[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ru4[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad1.adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@m1.mediasrv[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@count.rbc[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[7].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@engine.mediamir.medialand[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.adc-serv[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@media6degrees[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad3.adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adxpose[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.addynamix[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.brandwire[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@myroitracking[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@liveperson[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www.etracker[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@mediabrandsww[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tracking.quisma[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.dyntracker[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.creative-serving[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver[4].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.360yield[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.ad-srv[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adtech[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adbrite[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[6].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@mediaplex[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.adk2[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@webmasterplan[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserving.versaneeds[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www.usenext[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@zanox[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@fastclick[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@medialand[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.247activemedia[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@bs.serving-sys[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@traffictrack[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@liveperson[5].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www.matrix-media[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@snapfish.112.2o7[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@sales.liveperson[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.adition[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.inextmedia[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@unitymedia[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tradedoubler[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad2.adfarm1.adition[4].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@openstat[10].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adsrv1.admediate[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver.adtechus[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.zanox[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@yadro[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@eas.apm.emediate[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@fidelity.rotator.hadj7.adjuggler[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.harrenmedianetwork[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@zanox-affiliate[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@atdmt[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@revsci[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@serving-sys[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@im.banner.t-online[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@yieldmanager[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@doubleclick[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.yieldmanager[5].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@vidasco.rotator.hadj7.adjuggler[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@xm.xtendmedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@harrenmedianetwork[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@smartadserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@invitemedia[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@apmebf[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@clicksor[1].txt
        .ru4.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .112.2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        www.zanox-affiliate.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        ad.yieldmanager.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .media6degrees.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .traffictrack.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .atdmt.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .atdmt.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .paypal.112.2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .mediaplex.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .advertising.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .nextag.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .traffictrack.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .traffictrack.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .tto2.traffictrack.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .advertising.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .advertising.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adbrite.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        wstat.wibiya.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .112.2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .casalemedia.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adbrite.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .clicksor.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .clicksor.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adtech.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .specificclick.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .specificclick.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .specificclick.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .specificclick.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adviva.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .rambler.ru [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .serving-sys.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adtech.de [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .deutschepostag.112.2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        ads.zeusclicks.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        track.adform.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .adserver.gs [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .insightexpressai.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .insightexpressai.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        track.effiliation.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .bs.serving-sys.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .paysafecardgroup.122.2o7.net [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .solvemedia.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .solvemedia.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .ads.pointroll.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        pornografish.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        www.star-advertising.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        www.star-advertising.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        ads2.zeusclicks.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .markussexblog.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        .markussexblog.com [ C:\Users\Noxas\AppData\Local\Google\Chrome\User Data\Default\Cookies ]
        files.youporn.com [ C:\Users\Noxas\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\FQ49SD6J ]
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver.adtechus[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@zieltrack[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@invitemedia[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.traffictrack[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@rgadvert[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ww251.smartadserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.googleadservices[4].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adecn[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@apmebf[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ero-advertising[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@zanox[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@usenext[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ads.creative-serving[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@user.lucidmedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@msnportal.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tribalfusion[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@doubleclick[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@serving-sys[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@atdmt[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tracking.hannoversche[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad.yieldmanager[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@content.yieldmanager[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@traffictrack[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adviva[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad3.adfarm1.adition[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@fastclick[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tracking.mindshare[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@vinvest.122.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tracking.mlsat02[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@cdn.at.atwola[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.elitepvpers[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@zanox-affiliate[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@revsci[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@casalemedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@imrworldwide[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@partypoker[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adfarm1.adition[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@collective-media[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@advertising[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@click.mediadome[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad.ad-srv[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@rts.pgmediaserve[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adt.traffictrack[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@microsoftsto.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.usenext[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@54.zieltrack[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@specificclick[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@unitymedia[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tracking.quisma[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad.chip[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tradedoubler[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adx.chip[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@webmasterplan[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad1.adfarm1.adition[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@statse.webtrendslive[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@elitepvpers[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ads.ad4game[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.zanox-affiliate[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@content.yieldmanager[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.googleadservices[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adserver.adtechus[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad.zanox[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@bs.serving-sys[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@statcounter[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adbrite[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@mediaplex[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@tacoda[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@ad2.adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@smartadserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.googleadservices[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@server.cpmstar[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@media.leaguecraft[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@eas.apm.emediate[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.etracker[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@adtech[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@trackingcdn.porsche[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@studivz.adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@media.gan-online[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@www.active-tracking[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\Low\noxas@deutschepostag.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adform[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@atdmt[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@serving-sys[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@vidasco.rotator.hadj7.adjuggler[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[5].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@spylog[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ww251.smartadserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adxpose[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.creative-serving[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@clicksor[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@imrworldwide[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@zanox[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@apmebf[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@eyewonder[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@fidelity.rotator.hadj7.adjuggler[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@invitemedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@doubleclick[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@m1.mediasrv[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@yieldmanager[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad1.adfarm.adtelligence[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.yieldmanager[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@atwola[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@snapfish.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserving.versaneeds[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@traffictrack[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.horyzon-media[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www.zanox-affiliate[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad3.adfarm1.adition[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adbrite[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@aimfar.solution.weborama[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@fastclick[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tracking.hannoversche[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.adk2[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@smartadserver[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.harrenmedianetwork[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adfarm1.adition[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad6media[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@demandwarecrocs.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@liveperson[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@harrenmedianetwork[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adsrv1.admediate[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ww381.smartadserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@mediabrandsww[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.medienhaus[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@liveperson[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www3.smartadserver[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@uk.at.atwola[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@unitymedia[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tracking.quisma[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adx.chip[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@webmasterplan[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@partypoker[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.247activemedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@sales.liveperson[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@content.yieldmanager[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.dyntracker[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@yadro[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.adc-serv[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@revsci[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@myroitracking[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad2.adfarm1.adition[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.zanox[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@mediaplex[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad2.adfarm1.adition[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserving.cpxinteractive[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@stats.paypal[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ads.cpxcenter[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.yieldmanager[3].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@paypal.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@questionmarket[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adserver[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@media6degrees[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.360yield[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@www.windowsmedia[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@track.adform[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@adtech[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@tradedoubler[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@zbox.zanox[2].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.yieldmanager[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@sevenoneintermedia.112.2o7[1].txt
        C:\Users\Noxas\AppData\Roaming\Microsoft\Windows\Cookies\noxas@ad.ad-srv[1].txt
        .statcounter.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .doubleclick.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        in.getclicky.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .kontera.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adbrite.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adbrite.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adbrite.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adbrite.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .atdmt.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .zedo.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .zedo.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .revsci.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .revsci.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .revsci.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .revsci.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.yieldmanager.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.yieldmanager.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.yieldmanager.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.yieldmanager.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.adition.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.adition.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adtech.de [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        tracking.gameforge.de [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .apmebf.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .fastclick.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .fastclick.net [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .mediaplex.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .mediaplex.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        ad.adserver01.de [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .adfarm1.adition.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        adfarm1.adition.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]
        .webmasterplan.com [ C:\Users\Noxas\AppData\Roaming\Mozilla\Firefox\Profiles\bq471bpq.default\cookies.sqlite ]

Browser Hijacker.Deskbar
        (x64) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
        (x64) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid32
        (x64) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib
        (x64) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib#Version




Code:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c336d15cb2f2f34f82cf19a5638d3fb5
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-24 03:58:54
# local_time=2011-07-24 05:58:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776574 100 94 10032562 63922574 0 0
# compatibility_mode=8192 67108863 100 0 582 582 0 0
# scanned=214298
# found=3
# cleaned=0
# scan_time=6232
C:\Program Files (x86)\Activision\Empires Dawn of the Modern World\EDMW_ResSet.exe        probably a variant of Win32/Agent.KFOIWYH trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Noxas\Downloads\MovieBario_FM.exe        probably a variant of Win32/SweetIM.A application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Noxas\Downloads\registrybooster.exe        multiple threats (unable to clean)        00000000000000000000000000000000        I



Code:

Results of screen317's Security Check version 0.99.17 
 Windows 7  (UAC is enabled)
 Internet Explorer 8 
``````````````````````````````
Antivirus/Firewall Check:

 ESET Online Scanner v3 
 WMI entry may not exist for antivirus; attempting automatic update.
```````````````````````````````
Anti-malware/Other Utilities Check:

 Malwarebytes' Anti-Malware   
 Java(TM) 6 Update 26 
Flash Player Out of Date!
 Adobe Flash Player        10.2.152.26 
````````````````````````````````
Process Check: 
objlist.exe by Laurent

 Windows Defender MSMpEng.exe
 Malwarebytes' Anti-Malware mbamservice.exe 
 Malwarebytes' Anti-Malware mbamgui.exe 
 Microsoft Security Essentials msseces.exe
 Microsoft Security Client Antimalware MsMpEng.exe 
``````````End of Log````````````


PS: Grade beim Starten von Security Check kam das Problem mit dem Task Manager, den ich starten muss, bevor die Meldung zur Bestätigung kommt!


PPS: Ich habe gerade im letzten Logfile meiner Antwort gesehen, dass immernoch der Internet Explorer 8 installiert ist. Ich habe aber gestern den Internet Explorer 9 inklusive Neustart installiert. Wie kann das sein?

Zudem kam grade beim Öffnen des Internet Explorers von MBAM sofort die Meldung, dass der Zugang zu einer potentiell gefährlichen Webseite geblockt wurde. Hier das Logfile:

Code:

00:04:29        Noxas        MESSAGE        Protection started successfully
00:04:33        Noxas        MESSAGE        IP Protection started successfully
00:12:38        Noxas        MESSAGE        IP Protection stopped
00:21:24        Noxas        MESSAGE        Protection started successfully
00:21:28        Noxas        MESSAGE        IP Protection started successfully
16:04:16        Noxas        MESSAGE        IP Protection stopped
16:15:42        Noxas        MESSAGE        Protection started successfully
16:15:46        Noxas        MESSAGE        IP Protection started successfully
19:01:15        Noxas        IP-BLOCK        195.68.160.68 (Type: outgoing, Port: 50156, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.68 (Type: outgoing, Port: 50157, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.68 (Type: outgoing, Port: 50162, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.68 (Type: outgoing, Port: 50163, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50176, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50177, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50182, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50186, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50187, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.249 (Type: outgoing, Port: 50188, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.187 (Type: outgoing, Port: 50201, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.187 (Type: outgoing, Port: 50202, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.185 (Type: outgoing, Port: 50203, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.185 (Type: outgoing, Port: 50204, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.187 (Type: outgoing, Port: 50205, Process: iexplore.exe)
19:01:15        Noxas        IP-BLOCK        195.68.160.185 (Type: outgoing, Port: 50206, Process: iexplore.exe)
19:03:23        Noxas        MESSAGE        IP Protection stopped
19:03:24        Noxas        MESSAGE        Database updated successfully
19:03:25        Noxas        MESSAGE        IP Protection started successfully

PPPS:

Habe den Firefox runtergeschmissen, da ich ihn eh nicht brauche. Kann ich dies auch mit dem Internet Explorer machen? Wenn ja, wie?


MfG

M-K-D-B 24.07.2011 19:45

Hallo Lyot,



Zitat:

Zitat von Lyot (Beitrag 686283)
Wie kann ich die alten Treiber zuverlässig und ohne "Rückstände" entfernen, damit eine problemlose Installation und Nutzung der neuen (aktuelleren)
Treiber nicht gefährdet ist?

Wenn wir mit der Bereinigung fertig sind, kannst du gerne ein neues Thema in einem passenden Unterforum dazu aufmachen. Hier kümmern wir uns nur um Malware. Es gibt Mitglieder im Team, die kennen sich wesentlich besser mit Treiber aus als ich. ;)


Zitat:

Zitat von Lyot (Beitrag 686283)
Ich werde den PC nach Möglichkeit in naher Zukunft dem PC Fachmann meines Vertrauens übergeben, damit dieser ihn daraufhin mal durchcheckt.

Das wird wohl das Beste sein. ;)


Zitat:

Zitat von Lyot (Beitrag 686283)
Ich habe auf C: 2 Dateiordner mit einem Schloss beim Icon (geschützter Ordner?) gefunden.

Code:

Namen: "90fd99c6d3fe5ea2c8" und "22528142113c9126cc2dc5"

Inhalt von "90fd99c6d3fe5ea2c8":

-Viele Ordner mit Bezeichnungen wie "1025" "1028" und so weiter. Auf diese Unterordner kann ich nicht zugreifen, "Zugriff verweigert" (trotz "OK" für die Bestätigung für dauerhaften Zugriff).
-.dll, .xml, .html, .bmp - Dateien.

Inhalt von"22528142113c9126cc2dc5":

-vc_red.rar (Google sagt das seien Installationsreste), Anwendungserweiterungen und Textdokumente.


Was sind das für Ordner und Dateien? Wie soll ich damit weiter verfahren? Kommt mir irgendwie suspekt vor.

Google hat oft Recht. Es sind in der Tat Installationsreste. Die musst du nicht weiter beachten. Eventuell werden diese bei der Deinstallation unserer Tools mit entfernt.


Zitat:

Zitat von Lyot (Beitrag 686283)
Ich habe aber gestern den Internet Explorer 9 inklusive Neustart installiert. Wie kann das sein?

SecurityCheck zeigt hier fälschlicherweise den IE 8 an. Wenn du den IE 9 installiert hast, dann passt das schon so.


Zitat:

Zitat von Lyot (Beitrag 686283)
Habe den Firefox runtergeschmissen, da ich ihn eh nicht brauche. Kann ich dies auch mit dem Internet Explorer machen? Wenn ja, wie?

Auch wenn du nur Google Chrome verwenden möchtest, empfehle ich dir, den IE 9 noch installiert zu lassen. z. B. für den Fall, das Google Chrome einmal nicht funktionieren sollte. Zudem gibt es andere Programme bzw. Tools, die sich über den IE updaten.


Zitat:

Zitat von Lyot (Beitrag 686283)
195.68.160.68 (Type: outgoing, Port: 50156, Process: iexplore.exe)

Hierbei handelt es sich wohl um einen Fehlalarm von MBAM. Die IP weist auf einen Server für das Tool QIP Internet Guardian hin, den du ja auf deinem Rechner installiert hast.


Diese beiden Dateien bitte von Hand löschen:
Zitat:

C:\Users\Noxas\Downloads\MovieBario_FM.exe probably a variant of Win32/SweetIM.A application
C:\Users\Noxas\Downloads\registrybooster.exe multiple threats

Ist das hier eine Originaldatei?
Zitat:

Zitat von Lyot (Beitrag 686283)
C:\Program Files (x86)\Activision\Empires Dawn of the Modern World\EDMW_ResSet.exe probably a variant of Win32/Agent.KFOIWYH trojan

Laut ESET handelt es sich hierbei wahrscheinlich um einen Trojaner.

Zur Kontrolle könntest du die Datei einmal bei VirusTotal hochladen. Wenn dort mehrere Scanner anschlagen, dann solltest du die Datei löschen!


Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:

    C:\Program Files (x86)\Activision\Empires Dawn of the Modern World\EDMW_ResSet.exe
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:

Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Button Bereinigung.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.




Schritt # 3: Programme deinstallieren/löschen
  • Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.




Schritt # 4: ESET Online Scanner
  • Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
  • Möchtest Du ESET denoch deinstallieren:
    Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
    Code:

    "%ProgramFiles(X86)%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
  • Drücke OK.




Schritt # 5: Adobe Flash Player aktualisieren
  • Lade dir die neuste Version des Flash Players von Adobe herunter.
  • Deaktiviere den Haken vor Google Chrome bzw. McAfee Security Scan.
  • Installiere die neuste Version auf deinem Computer.




Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.
  • Windows + R Taste drücken.
  • Kopiere nun folgenden Text in die Kommandozeile:
    Code:

    RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
  • Klicke auf Ok.
  • Stelle sicher, dass die automatischen Updates aktiviert sind.
  • Downloade und installiere gegebenenfalls alle verfügbaren Updates.
  • Vergewissere dich, dass du insbesondere das Service Pack 1 installierst.




Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.
  • Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
  • Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Eine Einführung findest du hier
  • Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
  • Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
  • Verwende keine Keygens, Cracks oder andere illegale Software!
  • Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
  • Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!




Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Lyot 24.07.2011 21:31

Hallo,

ich wollte den Online Secunia Inspector nutzen, jedoch steht unten "Loading Java Applet Try 1/50.
Das zählt dann bis 50/50 hoch und wenn ich dann auf Start drücke passiert nichts.
Liegt wohl an Java auf meinem Rechner.
Wie fix ich das?

Ansonsten hab ich keine Fragen und bedanke mich für die Hilfe!

MfG!

EDIT: Schon gut, ich musste erst oben bestätigen, dass es ausgeführt werden soll!

M-K-D-B 24.07.2011 21:33

Zitat:

Zitat von Lyot (Beitrag 686320)
Ansonsten hab ich keine Fragen und bedanke mich für die Hilfe!

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131