Ich habe mir vor 2 Tagen diesen Virus/Trojaner eingefangen.
Selbstverschulden: nicht aktuelle KasperskyIS, JRE6.
Zum Hergang:
eigentlich Opera User, habe ich wegen Seitenaufbauproblemen eine Seite im MS IE gestartet.
Soweit ich es überblicken kann, hat sich über JRE oder AcrobatReader ein Packer installiert, sich dann mithilfe eines Flash-Installers in der Registry ausgetobt und sich als
"Google Update" eingenistet ("gupdate"), ähnelt diesem hier:
http://www.trojaner-board.de/139061-...entfernen.html
Dazu die Installation des
"Internet Security Pro" fakes.
Da ich das flashplayer-update zum entsprechenden Zeitpunkt für legitim hielt, habe ich ein paar Aktionen zugelassen, die mir KIS angezeigt hat. :rolleyes:
Beim checken des
Protokolls von KIS wurde mir einiges klarer.
Code:
07.08.2013 17:51:24 Gepackt: PE_Patch.EPProt Nicht vorhanden hxxp://jnowjjlij.no-ip.biz//v48e562/?2067077427d2e2025748530c050c0e020006030c0455070f0702060506010f00;2;2
07.08.2013 17:51:24 Gepackt: PE_Patch.EPProt Nicht vorhanden hxxp://jnowjjlij.no-ip.biz//v48e562/?078305f427d2e202554f5d08050e5f0202010d080457560f0505080106035e00;2;1
07.08.2013 17:51:25 Gepackt: PE_Patch Nicht vorhanden hxxp://jnowjjlij.no-ip.biz//v48e562/?078305f427d2e202554f5d08050e5f0202010d080457560f0505080106035e00;2;1//PE_Patch.EPProt
07.08.2013 17:51:25 Gepackt: PE_Patch Nicht vorhanden hxxp://jnowjjlij.no-ip.biz//v48e562/?2067077427d2e2025748530c050c0e020006030c0455070f0702060506010f00;2;2//PE_Patch.EPProt
07.08.2013 17:51:25 Gepackt: PE_Patch.EPProt Windows Command Processor C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\11375890681177.exe
Code:
07.08.2013 17:50:56 flashplayer11_7r96265_513_win[1].exe Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
07.08.2013 17:51:08 Verboten: Eindringen von Code flashplayer11_7r96265_513_win[1].exe Eindringen von Code c:\users\rsg#admin\appdata\local\microsoft\windows\temporary internet files\content.ie5\h5n1p5ex\flashplayer11_7r96265_513_win[1].exe Eindringen von Code
07.08.2013 17:51:15 Verboten: Main_Run flashplayer11_7r96265_513_win[1].exe Ändern hkey_users\S-1-5-21-2566861732-4120447915-3965791177-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Main_Run
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\EXEFILE\SHELLEX\CONTEXTMENUHANDLERS\CMDLINEEXT contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\EXEFILE\SHELLEX\CONTEXTMENUHANDLERS\CMDLINEEXT contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\-{8F9D8FBE-C5C1-4B65-986E-51235C9283E8} contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\-{8F9D8FBE-C5C1-4B65-986E-51235C9283E8} contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\7-ZIP contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\7-ZIP contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\ADOBE.ACROBAT.CONTEXTMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\ADOBE.ACROBAT.CONTEXTMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\BRIEFCASEMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\BRIEFCASEMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\EDSSHELLEXT contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\EDSSHELLEXT contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\KASPERSKY ANTI-VIRUS contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\KASPERSKY ANTI-VIRUS contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\MYPICTURES3D contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\MYPICTURES3D contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\OPEN WITH contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\OPEN WITH contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\OPEN WITH ENCRYPTIONMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\OPEN WITH ENCRYPTIONMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\SHARING contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\SHARING contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\WINRAR contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\WINRAR contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\*\SHELLEX\CONTEXTMENUHANDLERS\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8} contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\COPYASPATHMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\COPYASPATHMENU contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\SEND TO contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\SEND TO contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\UNLOCKERSHELLEXTENSION contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\UNLOCKERSHELLEXTENSION contextmenuhandlers1
07.08.2013 17:51:16 Erlaubt: contextmenuhandlers1 flashplayer11_7r96265_513_win[1].exe Lesen hklm\SOFTWARE\CLASSES\ALLFILESYSTEMOBJECTS\SHELLEX\CONTEXTMENUHANDLERS\{C95FFEAE-A32E-4122-A5C4-49B5BFB69795} contextmenuhandlers1
07.08.2013 17:51:19 Verboten: My documents2 flashplayer11_7r96265_513_win[1].exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:51:19 Verboten: My documents2 flashplayer11_7r96265_513_win[1].exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:51:19 Verboten: My documents2 flashplayer11_7r96265_513_win[1].exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:51:22 01375890681177.exe Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
07.08.2013 17:51:25 11375890681177.exe Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
07.08.2013 17:52:01 Verboten: My documents2 11375890681177.exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:52:01 Verboten: My documents2 11375890681177.exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:52:01 Verboten: My documents2 11375890681177.exe Lesen C:\USERS\RSG#ADMIN\DOCUMENTS\DESKTOP.INI My documents2
07.08.2013 17:52:05 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Zugeordnet zu Gruppe Stark beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
07.08.2013 17:52:07 Verboten: Main_Run Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Löschen hklm\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN Main_Run
07.08.2013 17:52:07 Verboten: Eindringen von Code Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Eindringen von Code c:\users\rsg#admin\appdata\local\temp\installflashplayer.exe Eindringen von Code
07.08.2013 17:52:11 Verboten: Eindringen von Code 11375890681177.exe Eindringen von Code c:\users\rsg#admin\appdata\local\temp\11375890681177.exe Eindringen von Code
07.08.2013 17:52:11 wmdefender.exe Zugeordnet zu Gruppe Schwach beschränkt Besitzt einen hohen Wert für das heuristisch errechnete Sicherheitsrating
07.08.2013 17:52:22 Erlaubt: Cookies2 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen C:\USERS\RSG#ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\INDEX.DAT Cookies2
07.08.2013 17:52:22 Erlaubt: History2 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\MICROSOFT\WINDOWS\HISTORY\HISTORY.IE5\INDEX.DAT History2
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Zugeordnet zu Gruppe Vertrauenswürdig
07.08.2013 17:52:40 Erlaubt: Erstellen versteckter Registrierungsschlüssel Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen versteckter Schlüssel REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\*etadpug\Parameters Erstellen versteckter Registrierungsschlüssel
Bzw.
Code:
07.08.2013 17:49:09 Internet Explorer Starten eines Prozesses C:\Program Files\Internet Explorer\iexplore.exe
07.08.2013 17:49:12 Internet Explorer Ändern HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
07.08.2013 17:49:12 Internet Explorer Starten eines Prozesses C:\Program Files\Internet Explorer\iexplore.exe
07.08.2013 17:49:15 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:49:16 WebToolBar component Starten eines Prozesses C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
07.08.2013 17:49:45 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\html5[1].js
07.08.2013 17:49:45 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\addthis_widget[1].js
07.08.2013 17:49:45 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\jquery.min[1].js
07.08.2013 17:49:45 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:49:45 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\gpt[1].js
07.08.2013 17:49:46 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\ffGlobal[1].js
07.08.2013 17:49:46 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\pubads_impl_25[1].js
07.08.2013 17:49:46 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\ngg[1].js
07.08.2013 17:49:46 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\shutter-reloaded[1].js
07.08.2013 17:49:46 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\modernizr[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\css3-mediaqueries[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\jquery.fitvids[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\player[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\swfobject[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\ga[1].js
07.08.2013 17:49:47 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\jwplayer[1].js
07.08.2013 17:49:51 Adobe® Flash® Player Installer/Uninstaller 10.3 r181 Starten eines Prozesses C:\WINDOWS\system32\Macromed\Flash\FlashUtil10s_ActiveX.exe
07.08.2013 17:49:51 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\core089[1].js
07.08.2013 17:49:54 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\embed[1].js
07.08.2013 17:49:55 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\auth014[1].js
07.08.2013 17:49:55 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\npc[1].js
07.08.2013 17:49:55 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\widgets[1].js
07.08.2013 17:49:56 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\all[1].js
07.08.2013 17:49:57 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\count[1].js
07.08.2013 17:49:57 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\ie9[1].js
07.08.2013 17:50:00 Internet Explorer Erstellen HKEY_USERS\REGISTRY\USER\S-1-5-21-2566861732-4120447915-3965791177-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\P3P\HISTORY\NEODATAGROUP.COM
07.08.2013 17:50:00 Internet Explorer Erstellen HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\neodatagroup.com/(Default)
07.08.2013 17:50:00 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\client[1].js
07.08.2013 17:50:00 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\count-data[1].js
07.08.2013 17:50:01 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\load[1].js
07.08.2013 17:50:01 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\count[1].js
07.08.2013 17:50:02 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\lounge[1].js
07.08.2013 17:50:02 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\config[1].js
07.08.2013 17:50:02 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\client[2].js
07.08.2013 17:50:02 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\_qdCilGJh1p[1].js
07.08.2013 17:50:02 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\lib[1].js
07.08.2013 17:50:03 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\beacon[1].js
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpNameServer
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpNameServer
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpDomain
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDomain
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpSubnetMaskOpt
07.08.2013 17:50:07 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDefaultGateway
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpDomain
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDomain
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpNameServer
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpNameServer
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDefaultGateway
07.08.2013 17:50:07 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpSubnetMaskOpt
07.08.2013 17:50:11 Adobe Reader 8.0 Starten eines Prozesses C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
07.08.2013 17:50:11 Adobe Reader 8.0 Starten eines Prozesses C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
07.08.2013 17:50:13 Adobe Reader 8.0 Beenden eines Prozesses C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
07.08.2013 17:50:15 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:50:17 Internet Explorer Erstellen HKEY_USERS\REGISTRY\USER\S-1-5-21-2566861732-4120447915-3965791177-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\P3P\HISTORY\TWITTER.COM
07.08.2013 17:50:17 Internet Explorer Erstellen HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\twitter.com/(Default)
07.08.2013 17:50:19 Internet Explorer Erstellen HKEY_USERS\REGISTRY\USER\S-1-5-21-2566861732-4120447915-3965791177-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\P3P\HISTORY\DISQUS.COM
07.08.2013 17:50:19 Internet Explorer Erstellen HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\disqus.com/(Default)
07.08.2013 17:50:20 Java(TM) Platform SE binary Starten eines Prozesses C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
07.08.2013 17:50:20 Java(TM) Platform SE binary Beenden eines Prozesses C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
07.08.2013 17:50:20 Java(TM) Platform SE binary Starten eines Prozesses C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
07.08.2013 17:50:20 Java(TM) Platform SE binary Starten eines Prozesses C:\Program Files\Java\jre6\bin\java.exe
07.08.2013 17:50:22 Microsoft Windows Search Filter Host Beenden eines Prozesses C:\WINDOWS\system32\SEARCHFILTERHOST.EXE
07.08.2013 17:50:32 Adobe Reader 8.0 Ändern HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
07.08.2013 17:50:32 Internet Explorer Erstellen HKEY_USERS\REGISTRY\USER\S-1-5-21-2566861732-4120447915-3965791177-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\P3P\HISTORY\SOUNDCLOUD.COM
07.08.2013 17:50:32 Internet Explorer Erstellen HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\soundcloud.com/(Default)
07.08.2013 17:50:45 Adobe Reader 8.0 Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Content.IE5\H5N1P5EX\flashplayer11_7r96265_513_win[1].exe
07.08.2013 17:50:45 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:50:49 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab70A5.tmp
07.08.2013 17:50:49 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar7113.tmp
07.08.2013 17:50:49 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab70A5.tmp
07.08.2013 17:50:49 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar7113.tmp
07.08.2013 17:50:49 Host Process for Windows Services Löschen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab70A5.tmp
07.08.2013 17:50:49 Host Process for Windows Services Löschen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar7113.tmp
07.08.2013 17:50:51 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab79BB.tmp
07.08.2013 17:50:51 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar79BC.tmp
07.08.2013 17:50:51 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab79BB.tmp
07.08.2013 17:50:51 Host Process for Windows Services Erstellen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar79BC.tmp
07.08.2013 17:50:51 Host Process for Windows Services Löschen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab79BB.tmp
07.08.2013 17:50:51 Host Process for Windows Services Löschen C:\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\Tar79BC.tmp
07.08.2013 17:50:57 flashplayer11_7r96265_513_win[1].exe Starten eines Prozesses C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Content.IE5\H5N1P5EX\flashplayer11_7r96265_513_win[1].exe
07.08.2013 17:51:08 flashplayer11_7r96265_513_win[1].exe Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Google\Desktop\Install\{aead6260-d3f0-b306-01da-8bd8a6f55800}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{aead6260-d3f0-b306-01da-8bd8a6f55800}\GoogleUpdate.exe
07.08.2013 17:51:09 Microsoft Windows Search Filter Host Starten eines Prozesses C:\WINDOWS\system32\SEARCHFILTERHOST.EXE
07.08.2013 17:51:15 flashplayer11_7r96265_513_win[1].exe Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\msimg32.dll
07.08.2013 17:51:15 flashplayer11_7r96265_513_win[1].exe Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\InstallFlashPlayer.exe
07.08.2013 17:51:15 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:51:19 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\discovery[1].js
07.08.2013 17:51:19 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\event[1].js
07.08.2013 17:51:19 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\event[1].js
07.08.2013 17:51:20 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\listPromoted[1].js
07.08.2013 17:51:20 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\event[2].js
07.08.2013 17:51:20 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\event[3].js
07.08.2013 17:51:21 Java(TM) Platform SE binary Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\01375890681177.exe
07.08.2013 17:51:21 Consent UI for administrative applications Starten eines Prozesses C:\WINDOWS\system32\consent.exe
07.08.2013 17:51:21 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:21 Java(TM) Platform SE binary Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\01375890681177.exe
07.08.2013 17:51:21 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:22 01375890681177.exe Starten eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\01375890681177.exe
07.08.2013 17:51:22 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:22 01375890681177.exe Starten eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\01375890681177.exe
07.08.2013 17:51:22 01375890681177.exe Beenden eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\01375890681177.exe
07.08.2013 17:51:22 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:23 01375890681177.exe Beenden eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\01375890681177.exe
07.08.2013 17:51:24 Java(TM) Platform SE binary Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\11375890681177.exe
07.08.2013 17:51:25 Java(TM) Platform SE binary Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\11375890681177.exe
07.08.2013 17:51:25 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:25 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:26 11375890681177.exe Starten eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\11375890681177.exe
07.08.2013 17:51:26 11375890681177.exe Starten eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\11375890681177.exe
07.08.2013 17:51:26 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:26 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:51:27 11375890681177.exe Löschen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\11375890681177.exe
07.08.2013 17:51:27 11375890681177.exe Ändern C:\USERS\RSG#ADMIN\APPDATA\Roaming\wmdefender
07.08.2013 17:51:27 11375890681177.exe Ändern C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\607.TMP
07.08.2013 17:51:27 11375890681177.exe Umbenennen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\607.TMP
07.08.2013 17:51:27 11375890681177.exe Erstellen C:\USERS\RSG#ADMIN\APPDATA\Roaming\wmdefender.exe
07.08.2013 17:51:27 11375890681177.exe Umbenennen C:\USERS\RSG#ADMIN\APPDATA\Roaming\wmdefender.exe
07.08.2013 17:51:27 11375890681177.exe Beenden eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\11375890681177.exe
07.08.2013 17:51:45 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:51:49 Host Process for Windows Services Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1868F64-ED08-49A9-9F86-F62ED855AFFD}/DynamicInfo
07.08.2013 17:51:50 Host Process for Windows Services Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2566861732-4120447915-3965791177-1000/RefCount
07.08.2013 17:51:50 COM Surrogate Starten eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:51:50 Host Process for Windows Services Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2566861732-4120447915-3965791177-1000/RefCount
07.08.2013 17:51:50 Consent UI for administrative applications Beenden eines Prozesses C:\WINDOWS\system32\consent.exe
07.08.2013 17:51:50 Host Process for Windows Services Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2566861732-4120447915-3965791177-1000/RefCount
07.08.2013 17:51:51 COM Surrogate Starten eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:51:55 COM Surrogate Beenden eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:51:56 COM Surrogate Beenden eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:52:01 11375890681177.exe Erstellen C:\USERS\RSG#ADMIN\DESKTOP\Internet Security Pro.lnk
07.08.2013 17:52:03 COM Surrogate Starten eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:52:06 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Starten eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\InstallFlashPlayer.exe
07.08.2013 17:52:06 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND\PARAMETERS
07.08.2013 17:52:06 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND\SECURITY
07.08.2013 17:52:07 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINDEFEND
07.08.2013 17:52:07 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLSERVICEOBJECTS\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
07.08.2013 17:52:07 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:52:07 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:52:07 flashplayer11_7r96265_513_win[1].exe Beenden eines Prozesses C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Content.IE5\H5N1P5EX\flashplayer11_7r96265_513_win[1].exe
07.08.2013 17:52:07 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess/ErrorControl
07.08.2013 17:52:07 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\*ETADPUG
07.08.2013 17:52:07 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess/DeleteFlag
07.08.2013 17:52:08 COM Surrogate Beenden eines Prozesses C:\WINDOWS\system32\dllhost.exe
07.08.2013 17:52:09 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\ENUM\ROOT\LEGACY_SHAREDACCESS\0000
07.08.2013 17:52:09 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\ENUM\ROOT\LEGACY_SHAREDACCESS
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\DOMAINPROFILE\LOGGING
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\DOMAINPROFILE
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\FIREWALLRULES
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\PUBLICPROFILE\LOGGING
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\PUBLICPROFILE
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\STANDARDPROFILE\LOGGING
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY\STANDARDPROFILE
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS\FIREWALLPOLICY
07.08.2013 17:52:09 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\DEFAULTS
07.08.2013 17:52:10 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH
07.08.2013 17:52:10 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\DOMAINPROFILE\AUTHORIZEDAPPLICATIONS
07.08.2013 17:52:10 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH
07.08.2013 17:52:10 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\DOMAINPROFILE\GLOBALLYOPENPORTS
07.08.2013 17:52:10 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\DOMAINPROFILE\LOGGING
07.08.2013 17:52:10 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\DOMAINPROFILE
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\FIREWALLRULES
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE\AUTHORIZEDAPPLICATIONS
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE\GLOBALLYOPENPORTS
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE\LOGGING
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\PUBLICPROFILE
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\RESTRICTEDSERVICES\CONFIGURABLE
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\RESTRICTEDSERVICES\STATIC\SYSTEM
07.08.2013 17:52:11 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\RESTRICTEDSERVICES\CONFIGURABLE
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\RESTRICTEDSERVICES\STATIC
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\RESTRICTEDSERVICES
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\PARAMETERS
07.08.2013 17:52:11 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS
07.08.2013 17:52:12 wmdefender.exe Starten eines Prozesses C:\USERS\RSG#ADMIN\APPDATA\Roaming\wmdefender.exe
07.08.2013 17:52:12 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc/Start
07.08.2013 17:52:14 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc/ErrorControl
07.08.2013 17:52:15 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:52:16 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iphlpsvc/DeleteFlag
07.08.2013 17:52:17 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc/Start
07.08.2013 17:52:17 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc/ErrorControl
07.08.2013 17:52:19 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc/DeleteFlag
07.08.2013 17:52:19 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC\CONFIG
07.08.2013 17:52:19 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC\INTERFACES
07.08.2013 17:52:19 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC\PARAMETERS
07.08.2013 17:52:20 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC\TEREDO\PREVIOUSSTATE
07.08.2013 17:52:20 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC\TEREDO
07.08.2013 17:52:20 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\IPHLPSVC
07.08.2013 17:52:20 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc/Start
07.08.2013 17:52:20 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc/ErrorControl
07.08.2013 17:52:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch/Epoch
07.08.2013 17:52:22 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc/DeleteFlag
07.08.2013 17:52:22 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BFE/Start
07.08.2013 17:52:22 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BFE/ErrorControl
07.08.2013 17:52:23 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BFE/DeleteFlag
07.08.2013 17:52:23 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Ändern HKEY_USERS\S-1-5-21-2566861732-4120447915-3965791177-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections/SavedLegacySettings
07.08.2013 17:52:24 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WSCSVC\PARAMETERS
07.08.2013 17:52:24 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WSCSVC\SECURITY
07.08.2013 17:52:24 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\WSCSVC
07.08.2013 17:52:24 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PcaSvc/Start
07.08.2013 17:52:24 Services and Controller app Ändern HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PcaSvc/ErrorControl
07.08.2013 17:52:25 Services and Controller app Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PcaSvc/DeleteFlag
07.08.2013 17:52:27 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\ENUM\ROOT\LEGACY_MPSSVC\0000
07.08.2013 17:52:27 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\ENUM\ROOT\LEGACY_MPSSVC
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS\RPC-EPMAP
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS\TEREDO
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\SECURITY
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\ENUM
07.08.2013 17:52:27 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\MPSSVC
07.08.2013 17:52:37 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\PCASVC\PARAMETERS
07.08.2013 17:52:37 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\PCASVC\SECURITY
07.08.2013 17:52:37 Services and Controller app Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\PCASVC
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\SERVICES\*ETADPUG\PARAMETERS
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug\Parameters/Parameters
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/Start
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/Type
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/ErrorControl
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/ImagePath
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/ObjectName
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/Description
07.08.2013 17:52:40 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug/DisplayName
07.08.2013 17:52:42 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Ändern C:\WINDOWS\system32\Macromed\Flash\FlashInstall.log
07.08.2013 17:52:42 Windows Command Processor Starten eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:52:42 Adobe® Flash® Player Installer/Uninstaller 11.0 r1 Beenden eines Prozesses C:\USERS\RSG#AD~1\AppData\Local\Temp\InstallFlashPlayer.exe
07.08.2013 17:52:43 Windows Command Processor Löschen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\TEMP\msimg32.dll
07.08.2013 17:52:43 Windows Command Processor Beenden eines Prozesses C:\WINDOWS\system32\cmd.exe
07.08.2013 17:52:45 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpNameServer
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpNameServer
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpDomain
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDomain
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpSubnetMaskOpt
07.08.2013 17:52:49 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDefaultGateway
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpDomain
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDomain
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters/DhcpNameServer
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpNameServer
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpDefaultGateway
07.08.2013 17:52:49 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{750CCB1C-DB9A-48AB-94E3-07A02A03E762}/DhcpSubnetMaskOpt
07.08.2013 17:53:00 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\QJQ9FKFI\config[1].js
07.08.2013 17:53:01 Microsoft Windows Search Protocol Host Starten eines Prozesses C:\WINDOWS\system32\SEARCHPROTOCOLHOST.EXE
07.08.2013 17:53:04 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\event[2].js
07.08.2013 17:53:04 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\event[3].js
07.08.2013 17:53:04 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KORECN2N\listPromoted[1].js
07.08.2013 17:53:04 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WJZT3R0T\event[1].js
07.08.2013 17:53:04 Internet Explorer Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FQ0QSL6D\event[4].js
07.08.2013 17:53:15 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:53:19 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000\00000000
07.08.2013 17:53:19 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000\00000000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{d1885396-39d8-4777-bcff-5e3241483416}\00000000\00000000/Type
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{d1885396-39d8-4777-bcff-5e3241483416}\00000000\00000000/Data
07.08.2013 17:53:19 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000\00000000
07.08.2013 17:53:19 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000\00000000
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{7fb7b48f-531d-44a2-bcb3-5ad5a134b3dc}\00020000\00000000/Type
07.08.2013 17:53:19 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{7fb7b48f-531d-44a2-bcb3-5ad5a134b3dc}\00020000\00000000/Data
07.08.2013 17:53:21 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000\00000000
07.08.2013 17:53:21 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{D1885396-39D8-4777-BCFF-5E3241483416}\00000000\00000000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{d1885396-39d8-4777-bcff-5e3241483416}\00000000\00000000/Type
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{d1885396-39d8-4777-bcff-5e3241483416}\00000000\00000000/Data
07.08.2013 17:53:21 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000\00000000
07.08.2013 17:53:21 Host Process for Windows Services Löschen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\REGISTRY\MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\#SINGLELINEOUTTOPO\PROPERTIES\{7FB7B48F-531D-44A2-BCB3-5AD5A134B3DC}\00020000\00000000
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{7fb7b48f-531d-44a2-bcb3-5ad5a134b3dc}\00020000\00000000/Type
07.08.2013 17:53:21 Host Process for Windows Services Erstellen HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{6994ad04-93ef-11d0-a3cc-00a0c9223196}\##?#HDAUDIO#FUNC_01&VEN_10EC&DEV_0889&SUBSYS_10250146&REV_1000#4&333E2D5D&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#SingleLineOutTopo\Properties\{7fb7b48f-531d-44a2-bcb3-5ad5a134b3dc}\00020000\00000000/Data
07.08.2013 17:53:30 Microsoft Windows Search Protocol Host Beenden eines Prozesses C:\WINDOWS\system32\SEARCHPROTOCOLHOST.EXE
07.08.2013 17:53:45 Windows Media Center Scheduler Service Ändern HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Media Center\Service\Scheduler/Heartbeat
07.08.2013 17:53:55 Opera Internet Browser Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Opera\Opera\opcache\dcache4.url
07.08.2013 17:53:55 Opera Internet Browser Erstellen C:\USERS\RSG#ADMIN\APPDATA\LOCAL\Opera\Opera\cache\DCACHE4.URL
07.08.2013 17:53:57 Java(TM) Platform SE binary Beenden eines Prozesses C:\Program Files\Java\jre6\bin\java.exe
07.08.2013 17:53:57 Java(TM) Platform SE binary Beenden eines Prozesses C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
Falls dies weiterhilft, was sich abgespielt hat.
Die Programme/Prozesse, die im Taskmanager aktiv waren:
11375890681177.exe
wmdefender.exe
jeweils mit der Beschreibung "Registry Work".
Diese habe ich per "Prozessstruktur beenden" beendet und an ihrem Ort gelöscht.
Beim weiteren analysieren den Ort gefunden, an dem der Rest sitzt:
Code:
C:\Users\rsg#Admin\AppData\Local\Google\Desktop\Install\{aead6260-d3f0-b306-01da-8bd8a6f55800}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛
bzw.
Code:
C:\Program Files\Google\Desktop
An diesem Ort erkennt MBAM keine Malware.
So wie es aussieht, wurden etliche Windows Defender und -Firewalleinstellungen/Einträge in der Registry gelöscht.
Die Registry habe ich eigenhändig versucht zu säubern, allerdings ließen sich, wie auch der obige Ordnerpfad, einige Keys nicht löschen.
Bspw.
Code:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*etadpug
Spybot S&D hat ebenso nichts erkannt. Oder könnte dieser MBAM behindert haben? Prozesse waren keine aktiv.
Aufgrund des o.g. anderen Threads habe ich
Adwcleaner Code:
# AdwCleaner v2.306 - Datei am 10/08/2013 um 03:08:20 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : rsg#Admin - RSG_E-HIRN
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\rsg#Admin\Desktop\antimalware-tools\adwcleaner2.306.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Infiziert : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Visual Studio 2008\Microsoft Visual Studio 2008 Documentation.lnk ( arg. : /helpcol ms-help://ms.vscc.v90 /LaunchNamedUrlTopic DefaultPage /usehelpsettings VisualStudio.9.0)
Ordner Gefunden : C:\Program Files\Red Sky
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Schlüssel Gefunden : HKCU\Software\YahooPartnerToolbar
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16490
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v8.0.1 (de)
Datei : C:\Users\rsg#Admin\AppData\Roaming\Mozilla\Firefox\Profiles\a3bkgly2.default\prefs.js
[OK] Die Datei ist sauber.
-\\ Opera v12.12.1707.0
Datei : C:\Users\rsg#Admin\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [1843 octets] - [10/08/2013 03:08:20]
########## EOF - C:\AdwCleaner[R1].txt - [1903 octets] ##########
und
combofix Code:
ComboFix 13-08-09.02 - rsg#Admin 10.08.2013 3:21:18.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3068.1972 [GMT 2:00]
ausgeführt von:: C:\Users\rsg#Admin\Desktop\antimalware-tools\ComboFix.exe
AV: Kaspersky Internet Security *Enabled/Outdated* {56547CC9-C9B2-849D-8FEF-A496150D6A06}
FW: Kaspersky Internet Security *Enabled* {6E6FFDEC-83DD-85C5-A4B0-0DA3EBDE2D7D}
SP: Kaspersky Internet Security *Enabled/Updated* {ED359D2D-EF88-8B13-B55F-9FE46E8A20BB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
C:\Program Files\Acer\Acer Bio Protection\PwdFilter.dll
C:\Windows\IsUn0407.exe
C:\Windows\jestertb.dll
C:\Windows\system32\drivers\etc\hosts.ics
C:\Windows\wininit.ini
((((((((((((((((((((((( Dateien erstellt von 2013-07-10 bis 2013-08-10 ))))))))))))))))))))))))))))))
2013-08-10 01:32:21 . 2013-08-10 01:59:31 -------- d-----w- C:\Users\rsg#Admin\AppData\Local\temp
2013-08-10 01:32:21 . 2013-08-10 01:32:21 -------- d-----w- C:\Users\rsg.gaming\AppData\Local\temp
2013-08-10 01:32:21 . 2013-08-10 01:32:21 -------- d-----w- C:\Users\Gast\AppData\Local\temp
2013-08-09 19:49:30 . 2013-08-09 19:49:30 -------- d-----w- C:\Users\rsg#Admin\AppData\Local\Macromedia
2013-08-09 18:56:42 . 2013-08-09 18:56:42 692104 ----a-w- C:\Windows\system32\FlashPlayerApp.exe
2013-08-09 18:56:39 . 2013-08-09 18:56:39 71048 ----a-w- C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-06 20:48:46 . 2013-08-07 14:52:26 -------- d-----w- C:\Program Files\Mozilla Thunderbird
2013-07-25 16:42:41 . 2013-07-25 16:42:41 60872 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{243F99BC-B6FC-4998-89BD-681BABBDE510}\offreg.dll
2013-07-25 16:31:09 . 2013-07-02 06:54:40 7143960 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{243F99BC-B6FC-4998-89BD-681BABBDE510}\mpengine.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
2013-05-16 22:39:39 . 2013-06-26 18:25:07 1800704 ----a-w- C:\Windows\system32\jscript9.dll
2013-05-16 22:28:26 . 2013-06-26 18:25:07 1129472 ----a-w- C:\Windows\system32\wininet.dll
2013-05-16 22:27:30 . 2013-06-26 18:25:06 1427968 ----a-w- C:\Windows\system32\inetcpl.cpl
2013-05-16 22:21:37 . 2013-06-26 18:25:08 142848 ----a-w- C:\Windows\system32\ieUnatt.exe
2013-05-16 22:20:30 . 2013-06-26 18:25:09 420864 ----a-w- C:\Windows\system32\vbscript.dll
2013-05-16 22:16:57 . 2013-06-26 18:25:10 2382848 ----a-w- C:\Windows\system32\mshtml.tlb
2012-11-18 16:22:06 . 2012-11-18 16:22:06 0 ----a-w- C:\Program Files\GUT1D31.tmp
2011-11-21 04:21:43 . 2011-12-19 16:58:09 134104 ----a-w- C:\Program Files\mozilla firefox\components\browsercomps.dll
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36:40 130736 ----a-w- C:\Users\rsg#Admin\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36:40 130736 ----a-w- C:\Users\rsg#Admin\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36:40 130736 ----a-w- C:\Users\rsg#Admin\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-07-29 15:52:34 121392 ----a-w- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-21 02:25:11 125952]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 02:25:33 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 08:19:26 6139904]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-04 09:26:54 1037608]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-08-01 13:11:00 13548064]
"ZPdtWzdVitaKey MC3000"="C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" [2008-10-23 01:42:22 3719680]
"PLFSetI"="C:\Windows\PLFSetI.exe" [2008-06-30 15:56:32 200704]
"eAudio"="C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-09-11 20:46:38 544768]
"ePower_DMC"="C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-08-01 07:51:42 405504]
"razer"="C:\Program Files\Razer\Copperhead\razerhid.exe" [2005-11-25 09:53:40 155648]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2008-06-16 09:58:38 809480]
"WD Drive Manager"="C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-07-24 14:22:12 450560]
"avp"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2010-10-14 02:53:13 311680]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-22 110592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2008-10-23 01:42:41 3162624 ----a-w- C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=C:\Windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=C:\Windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^watchmi tray.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\watchmi tray.lnk
backup=C:\Windows\pss\watchmi tray.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^Users^rsg#Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GamersFirst LIVE!.lnk]
path=C:\Users\rsg#Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GamersFirst LIVE!.lnk
backup=C:\Windows\pss\GamersFirst LIVE!.lnk.Startup
backupExtension=.Startup
[HKLM\~\startupfolder\C:^Users^rsg#Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Users\rsg#Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\Windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
[HKLM\~\startupfolder\C:^Users^rsg#Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Tintenwarnungen überwachen - HP Officejet Pro 8600 (Netzwerk).lnk]
path=C:\Users\rsg#Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - HP Officejet Pro 8600 (Netzwerk).lnk
backup=C:\Windows\pss\Tintenwarnungen überwachen - HP Officejet Pro 8600 (Netzwerk).lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-10-01 16:28:56 640376 ----a-w- C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcadeDeluxeAgent]
2009-09-07 18:50:28 152872 ------w- C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
2008-04-25 19:36:20 28672 ----a-w- C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cisco AnyConnect Secure Mobility Agent for Windows]
2011-09-09 16:09:37 523216 ----a-w- C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2009-09-07 18:50:36 206120 ------w- C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copperhead]
2005-11-25 09:53:40 155648 ----a-w- C:\Program Files\Razer\Copperhead\razerhid.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2008-07-29 15:52:50 526896 ----a-w- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Officejet Pro 8600 (NET)]
2011-09-09 14:01:16 1804648 ----a-w- C:\Program Files\HP\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2008-07-20 15:45:06 182808 ----a-w- C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Transfer Monitor]
2009-02-24 16:00:26 479232 ----a-w- C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-08-01 13:11:00 92704 ----a-w- C:\Windows\System32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OPSE reminder]
2003-07-07 08:29:50 729088 ----a-r- C:\Program Files\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
2003-05-08 10:00:58 49152 ----a-w- C:\Program Files\ScanSoft\OmniPageSE2.0\opwareSE2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]
2009-05-21 13:42:28 173288 ------w- C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProductReg]
2008-09-23 04:53:32 6144 ----a-w- C:\Program Files\Acer\WR_PopUp\ProductReg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 14:09:14 413696 ----a-w- C:\Program Files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-02-28 16:50:02 18642024 ----a-r- C:\Program Files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2007-11-20 10:15:58 1826816 ----a-w- C:\Windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-10-29 12:49:28 249064 ----a-w- C:\Program Files\Common Files\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2008-05-02 04:15:46 15872 ----a-w- D:\Software\Unlocker\UnlockerAssistant.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2012-06-28 15:40:52 74752 ----a-w- C:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile-based device management]
2008-01-21 02:23:24 215552 ----a-w- C:\Windows\WindowsMobile\wmdSync.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-21 02:25:33 202240 ----a-w- C:\Program Files\Windows Media Player\wmpnscfg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2566861732-4120447915-3965791177-1000]
"EnableNotificationsRef"=dword:00000001
R3 acsint;acsint;C:\Windows\system32\DRIVERS\acsint.sys [2011-09-09 15:59:19 38440]
R3 acsmux;acsmux;C:\Windows\system32\DRIVERS\acsmux.sys [2011-09-09 15:59:19 57000]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - WS2IFSL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
------- Zusätzlicher Suchlauf -------
ustart page = about:blank
mstart page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=1008&m=aspire_6935
uInternet Settings,ProxyServer = 192.168.178.20:80
uInternet Settings,ProxyOverride = <local>
IE: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.178.1
DPF: {F07E53AA-B14F-48E0-8CB6-45AE0EFAB848} - hxxp://www.cyberlink.com/prog/oem/acer/update/UpdateAdvisor.cab
FF - ProfilePath - C:\Users\rsg#Admin\AppData\Roaming\Mozilla\Firefox\Profiles\a3bkgly2.default\
FF - ExtSQL: !HIDDEN! 2009-12-07 02:14; {20a82645-c095-46ed-80e3-08825760534b}; C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
------- Dateityp-Verknüpfung -------
.txt=
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-Adobe Reader Speed Launcher - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
AddRemove-Adobe Photoshop Elements 2.0 - C:\WINDOWS\ISUN0407.EXE
AddRemove-AVerMedia A309 (MiniCard, DVB-T) - C:\Program Files\AVerMedia\AVerMedia A309 (MiniCard
AddRemove-SideWinder Precision 2 - C:\Windows\IsUn0407.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-08-10 03:59:02
Windows 6.0.6002 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
**************************************************************************
Binary file temp00 matches
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="C:\Windows\system32\GameMon.des -service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl"
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
------------------------ Weitere laufende Prozesse ------------------------
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\vfsFPService.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Acer\Acer Bio Protection\CompPtcVUI.exe
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Acer\Acer Bio Protection\BASVC.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Windows\ehome\ehRecvr.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Windows\ehome\ehsched.exe
C:\Windows\system32\conime.exe
**************************************************************************
Zeit der Fertigstellung: 2013-08-10 04:05:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-08-10 02:05:21
Vor Suchlauf: 6.375.043.072 Bytes frei
Nach Suchlauf: 5.802.692.608 Bytes frei
- - End Of File - - 95F2072B61FA11650FBFD0622D108BD3
BB9D3A6A13C5010348DA7C900BB6AF50
laufen lassen.
Die "üblichen" Logs zur Themeneröffnung reiche ich noch nach, das ist der Sache geschuldet, dass mein PC seit einigen Wochen beim kompletten Systemstart aus mir nicht identifizierbaren Gründen eine ca. 30-minütige Komplettauslastung hinlegt. (Im abgesicherten Modus nicht.)
------------------------------------
Ich versuche nun im abgesicherten Modus
rKill, erneut
MBAM und ggf.
TDSSKiller. Dann erstatte ich Bericht.
Vielen Dank schonmal.
------------------------------------
[Wegen anstehender Prüfungen etc. habe ich momentan leider nicht die Möglichkeit, ein neues System aufzusetzen, was dann aber zeitnah nachgeholt wird, da ohnehin sinnvoll und längst überfällig]
FRST 32-Bit | FRST 64-Bit
Malwarebytes Anti-Malware 
AdwCleaner auf deinen Desktop.
SecurityCheck und:
