Trojaner-Board - Beseitigung von gema.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Beseitigung von gema.exe (https://www.trojaner-board.de/111720-beseitigung-gema-exe.html)

Beseitigung von gema.exe

Hallo lieber Helfer,

habe soeben diese gema.exe auf meinem Windows 7 Starter System entdeckt.
Bitte um Hilfe zur Beseitigung.

Hallo? Bitte!

Hab ich falsch gefragt oder wieso nimmt sich keiner dem Problem an?

Ach, ich frag einfach nochmal.

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Zitat:

Zitat von cosinus (Beitrag 796510)

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Ja der Modus funktioniert.
Mittlerweile hat Avira den Trojaner erkannt, habe den Trojaner mal in Quarantäne verschieben lassen.
Wie gehts weiter bitte?

Zitat:

Mittlerweile hat Avira den Trojaner erkannt, habe den Trojaner mal in Quarantäne verschieben lassen.

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Typ: Datei
Quelle: C:\Windows\System32\gema.exe
Status: Infiziert
Quarantäne-Objekt: 4aa989ae.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.24
Virendefinitionsdatei: 7.11.25.200
Meldung: TR/Ransom.253952
Datum/Uhrzeit: 21.03.2012, 20:20

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.26.07
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 
 

PBG :: PBG-PC [Administrator]
 

Schutz: Aktiviert
 

26.03.2012 23:02:37

mbam-log-2012-03-27 (06-49-07).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 388638

Laufzeit: 2 Stunde(n), 36 Minute(n), 15 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 3

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom.ICL) -> Daten: C:\Users\PBG\AppData\Roaming\gema\gema.exe,Explorer.exe, -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Daten: C:\Users\PBG\AppData\Roaming\gema\gema.exe -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Trojan.Ransom.ICL) -> Daten: C:\ProgramData\gema\gema.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\Users\PBG\Desktop\Startverknüpfungen\ChromePass.exe (PUP.ChromePasswordTool) -> Keine Aktion durchgeführt.

C:\Users\PBG\Documents\AudioConverterSetup.exe (Adware.Agent) -> Keine Aktion durchgeführt.
 

(Ende)

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=

# OnlineScanner.ocx=1.0.0.

# api_version=3.0.2

# EOSSerial=

# end=finished

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-04-01 10:16:29

# local_time=2012-04-02 12:16:29 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.     NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 10470333 10470333 0 0

# compatibility_mode=2304 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776574 100 94 18167429 84943564 0 0

# compatibility_mode=8192 67108863 100 0 210 210 0 0

# scanned=219768

# found=3

# cleaned=0

# scan_time=6217

C:\Program Files\FoxTabAudioConverter\AudioConverter.exe        a variant of Win32/InstallCore.A application (unable to clean)        00000000000000000000000000000000        I

C:\Users\PBG\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98A6KPH0\Testbundle23w_1254[1].exe        Win32/InstallMonetizer application (unable to clean)        00000000000000000000000000000000        I

C:\Users\PBG\Documents\SoftonicDownloader_fuer_samsung-kies.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

Malwarebytes hat die gema.exe in Quarantäne.

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hab nun die Funde in der Quarantäne gelöscht.

Log dazu bitte posten!

Das Löschen ist in keinem Log vermerkt. Log von heute:

Code:

2012/04/02 00:40:34 +0200        PBG-PC        PBG        MESSAGE        Starting IP protection

2012/04/02 00:40:42 +0200        PBG-PC        PBG        MESSAGE        IP Protection started successfully

2012/04/02 16:20:14 +0200        PBG-PC        PBG        MESSAGE        Starting database refresh

2012/04/02 16:20:14 +0200        PBG-PC        PBG        MESSAGE        Stopping IP protection

2012/04/02 16:33:17 +0200        PBG-PC        PBG        MESSAGE        IP Protection stopped

2012/04/02 16:34:10 +0200        PBG-PC        PBG        MESSAGE        Database refreshed successfully

2012/04/02 16:34:10 +0200        PBG-PC        PBG        MESSAGE        Starting IP protection

2012/04/02 16:34:21 +0200        PBG-PC        PBG        MESSAGE        IP Protection started successfully

Habe heute nach dem Löschen der Sachen in Quarantäne einen weiteren Suchlauf ausgeführt, Log dazu:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.04.02.05
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer

PBG :: PBG-PC [Administrator]
 

Schutz: Aktiviert
 

02.04.2012 16:20:51

mbam-log-2012-04-02 (16-20-51).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 388114

Laufzeit: 2 Stunde(n), 31 Minute(n), 55 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ok.
1: mache das alles nun schon wieder im normalen Modus.
2: hab da keine leeren Ordner.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Code:

OTL logfile created on: 03.04.2012 21:20:12 - Run 1

OTL by OldTimer - Version 3.2.39.2     Folder = C:\Users\PBG\Desktop

 Starter Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,99 Gb Total Physical Memory | 1,34 Gb Available Physical Memory | 67,46% Memory free

4,02 Gb Paging File | 2,97 Gb Available in Paging File | 73,78% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files

Drive C: | 58,59 Gb Total Space | 2,15 Gb Free Space | 3,67% Space Free | Partition Type: NTFS

Drive D: | 159,19 Gb Total Space | 28,93 Gb Free Space | 18,17% Space Free | Partition Type: NTFS

 

Computer Name: PBG-PC | User Name: PBG | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.04.03 20:33:45 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Users\PBG\Desktop\OTL.exe

PRC - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

PRC - [2012.01.13 14:53:18 | 000,460,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe

PRC - [2011.12.12 18:28:13 | 001,517,520 | ---- | M] (TrueCrypt Foundation) -- C:\Programme\TrueCrypt\TrueCrypt.exe

PRC - [2011.10.19 17:56:15 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe

PRC - [2011.10.19 17:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2011.10.19 17:55:48 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe

PRC - [2011.10.19 17:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2011.06.24 06:22:20 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe

PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe

PRC - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe

PRC - [2010.11.20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe

PRC - [2010.04.16 14:11:02 | 000,650,920 | ---- | M] () -- C:\Programme\Samsung\Samsung Update Plus\SUPNotifier.exe

PRC - [2009.12.21 03:15:30 | 000,838,656 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe

PRC - [2009.10.26 13:53:14 | 000,091,136 | ---- | M] (SAMSUNG Electronics) -- C:\Programme\Samsung\Samsung Support Center\SSCKbdHk.exe

PRC - [2009.10.13 12:03:04 | 000,716,800 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe

PRC - [2009.10.02 18:48:26 | 000,795,936 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

PRC - [2009.10.02 18:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe

PRC - [2009.03.05 11:54:50 | 000,311,296 | ---- | M] () -- C:\Windows\System32\Rezip.exe

 

 
 ========== Modules (No Company Name) ==========

 

MOD - [2011.05.28 23:04:56 | 000,140,288 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll

MOD - [2010.04.16 14:11:02 | 000,650,920 | ---- | M] () -- C:\Programme\Samsung\Samsung Update Plus\SUPNotifier.exe

MOD - [2010.04.16 14:11:02 | 000,155,648 | ---- | M] () -- C:\Programme\Samsung\Samsung Update Plus\HMXML.dll

MOD - [2006.08.12 05:48:40 | 000,049,152 | ---- | M] () -- C:\Programme\Samsung\Easy Display Manager\HookDllPS2.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2012.01.31 16:09:34 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)

SRV - [2011.10.19 17:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2011.10.19 17:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)

SRV - [2009.10.02 18:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)

SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2009.03.05 11:54:50 | 000,311,296 | ---- | M] () [Auto | Running] -- C:\Windows\System32\Rezip.exe -- (Rezip)

SRV - [2007.02.09 22:29:56 | 000,089,968 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)

DRV - [2012.02.15 10:37:42 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)

DRV - [2011.12.12 18:28:13 | 000,231,376 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)

DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)

DRV - [2011.10.19 17:56:15 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2011.10.19 17:56:15 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)

DRV - [2011.08.08 20:13:10 | 000,117,584 | ---- | M] (SysProgs.org) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\BazisVirtualCDBus.sys -- (BazisVirtualCDBus)

DRV - [2010.12.21 07:55:02 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdm.sys -- (sscdmdm)

DRV - [2010.12.21 07:55:02 | 000,123,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bmdm.sys -- (ss_bmdm)

DRV - [2010.12.21 07:55:02 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)

DRV - [2010.12.21 07:55:02 | 000,100,224 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bserd.sys -- (ss_bserd)

DRV - [2010.12.21 07:55:02 | 000,098,432 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bbus.sys -- (ss_bbus) SAMSUNG USB Mobile Device (WDM)

DRV - [2010.12.21 07:55:02 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscdmdfl.sys -- (sscdmdfl)

DRV - [2010.12.21 07:55:02 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bmdfl.sys -- (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter)

DRV - [2010.11.23 18:10:44 | 001,249,792 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)

DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)

DRV - [2010.11.20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)

DRV - [2010.06.17 16:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2010.01.15 04:09:52 | 000,068,608 | ---- | M] (Samsung) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\samsung_hspa_datacard_cdc_acm.sys -- (samsung_hspa_datacard_cdc_acm)

DRV - [2010.01.15 04:09:52 | 000,062,464 | ---- | M] (Samsung) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\samsung_hspa_datacard_dc_enum.sys -- (samsung_hspa_datacard_dc_enum)

DRV - [2010.01.15 04:09:50 | 000,081,920 | ---- | M] (Samsung) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\samsung_hspa_datacard_cdc_ecm.sys -- (samsung_hspa_datacard_cdc_ecm)

DRV - [2009.09.28 11:22:00 | 000,315,392 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)

DRV - [2009.07.14 02:18:07 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDPrint.sys -- (WSDPrintDevice)

DRV - [2009.07.14 02:14:49 | 000,020,480 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDScan.sys -- (WSDScan)

DRV - [2009.07.14 01:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)

DRV - [2009.07.01 22:46:20 | 000,043,944 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\btusbflt.sys -- (btusbflt)

DRV - [2006.07.24 17:05:00 | 000,005,632 | ---- | M] () [File_System | System | Running] -- C:\windows\System32\drivers\StarOpen.sys -- (StarOpen)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.vodafonelive.de

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\..\SearchScopes,DefaultScope = {33FBE12B-0BE0-43B9-839C-DDA2D14D25AF}

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\..\SearchScopes\{33FBE12B-0BE0-43B9-839C-DDA2D14D25AF}: "URL" = hxxp://www.google.de

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Google"

FF - prefs.js..browser.search.suggest.enabled: false

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "www.google.de"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.8

FF - prefs.js..extensions.enabledItems: LDSI_plashcor@gmail.com:0.6.8

FF - prefs.js..extensions.enabledItems: {524B8EF8-C312-11DB-8039-536F56D89593}:3.7.0.0

FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:2.0.2

FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94

FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94

FF - prefs.js..extensions.enabledItems: sortplaces@andyhalford.com:1.8.0

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\PBG\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll File not found

FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\PBG\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll File not found

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.03.28 21:33:59 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.02.05 22:35:12 | 000,000,000 | ---D | M]

 

[2012.02.03 20:26:14 | 000,000,000 | ---D | M] (No name found) -- C:\Users\PBG\AppData\Roaming\mozilla\Extensions

[2012.04.03 18:36:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions

[2012.02.15 13:53:07 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

[2012.02.03 20:26:22 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2012.03.31 16:21:17 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

[2012.03.31 16:21:20 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}

[2011.03.26 19:52:24 | 000,002,394 | ---- | M] () -- C:\Users\PBG\AppData\Roaming\Mozilla\Firefox\Profiles\moc6o292.default\searchplugins\askcom.xml

[2012.03.28 21:34:08 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\{19503E42-CA3C-4C27-B1E2-9CDB2170EE34}.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\{524B8EF8-C312-11DB-8039-536F56D89593}.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\{582195F5-92E7-40A0-A127-DB71295901D7}.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\ICH@MALTEGOETZ.DE.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\LDSI_PLASHCOR@GMAIL.COM.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\SCRAPBOOKPLUS@ADDONS.MOZILLA.ORG.XPI

() (No name found) -- C:\USERS\PBG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MOC6O292.DEFAULT\EXTENSIONS\SORTPLACES@ANDYHALFORD.COM.XPI

[2012.03.28 21:33:58 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll

[2011.10.03 06:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll

[2012.03.28 21:33:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012.03.28 21:33:52 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml

[2012.03.28 21:33:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml

[2011.12.18 22:22:58 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml

[2012.03.28 21:33:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml

[2012.03.28 21:33:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml

[2012.03.28 21:33:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

 
 ========== Chrome  ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - plugin: Shockwave Flash (Enabled) = C:\Users\PBG\AppData\Local\Google\Chrome\Application\16.0.912.75\gcswf32.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin2.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin3.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin4.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin5.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin6.dll

CHR - plugin: QuickTime Plug-in 7.6.9 (Enabled) = C:\Programme\QuickTime\plugins\npqtplugin7.dll

CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll

CHR - plugin: DivX Web Player (Enabled) = C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Users\PBG\AppData\Local\Google\Chrome\Application\16.0.912.75\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Users\PBG\AppData\Local\Google\Chrome\Application\16.0.912.75\pdf.dll

CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll

CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\1\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.69\npGoogleUpdate3.dll

CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Programme\DivX\DivX OVS Helper\npovshelper.dll

CHR - plugin: Veetle TV Player (Enabled) = C:\Programme\Veetle\Player\npvlc.dll

CHR - plugin: Veetle TV Core (Enabled) = C:\Programme\Veetle\plugins\npVeetle.dll

CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

CHR - Extension: Wetter von wetter.com = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgapkfcninhaogfjjoohaleiclbhjmnp\1.21_0\

CHR - Extension: FlashBlock = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\cdngiadmnkhgemkimkhiilgffbjijcie\1.2.11.12_0\

CHR - Extension: Ocean Pacific = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecaabliejjdikjnkahhikeelbblahgoi\3_0\

CHR - Extension: Mail Checker Plus for Google Mail\u2122 = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\gffjhibehnempbkeheiccaincokdjbfe\1.2.3.3_0\

CHR - Extension: AdBlock = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.5.22_0\

CHR - Extension: FlashBlock = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\gofhjkjmkpinhpoiabjplobcaignabnl\0.9.31_0\

CHR - Extension: Notes Board = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\goficmpcgcnombioohjcgdhbaloknabb\2.7.2.4_0\

CHR - Extension: Chromium Scrapbook = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\gokffdfnlmampchciemmflgbckijpmlb\0.15.4_0\

CHR - Extension: Smooth Gestures = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\lfkgmnnajiljnolcgolmmgnecgldgeld\0.15.4.13_0\

CHR - Extension: Better Pop Up Blocker = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmpeeekfhbmikbdhlpjbfmnpgcbeggic\2.1.6_0\

CHR - Extension: Hover Zoom = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\nonjdcjchghhkdoolnlbekcfllmednbl\3.9_0\

CHR - Extension: Google Mail = C:\Users\PBG\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.

O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)

O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - HKU\S-1-5-21-67750739-3866145124-1799724527-1003..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found

O4 - HKU\S-1-5-21-67750739-3866145124-1799724527-1003..\Run: [TrueCrypt] C:\Program Files\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-67750739-3866145124-1799724527-1003..\RunOnce: [FlashPlayerUpdate] C:\windows\System32\Macromed\Flash\FlashUtil11g_Plugin.exe (Adobe Systems, Inc.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O8 - Extra context menu item: Free YouTube Download - C:\Users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()

O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found

O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O13 - gopher Prefix: missing

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 82.212.62.62 78.42.43.62

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6CB44DBC-6166-496D-B83D-F8183DC7BE4B}: NameServer = 10.74.83.22 193.254.160.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7FA2FCC8-AEC5-4659-B893-74A5EC9D13F4}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E793A022-ED28-46DF-8C3E-86340F53F248}: DhcpNameServer = 82.212.62.62 78.42.43.62

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EAD317A9-D239-409F-97BE-0238F95FFCB9}: DhcpNameServer = 192.168.1.250

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\E\Shell - "" = AutoRun

O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\preinst.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: FastUserSwitchingCompatibility -  File not found

NetSvcs: Ias - C:\windows\System32\ias.dll (Microsoft Corporation)

NetSvcs: Nla -  File not found

NetSvcs: Ntmssvc -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: SRService -  File not found

NetSvcs: WmdmPmSp -  File not found

NetSvcs: LogonHours -  File not found

NetSvcs: PCAudit -  File not found

NetSvcs: helpsvc -  File not found

NetSvcs: uploadmgr -  File not found

 

MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe - (Broadcom Corporation.)

MsConfig - StartUpReg: RtHDVCpl - hkey= - key= - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Realtek Semiconductor)

MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= -  File not found

MsConfig - State: "startup" - 2

 

SafeBootMin: AppMgmt - Service

SafeBootMin: Base - Driver Group

SafeBootMin: Boot Bus Extender - Driver Group

SafeBootMin: Boot file system - Driver Group

SafeBootMin: File system - Driver Group

SafeBootMin: Filter - Driver Group

SafeBootMin: HelpSvc - Service

SafeBootMin: NTDS -  File not found

SafeBootMin: PCI Configuration - Driver Group

SafeBootMin: PNP Filter - Driver Group

SafeBootMin: Primary disk - Driver Group

SafeBootMin: sacsvr - Service

SafeBootMin: SCSI Class - Driver Group

SafeBootMin: System Bus Extender - Driver Group

SafeBootMin: vmms - Service

SafeBootMin: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy

SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers

SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices

SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

 

SafeBootNet: AppMgmt - Service

SafeBootNet: Base - Driver Group

SafeBootNet: Boot Bus Extender - Driver Group

SafeBootNet: Boot file system - Driver Group

SafeBootNet: File system - Driver Group

SafeBootNet: Filter - Driver Group

SafeBootNet: HelpSvc - Service

SafeBootNet: Messenger - Service

SafeBootNet: NDIS Wrapper - Driver Group

SafeBootNet: NetBIOSGroup - Driver Group

SafeBootNet: NetDDEGroup - Driver Group

SafeBootNet: Network - Driver Group

SafeBootNet: NetworkProvider - Driver Group

SafeBootNet: NTDS -  File not found

SafeBootNet: PCI Configuration - Driver Group

SafeBootNet: PNP Filter - Driver Group

SafeBootNet: PNP_TDI - Driver Group

SafeBootNet: Primary disk - Driver Group

SafeBootNet: rdsessmgr - Service

SafeBootNet: sacsvr - Service

SafeBootNet: SCSI Class - Driver Group

SafeBootNet: Streams Drivers - Driver Group

SafeBootNet: System Bus Extender - Driver Group

SafeBootNet: TDI - Driver Group

SafeBootNet: vmms - Service

SafeBootNet: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SafeBootNet: WudfUsbccidDriver - Driver

SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers

SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive

SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive

SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller

SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc

SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard

SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse

SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net

SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient

SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService

SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans

SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters

SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter

SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System

SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive

SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers

SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy

SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers

SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume

SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices

SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices

SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

 

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0

ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7

ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig

ActiveX: >{3492182F-DD96-4A52-A533-D46D25B02994} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - 

 

Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: MSVideo8 - C:\windows\System32\vfwwdm32.dll (Microsoft Corporation)

Drivers32: vidc.cvid - C:\windows\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.i420 - C:\windows\System32\i420vfw.dll (www.helixcommunity.org)

Drivers32: vidc.yv12 - C:\windows\System32\yv12vfw.dll (www.helixcommunity.org)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.04.03 20:33:44 | 000,593,920 | ---- | C] (OldTimer Tools) -- C:\Users\PBG\Desktop\OTL.exe

[2012.04.01 22:29:23 | 000,000,000 | ---D | C] -- C:\Program Files\ESET

[2012.03.26 23:00:44 | 000,000,000 | ---D | C] -- C:\Users\PBG\AppData\Roaming\Malwarebytes

[2012.03.26 23:00:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware

[2012.03.26 23:00:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2012.03.26 23:00:22 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys

[2012.03.26 23:00:21 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2012.03.17 19:05:45 | 000,000,000 | ---D | C] -- C:\Users\PBG\AppData\Roaming\gema

[2012.03.17 19:05:45 | 000,000,000 | ---D | C] -- C:\ProgramData\gema

[2012.03.06 17:30:46 | 000,000,000 | ---D | C] -- C:\Users\PBG\Desktop\

[2012.03.06 01:12:22 | 000,000,000 | ---D | C] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers

[2012.03.06 01:11:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft

[2012.03.06 01:08:17 | 000,000,000 | ---D | C] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoft

[2012.03.06 01:08:17 | 000,000,000 | ---D | C] -- C:\Program Files\DVDVideoSoft

[2012.03.06 01:08:17 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\DVDVideoSoft

[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.04.03 21:34:00 | 000,001,112 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003UA.job

[2012.04.03 20:33:45 | 000,593,920 | ---- | M] (OldTimer Tools) -- C:\Users\PBG\Desktop\OTL.exe

[2012.04.03 17:59:35 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat

[2012.04.02 22:34:00 | 000,001,060 | ---- | M] () -- C:\windows\tasks\GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003Core.job

[2012.04.02 19:24:48 | 000,016,453 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.04.02 00:53:01 | 000,222,344 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.04.01 20:51:22 | 000,659,398 | ---- | M] () -- C:\windows\System32\perfh007.dat

[2012.04.01 20:51:22 | 000,621,240 | ---- | M] () -- C:\windows\System32\perfh009.dat

[2012.04.01 20:51:22 | 000,132,434 | ---- | M] () -- C:\windows\System32\perfc007.dat

[2012.04.01 20:51:22 | 000,108,816 | ---- | M] () -- C:\windows\System32\perfc009.dat

[2012.04.01 18:37:51 | 000,066,091 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.04.01 18:21:43 | 000,070,220 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.31 17:38:01 | 000,010,272 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2012.03.31 17:38:01 | 000,010,272 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2012.03.31 17:28:21 | 2136,231,936 | -HS- | M] () -- C:\hiberfil.sys

[2012.03.26 21:25:17 | 001,682,484 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.26 20:44:27 | 170,570,213 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.23 20:35:55 | 002,796,984 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.22 23:31:27 | 000,000,000 | ---- | M] () -- C:\ProgramData\LauncherAccess.dt

[2012.03.18 21:33:12 | 166,880,690 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.16 17:19:35 | 183,772,848 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.16 02:28:59 | 000,423,832 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT

[2012.03.15 19:36:18 | 191,712,697 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.15 19:33:10 | 172,804,636 | ---- | M] () -- C:\Users\PBG\Desktop\

[2012.03.13 20:13:54 | 000,005,245 | ---- | M] () -- C:\Users\PBG\.recently-used.xbel

[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 
 

[2012.03.13 20:13:54 | 000,005,245 | ---- | C] () -- C:\Users\PBG\.recently-used.xbel

[2012.03.12 15:22:51 | 020,385,590 | ---- | C] () -- C:\Users\PBG\Desktop\

[2012.03.03 02:28:49 | 000,003,584 | ---- | C] () -- C:\Users\PBG\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2012.02.16 11:50:25 | 000,000,000 | ---- | C] () -- C:\ProgramData\LauncherAccess.dt

[2012.02.16 11:44:26 | 000,005,632 | ---- | C] () -- C:\windows\System32\drivers\StarOpen.sys

[2012.02.07 17:11:53 | 000,032,256 | ---- | C] () -- C:\windows\System32\AVSredirect.dll

[2012.02.07 16:52:40 | 000,107,520 | RHS- | C] () -- C:\windows\System32\TAKDSDecoder.dll

[2011.11.10 22:22:31 | 000,007,622 | ---- | C] () -- C:\Users\PBG\AppData\Local\Resmon.ResmonCfg

[2011.04.27 14:19:30 | 000,974,848 | ---- | C] () -- C:\windows\System32\cis-2.4.dll

[2011.04.27 14:19:30 | 000,081,920 | ---- | C] () -- C:\windows\System32\issacapi_bs-2.3.dll

[2011.04.27 14:19:30 | 000,065,536 | ---- | C] () -- C:\windows\System32\issacapi_pe-2.3.dll

[2011.04.27 14:19:30 | 000,057,344 | ---- | C] () -- C:\windows\System32\issacapi_se-2.3.dll

[2011.04.11 20:32:21 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat

[2011.01.19 13:34:42 | 003,003,392 | ---- | C] () -- C:\Program Files\openofficeorg33.msi

[2011.01.19 13:33:04 | 000,475,016 | ---- | C] () -- C:\Program Files\setup.exe

[2011.01.19 13:30:10 | 142,700,671 | ---- | C] () -- C:\Program Files\openofficeorg1.cab

[2011.01.19 12:15:26 | 000,000,290 | ---- | C] () -- C:\Program Files\setup.ini

 
 ========== LOP Check ==========

 

[2010.07.14 14:03:16 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Bytemobile

[2012.03.06 01:25:16 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoft

[2012.03.06 01:12:22 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers

[2012.03.26 23:36:41 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\gema

[2011.02.05 22:04:24 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\GetRightToGo

[2012.03.13 20:13:54 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\gtk-2.0

[2010.10.20 11:54:52 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\IrfanView

[2012.02.15 16:50:06 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\JAM Software

[2012.02.15 12:11:34 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\MediaMonkey

[2010.07.16 21:48:27 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\OpenOffice.org

[2012.02.03 19:30:25 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Opera

[2011.02.05 22:13:40 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\phonostar GmbH

[2012.02.16 11:50:47 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Samsung

[2012.02.06 13:39:07 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\TrueCrypt

[2011.11.10 23:43:39 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\TuneUp Software

[2010.07.14 14:04:23 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Vodafone

[2010.07.14 15:08:51 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Vodafone Mobile Connect

[2011.12.18 22:12:30 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 
 < %ALLUSERSPROFILE%\Application Data\*. >

 
 < %ALLUSERSPROFILE%\Application Data\*.exe /s >

 
 < %APPDATA%\*. >

[2011.02.05 22:03:03 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Adobe

[2011.12.02 20:13:37 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Avira

[2010.07.14 14:03:16 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Bytemobile

[2010.12.06 03:23:19 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\dvdcss

[2012.03.06 01:25:16 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoft

[2012.03.06 01:12:22 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers

[2010.07.14 15:13:17 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\FLEXnet

[2012.03.26 23:36:41 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\gema

[2011.02.05 22:04:24 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\GetRightToGo

[2012.03.13 20:13:54 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\gtk-2.0

[2010.07.14 14:02:51 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Identities

[2010.10.20 11:54:52 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\IrfanView

[2012.02.15 16:50:06 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\JAM Software

[2010.07.14 15:11:30 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Macromedia

[2012.03.26 23:00:44 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Malwarebytes

[2012.02.15 12:11:34 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\MediaMonkey

[2012.02.08 21:43:32 | 000,000,000 | --SD | M] -- C:\Users\PBG\AppData\Roaming\Microsoft

[2012.02.03 20:26:14 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Mozilla

[2010.07.16 21:48:27 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\OpenOffice.org

[2012.02.03 19:30:25 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Opera

[2011.02.05 22:13:40 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\phonostar GmbH

[2012.02.16 11:50:47 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Samsung

[2012.04.01 22:28:09 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Skype

[2011.06.20 22:27:15 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\skypePM

[2012.02.06 13:39:07 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\TrueCrypt

[2011.11.10 23:43:39 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\TuneUp Software

[2012.04.01 22:00:24 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\vlc

[2010.07.14 14:04:23 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Vodafone

[2010.07.14 15:08:51 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\Vodafone Mobile Connect

[2011.12.16 23:46:28 | 000,000,000 | ---D | M] -- C:\Users\PBG\AppData\Roaming\WinRAR

 
 < %APPDATA%\*.exe /s >

[2011.02.05 22:02:38 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Users\PBG\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

[2011.08.28 00:55:48 | 003,127,456 | ---- | M] (Adobe Systems, Inc.) -- C:\Users\PBG\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

[2011.05.10 10:25:40 | 000,188,152 | ---- | M] () -- C:\Users\PBG\AppData\Roaming\Mozilla\Firefox\Profiles\moc6o292.default\FlashGot.exe

 
 < %SYSTEMDRIVE%\*.exe >

 
 < MD5 for: AGP440.SYS  >

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\drivers\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_x86_neutral_a97a2a0d0fbc6696\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_b9e9435f20046eeb\AGP440.sys

[2009.07.14 03:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_bc1a57271cf2f285\AGP440.sys

 
 < MD5 for: ATAPI.SYS  >

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_fab873f3e8a3315c\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys

[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_df3f92057fcbe7a7\atapi.sys

 
 < MD5 for: CNGAUDIT.DLL  >

[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\System32\cngaudit.dll

[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll

 
 < MD5 for: IASTOR.SYS  >

[2009.06.04 11:54:36 | 000,408,600 | ---- | M] (Intel Corporation) MD5=1D004CB1DA6323B1F55CAEF7F94B61D9 -- C:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys

[2009.06.04 11:43:16 | 000,330,264 | ---- | M] (Intel Corporation) MD5=D483687EACE0C065EE772481A96E05F5 -- C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys

[2009.06.04 11:43:16 | 000,330,264 | ---- | M] (Intel Corporation) MD5=D483687EACE0C065EE772481A96E05F5 -- C:\Windows\System32\drivers\iaStor.sys

[2009.06.04 11:43:16 | 000,330,264 | ---- | M] (Intel Corporation) MD5=D483687EACE0C065EE772481A96E05F5 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_x86_neutral_c1f15fc3e546800a\iaStor.sys

 
 < MD5 for: IASTORV.SYS  >

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\System32\drivers\iaStorV.sys

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_0bcee2057afcc090\iaStorV.sys

[2011.03.11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) MD5=5CD5F9A5444E6CDCB0AC89BD62D8B76E -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_b0daddb9e6380745\iaStorV.sys

[2011.03.11 07:43:55 | 000,332,160 | ---- | M] (Intel Corporation) MD5=71F1A494FEDF4B33C02C4A6A28D6D9E9 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_aef580fde910b4b0\iaStorV.sys

[2011.03.11 07:28:00 | 000,332,160 | ---- | M] (Intel Corporation) MD5=778D0E6D7D9EBA0C403BADBAAD41DB20 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_b152a892ff64119f\iaStorV.sys

[2009.07.14 03:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_aee7a89be91b9000\iaStorV.sys

[2010.11.20 14:29:54 | 000,332,160 | ---- | M] (Intel Corporation) MD5=A3CAE5D281DB4CFF7CFF8233507EE5AD -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_668286aa35d55928\iaStorV.sys

[2010.11.20 14:29:54 | 000,332,160 | ---- | M] (Intel Corporation) MD5=A3CAE5D281DB4CFF7CFF8233507EE5AD -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_b118bc63e60a139a\iaStorV.sys

[2011.03.11 07:52:21 | 000,332,160 | ---- | M] (Intel Corporation) MD5=B9039A34C2F8769490DCC494E2402445 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_afae2d45020c148b\iaStorV.sys

 
 < MD5 for: NETLOGON.DLL  >

[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\System32\netlogon.dll

[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_ffbf212e963c0162\netlogon.dll

[2009.07.14 03:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_fd8e0d66994d7dc8\netlogon.dll

 
 < MD5 for: NVSTOR.SYS  >

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\System32\drivers\nvstor.sys

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_0276fc3b3ea60d41\nvstor.sys

[2011.03.11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4380E59A170D88C4F1022EFF6719A8A4 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_3ba44e691d6eb11d\nvstor.sys

[2011.03.11 07:44:01 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=4520B63899E867F354EE012D34E11536 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_39bef1ad20475e88\nvstor.sys

[2011.03.11 07:28:10 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=66D468654A58594F5F3BA63D5AD5B1AF -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_3c1c1942369abb77\nvstor.sys

[2011.03.11 07:52:25 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=8A7583A3B58D3EEB28BB26626526BC91 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_3a779df43942be63\nvstor.sys

[2010.11.20 14:30:06 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=9283C58EBAA2618F93482EB5DABCEC82 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_dd659ed032d28a14\nvstor.sys

[2010.11.20 14:30:06 | 000,143,744 | ---- | M] (NVIDIA Corporation) MD5=9283C58EBAA2618F93482EB5DABCEC82 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_3be22d131d40bd72\nvstor.sys

[2009.07.14 03:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_39b1194b205239d8\nvstor.sys

 
 < MD5 for: SCECLI.DLL  >

[2009.07.14 03:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_37e4387f3a6f0483\scecli.dll

[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\System32\scecli.dll

[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_3a154c47375d881d\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2009.07.14 03:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll

[2010.11.20 14:21:33 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 -- C:\Windows\System32\user32.dll

[2010.11.20 14:21:33 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=F1DD3ACAEE5E6B4BBC69BC6DF75CEF66 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_cf3fd62ccb9e983d\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\System32\userinit.exe

[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe

[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe

 
 < MD5 for: WININIT.EXE  >

[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe

[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe

[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe

[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

[2010.11.20 14:17:54 | 000,286,720 | ---- | M] (Microsoft Corporation) MD5=6D13E1406F50C66E2A95D97F22C47560 -- C:\Windows\System32\winlogon.exe

[2010.11.20 14:17:54 | 000,286,720 | ---- | M] (Microsoft Corporation) MD5=6D13E1406F50C66E2A95D97F22C47560 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_71ca6b0233339500\winlogon.exe

[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\System32\drivers\ws2ifsl.sys

[2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_4f5cf6f829213bb2\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:E8BE05FA
 

< End of report >

Zitat:

CHR - plugin: DivX Web Player (Enabled) = C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll

Sagmal gehörst du auch zur der Fraktion, die sich Serien und Kinofilme über dubiose Portale anschaut?
Wenn ja: in Zukunft Finger weg, diese illegalen Portale verbreiten Malware und wenn du in Zukunft malwarefrei sein wilst, musst du auf legale Alternativen ausweichen und auf solche riskanten Streamingseiten verzichten!
Gerade solche Streamingseiten sind für die aktuelle Welle der Erpresserschädlinge verantwortlich, die Windows blockieren und 50 oder 100 EUR erpressen wollen!!

War mal auf so einer Seite die so was anbietet.
Ist mein Computer nun wieder ok?

Nein! Das war erstmal nur ein Hinweis, ist das nicht als solcher erkennbar?!
Wenn du diesen DivX Kram nicht mehr nutzt, und für illegalen Kram nutzt du es in Zukunft ganz mit Sicherheit nicht mehr, dann deinstallier es komplett.
Mach danach wieder wie o.g. ein neues OTL-Log

Habe keinen Ordner C:\Programme\DivX
Habe aber zwei Ordner in C: die "Programme" heißen. Bei einem wird der Zugang verweigert, Schloss dran.

Dann war DivX mal installiert. Naja. ist auch egal. Es ist nur eine Warnung gewesen, weil sich viele auf diese Streamingseiten rumtreiben und dafür wird oft DivX benötigt. Und solche illegalen Seiten vertreiben hauptsächlich solche Schädlinge :pfeiff:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw

IE - HKU\S-1-5-21-67750739-3866145124-1799724527-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

[2012.02.15 13:53:07 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

[2011.03.26 19:52:24 | 000,002,394 | ---- | M] () -- C:\Users\PBG\AppData\Roaming\Mozilla\Firefox\Profiles\moc6o292.default\searchplugins\askcom.xml

O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)

O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.

O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\E\Shell - "" = AutoRun

O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\preinst.exe

[2012.03.17 19:05:45 | 000,000,000 | ---D | C] -- C:\Users\PBG\AppData\Roaming\gema

[2012.03.17 19:05:45 | 000,000,000 | ---D | C] -- C:\ProgramData\gema

@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:E8BE05FA

:Commands

[purity]

[emptytemp]

[emptyflash]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hab das jetzt erst gemacht.
Es gab eine Fehlermeldung, etwas mit dem Verzeichnis HOST. Dann lief OTL nicht weiter. Hab dann das Netbook neu gestartet, hier das OTL Log:

Code:

Files\Folders moved on Reboot...

File move failed. C:\windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
 

Registry entries deleted on Reboot...

Bitte weitere Anweisungen ;)

Wiederhol den Fix im abgesicherten Modus bitte

Hallo lieber Helfer,

hab das heute erst gemacht. Hoffe ich bekomme noch Hilfe jetzt.
Das Logfile:

Code:

All processes killed

========== OTL ==========

Prefs.js: "Ask.com" removed from browser.search.defaultengine

Prefs.js: "Ask.com" removed from browser.search.defaultenginename

Prefs.js: "Ask.com" removed from browser.search.order.1

HKU\S-1-5-21-67750739-3866145124-1799724527-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-67750739-3866145124-1799724527-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.

Folder C:\Users\PBG\AppData\Roaming\mozilla\Firefox\Profiles\moc6o292.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.

File C:\Users\PBG\AppData\Roaming\Mozilla\Firefox\Profiles\moc6o292.default\searchplugins\askcom.xml not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}\ not found.

File C:\Programme\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ not found.

File C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\facemoods not found.

File C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File C:\autoexec.bat not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.

File E:\preinst.exe not found.

Folder C:\Users\PBG\AppData\Roaming\gema\ not found.

Folder C:\ProgramData\gema\ not found.

Unable to delete ADS C:\ProgramData\TEMP:E8BE05FA .

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: PBG

->Temp folder emptied: 60815473 bytes

->Temporary Internet Files folder emptied: 254036532 bytes

->Java cache emptied: 893705 bytes

->FireFox cache emptied: 363070713 bytes

->Google Chrome cache emptied: 105632102 bytes

->Opera cache emptied: 11205406 bytes

->Flash cache emptied: 25156 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 132 bytes

RecycleBin emptied: 1799656 bytes

 

Total Files Cleaned = 761,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 0 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: PBG

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

C:\windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.39.2 log created on 05072012_202554
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Drei Partitionen?

Code:

20:52:43.0568 3512        TDSS rootkit removing tool 2.7.34.0 May  2 2012 09:59:18

20:52:44.0292 3512        ============================================================

20:52:44.0292 3512        Current date / time: 2012/05/07 20:52:44.0292

20:52:44.0292 3512        SystemInfo:

20:52:44.0292 3512        

20:52:44.0292 3512        OS Version: 6.1.7601 ServicePack: 1.0

20:52:44.0292 3512        Product type: Workstation

20:52:44.0292 3512        ComputerName: PBG-PC

20:52:44.0292 3512        UserName: PBG

20:52:44.0292 3512        Windows directory: C:\windows

20:52:44.0292 3512        System windows directory: C:\windows

20:52:44.0292 3512        Processor architecture: Intel x86

20:52:44.0292 3512        Number of processors: 2

20:52:44.0292 3512        Page size: 0x1000

20:52:44.0292 3512        Boot type: Normal boot

20:52:44.0292 3512        ============================================================

20:52:45.0595 3512        Drive \Device\Harddisk0\DR0 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000050

20:52:45.0595 3512        ============================================================

20:52:45.0595 3512        \Device\Harddisk0\DR0:

20:52:45.0595 3512        MBR partitions:

20:52:45.0595 3512        \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x1E00800, BlocksNum 0x32000

20:52:45.0595 3512        \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x1E32800, BlocksNum 0x7530000

20:52:45.0595 3512        \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x9362800, BlocksNum 0x13E62000

20:52:45.0595 3512        ============================================================

20:52:45.0642 3512        Initialize success

20:52:45.0642 3512        ============================================================

20:53:38.0456 1456        ============================================================

20:53:38.0456 1456        Scan started

20:53:38.0456 1456        Mode: Manual; SigCheck; TDLFS; 

20:53:38.0456 1456        ============================================================

20:53:38.0555 1456        1394ohci - ok

20:53:38.0576 1456        ACPI - ok

20:53:38.0590 1456        AcpiPmi - ok

20:53:38.0644 1456        AdobeFlashPlayerUpdateSvc - ok

20:53:38.0664 1456        adp94xx - ok

20:53:38.0689 1456        adpahci - ok

20:53:38.0708 1456        adpu320 - ok

20:53:38.0734 1456        AeLookupSvc - ok

20:53:38.0761 1456        AFD - ok

20:53:38.0778 1456        agp440 - ok

20:53:38.0795 1456        aic78xx - ok

20:53:38.0829 1456        ALG - ok

20:53:38.0846 1456        aliide - ok

20:53:38.0863 1456        amdagp - ok

20:53:38.0881 1456        amdide - ok

20:53:38.0898 1456        AmdK8 - ok

20:53:38.0915 1456        AmdPPM - ok

20:53:38.0933 1456        amdsata - ok

20:53:38.0950 1456        amdsbs - ok

20:53:38.0967 1456        amdxata - ok

20:53:38.0995 1456        AntiVirSchedulerService - ok

20:53:39.0010 1456        AntiVirService - ok

20:53:39.0030 1456        AppID - ok

20:53:39.0047 1456        AppIDSvc - ok

20:53:39.0065 1456        Appinfo - ok

20:53:39.0082 1456        arc - ok

20:53:39.0099 1456        arcsas - ok

20:53:39.0132 1456        AsyncMac - ok

20:53:39.0151 1456        atapi - ok

20:53:39.0177 1456        athr - ok

20:53:39.0199 1456        AudioEndpointBuilder - ok

20:53:39.0217 1456        Audiosrv - ok

20:53:39.0235 1456        avgntflt - ok

20:53:39.0251 1456        avipbb - ok

20:53:39.0270 1456        avkmgr - ok

20:53:39.0288 1456        AxInstSV - ok

20:53:39.0307 1456        b06bdrv - ok

20:53:39.0344 1456        b57nd60x - ok

20:53:39.0385 1456        BazisVirtualCDBus - ok

20:53:39.0404 1456        BDESVC - ok

20:53:39.0433 1456        Beep - ok

20:53:39.0451 1456        BFE - ok

20:53:39.0470 1456        BITS - ok

20:53:39.0487 1456        blbdrive - ok

20:53:39.0507 1456        bowser - ok

20:53:39.0525 1456        BrFiltLo - ok

20:53:39.0541 1456        BrFiltUp - ok

20:53:39.0557 1456        Browser - ok

20:53:39.0576 1456        Brserid - ok

20:53:39.0595 1456        BrSerWdm - ok

20:53:39.0610 1456        BrUsbMdm - ok

20:53:39.0629 1456        BrUsbSer - ok

20:53:39.0661 1456        BthEnum - ok

20:53:39.0681 1456        BTHMODEM - ok

20:53:39.0701 1456        BthPan - ok

20:53:39.0735 1456        BTHPORT - ok

20:53:39.0757 1456        bthserv - ok

20:53:39.0782 1456        BTHUSB - ok

20:53:39.0801 1456        btusbflt - ok

20:53:39.0827 1456        btwaudio - ok

20:53:39.0843 1456        btwavdt - ok

20:53:39.0883 1456        btwdins - ok

20:53:39.0934 1456        btwl2cap - ok

20:53:39.0969 1456        btwrchid - ok

20:53:39.0991 1456        cdfs - ok

20:53:40.0030 1456        cdrom - ok

20:53:40.0052 1456        CertPropSvc - ok

20:53:40.0072 1456        circlass - ok

20:53:40.0089 1456        CLFS - ok

20:53:40.0115 1456        clr_optimization_v2.0.50727_32 - ok

20:53:40.0177 1456        clr_optimization_v4.0.30319_32 - ok

20:53:40.0195 1456        CmBatt - ok

20:53:40.0212 1456        cmdide - ok

20:53:40.0229 1456        CNG - ok

20:53:40.0248 1456        Compbatt - ok

20:53:40.0271 1456        CompositeBus - ok

20:53:40.0289 1456        COMSysApp - ok

20:53:40.0306 1456        crcdisk - ok

20:53:40.0345 1456        CryptSvc - ok

20:53:40.0372 1456        DcomLaunch - ok

20:53:40.0389 1456        defragsvc - ok

20:53:40.0406 1456        DfsC - ok

20:53:40.0431 1456        dgderdrv - ok

20:53:40.0448 1456        Dhcp - ok

20:53:40.0467 1456        discache - ok

20:53:40.0489 1456        Disk - ok

20:53:40.0507 1456        Dnscache - ok

20:53:40.0526 1456        dot3svc - ok

20:53:40.0543 1456        DPS - ok

20:53:40.0561 1456        drmkaud - ok

20:53:40.0581 1456        DXGKrnl - ok

20:53:40.0607 1456        EapHost - ok

20:53:40.0625 1456        ebdrv - ok

20:53:40.0641 1456        EFS - ok

20:53:40.0667 1456        elxstor - ok

20:53:40.0685 1456        ErrDev - ok

20:53:40.0728 1456        EventSystem - ok

20:53:40.0744 1456        exfat - ok

20:53:40.0762 1456        fastfat - ok

20:53:40.0792 1456        Fax - ok

20:53:40.0812 1456        fdc - ok

20:53:40.0827 1456        fdPHost - ok

20:53:40.0844 1456        FDResPub - ok

20:53:40.0875 1456        FileInfo - ok

20:53:40.0890 1456        Filetrace - ok

20:53:40.0907 1456        flpydisk - ok

20:53:40.0925 1456        FltMgr - ok

20:53:40.0944 1456        FontCache - ok

20:53:40.0962 1456        FontCache3.0.0.0 - ok

20:53:40.0980 1456        FsDepends - ok

20:53:40.0997 1456        Fs_Rec - ok

20:53:41.0015 1456        fvevol - ok

20:53:41.0033 1456        gagp30kx - ok

20:53:41.0050 1456        gpsvc - ok

20:53:41.0067 1456        hcw85cir - ok

20:53:41.0100 1456        HdAudAddService - ok

20:53:41.0119 1456        HDAudBus - ok

20:53:41.0137 1456        HidBatt - ok

20:53:41.0153 1456        HidBth - ok

20:53:41.0172 1456        HidIr - ok

20:53:41.0190 1456        hidserv - ok

20:53:41.0225 1456        HidUsb - ok

20:53:41.0236 1456        hkmsvc - ok

20:53:41.0246 1456        HomeGroupListener - ok

20:53:41.0272 1456        HomeGroupProvider - ok

20:53:41.0292 1456        HpSAMD - ok

20:53:41.0319 1456        HTTP - ok

20:53:41.0345 1456        hwpolicy - ok

20:53:41.0357 1456        i8042prt - ok

20:53:41.0388 1456        iaStor - ok

20:53:41.0398 1456        iaStorV - ok

20:53:41.0437 1456        idsvc - ok

20:53:41.0452 1456        igfx - ok

20:53:41.0471 1456        iirsp - ok

20:53:41.0488 1456        IKEEXT - ok

20:53:41.0527 1456        IntcAzAudAddService - ok

20:53:41.0540 1456        intelide - ok

20:53:41.0560 1456        intelppm - ok

20:53:41.0576 1456        IPBusEnum - ok

20:53:41.0590 1456        IpFilterDriver - ok

20:53:41.0608 1456        iphlpsvc - ok

20:53:41.0625 1456        IPMIDRV - ok

20:53:41.0642 1456        IPNAT - ok

20:53:41.0660 1456        IRENUM - ok

20:53:41.0678 1456        isapnp - ok

20:53:41.0695 1456        iScsiPrt - ok

20:53:41.0738 1456        kbdclass - ok

20:53:41.0766 1456        kbdhid - ok

20:53:41.0795 1456        KeyIso - ok

20:53:41.0819 1456        KSecDD - ok

20:53:41.0836 1456        KSecPkg - ok

20:53:41.0856 1456        KtmRm - ok

20:53:41.0874 1456        LanmanServer - ok

20:53:41.0890 1456        LanmanWorkstation - ok

20:53:41.0929 1456        lltdio - ok

20:53:41.0942 1456        lltdsvc - ok

20:53:41.0972 1456        lmhosts - ok

20:53:41.0991 1456        LSI_FC - ok

20:53:42.0009 1456        LSI_SAS - ok

20:53:42.0027 1456        LSI_SAS2 - ok

20:53:42.0045 1456        LSI_SCSI - ok

20:53:42.0060 1456        luafv - ok

20:53:42.0090 1456        MBAMProtector - ok

20:53:42.0124 1456        MBAMService - ok

20:53:42.0151 1456        megasas - ok

20:53:42.0169 1456        MegaSR - ok

20:53:42.0187 1456        MMCSS - ok

20:53:42.0202 1456        Modem - ok

20:53:42.0221 1456        monitor - ok

20:53:42.0239 1456        mouclass - ok

20:53:42.0257 1456        mouhid - ok

20:53:42.0274 1456        mountmgr - ok

20:53:42.0306 1456        MozillaMaintenance - ok

20:53:42.0326 1456        mpio - ok

20:53:42.0346 1456        mpsdrv - ok

20:53:42.0369 1456        MpsSvc - ok

20:53:42.0386 1456        MRxDAV - ok

20:53:42.0400 1456        mrxsmb - ok

20:53:42.0417 1456        mrxsmb10 - ok

20:53:42.0435 1456        mrxsmb20 - ok

20:53:42.0452 1456        msahci - ok

20:53:42.0469 1456        msdsm - ok

20:53:42.0486 1456        MSDTC - ok

20:53:42.0519 1456        Msfs - ok

20:53:42.0537 1456        mshidkmdf - ok

20:53:42.0556 1456        msisadrv - ok

20:53:42.0571 1456        MSiSCSI - ok

20:53:42.0589 1456        msiserver - ok

20:53:42.0617 1456        MSKSSRV - ok

20:53:42.0635 1456        MSPCLOCK - ok

20:53:42.0653 1456        MSPQM - ok

20:53:42.0670 1456        MsRPC - ok

20:53:42.0695 1456        mssmbios - ok

20:53:42.0712 1456        MSTEE - ok

20:53:42.0729 1456        MTConfig - ok

20:53:42.0746 1456        Mup - ok

20:53:42.0767 1456        napagent - ok

20:53:42.0809 1456        NativeWifiP - ok

20:53:42.0838 1456        NDIS - ok

20:53:42.0853 1456        NdisCap - ok

20:53:42.0883 1456        NdisTapi - ok

20:53:42.0901 1456        Ndisuio - ok

20:53:42.0919 1456        NdisWan - ok

20:53:42.0936 1456        NDProxy - ok

20:53:42.0953 1456        NetBIOS - ok

20:53:42.0971 1456        NetBT - ok

20:53:42.0988 1456        Netlogon - ok

20:53:43.0018 1456        Netman - ok

20:53:43.0035 1456        netprofm - ok

20:53:43.0051 1456        NetTcpPortSharing - ok

20:53:43.0069 1456        nfrd960 - ok

20:53:43.0087 1456        NlaSvc - ok

20:53:43.0105 1456        Npfs - ok

20:53:43.0122 1456        nsi - ok

20:53:43.0139 1456        nsiproxy - ok

20:53:43.0166 1456        Ntfs - ok

20:53:43.0183 1456        Null - ok

20:53:43.0202 1456        nvraid - ok

20:53:43.0247 1456        nvstor - ok

20:53:43.0262 1456        nv_agp - ok

20:53:43.0280 1456        ohci1394 - ok

20:53:43.0297 1456        p2pimsvc - ok

20:53:43.0317 1456        p2psvc - ok

20:53:43.0335 1456        Parport - ok

20:53:43.0351 1456        partmgr - ok

20:53:43.0368 1456        Parvdm - ok

20:53:43.0387 1456        PcaSvc - ok

20:53:43.0405 1456        pci - ok

20:53:43.0422 1456        pciide - ok

20:53:43.0440 1456        pcmcia - ok

20:53:43.0459 1456        pcw - ok

20:53:43.0477 1456        PEAUTH - ok

20:53:43.0525 1456        pla - ok

20:53:43.0558 1456        PlugPlay - ok

20:53:43.0576 1456        PNRPAutoReg - ok

20:53:43.0598 1456        PNRPsvc - ok

20:53:43.0615 1456        PolicyAgent - ok

20:53:43.0641 1456        Power - ok

20:53:43.0667 1456        PptpMiniport - ok

20:53:43.0684 1456        Processor - ok

20:53:43.0702 1456        ProfSvc - ok

20:53:43.0720 1456        ProtectedStorage - ok

20:53:43.0738 1456        Psched - ok

20:53:43.0759 1456        ql2300 - ok

20:53:43.0779 1456        ql40xx - ok

20:53:43.0797 1456        QWAVE - ok

20:53:43.0814 1456        QWAVEdrv - ok

20:53:43.0830 1456        RasAcd - ok

20:53:43.0850 1456        RasAgileVpn - ok

20:53:43.0869 1456        RasAuto - ok

20:53:43.0887 1456        Rasl2tp - ok

20:53:43.0911 1456        RasMan - ok

20:53:43.0939 1456        RasPppoe - ok

20:53:43.0969 1456        RasSstp - ok

20:53:43.0987 1456        rdbss - ok

20:53:44.0003 1456        rdpbus - ok

20:53:44.0019 1456        RDPCDD - ok

20:53:44.0049 1456        RDPENCDD - ok

20:53:44.0072 1456        RDPREFMP - ok

20:53:44.0090 1456        RDPWD - ok

20:53:44.0109 1456        rdyboost - ok

20:53:44.0129 1456        RemoteAccess - ok

20:53:44.0144 1456        RemoteRegistry - ok

20:53:44.0171 1456        Rezip - ok

20:53:44.0197 1456        RFCOMM - ok

20:53:44.0215 1456        RpcEptMapper - ok

20:53:44.0231 1456        RpcLocator - ok

20:53:44.0250 1456        RpcSs - ok

20:53:44.0269 1456        rspndr - ok

20:53:44.0287 1456        RTL8167 - ok

20:53:44.0316 1456        SABI - ok

20:53:44.0343 1456        SamSs - ok

20:53:44.0376 1456        samsung_hspa_datacard_cdc_acm - ok

20:53:44.0405 1456        samsung_hspa_datacard_cdc_ecm - ok

20:53:44.0428 1456        samsung_hspa_datacard_dc_enum - ok

20:53:44.0460 1456        sbp2port - ok

20:53:44.0476 1456        SCardSvr - ok

20:53:44.0486 1456        scfilter - ok

20:53:44.0515 1456        Schedule - ok

20:53:44.0531 1456        SCPolicySvc - ok

20:53:44.0550 1456        SDRSVC - ok

20:53:44.0570 1456        secdrv - ok

20:53:44.0591 1456        seclogon - ok

20:53:44.0612 1456        SENS - ok

20:53:44.0636 1456        Serenum - ok

20:53:44.0657 1456        Serial - ok

20:53:44.0675 1456        sermouse - ok

20:53:44.0717 1456        SessionEnv - ok

20:53:44.0735 1456        sffdisk - ok

20:53:44.0753 1456        sffp_mmc - ok

20:53:44.0771 1456        sffp_sd - ok

20:53:44.0789 1456        sfloppy - ok

20:53:44.0857 1456        SharedAccess - ok

20:53:44.0877 1456        ShellHWDetection - ok

20:53:44.0895 1456        sisagp - ok

20:53:44.0915 1456        SiSRaid2 - ok

20:53:44.0931 1456        SiSRaid4 - ok

20:53:44.0975 1456        SkypeUpdate - ok

20:53:44.0993 1456        Smb - ok

20:53:45.0036 1456        SNMPTRAP - ok

20:53:45.0054 1456        spldr - ok

20:53:45.0071 1456        Spooler - ok

20:53:45.0089 1456        sppsvc - ok

20:53:45.0107 1456        sppuinotify - ok

20:53:45.0138 1456        SQLWriter - ok

20:53:45.0158 1456        srv - ok

20:53:45.0172 1456        srv2 - ok

20:53:45.0190 1456        srvnet - ok

20:53:45.0238 1456        sscdbus - ok

20:53:45.0250 1456        sscdmdfl - ok

20:53:45.0267 1456        sscdmdm - ok

20:53:45.0284 1456        SSDPSRV - ok

20:53:45.0301 1456        ssmdrv - ok

20:53:45.0320 1456        SstpSvc - ok

20:53:45.0365 1456        ss_bbus - ok

20:53:45.0387 1456        ss_bmdfl - ok

20:53:45.0408 1456        ss_bmdm - ok

20:53:45.0441 1456        ss_bserd - ok

20:53:45.0477 1456        StarOpen - ok

20:53:45.0497 1456        stexstor - ok

20:53:45.0521 1456        StiSvc - ok

20:53:45.0541 1456        swenum - ok

20:53:45.0570 1456        swprv - ok

20:53:45.0604 1456        SynTP - ok

20:53:45.0631 1456        SysMain - ok

20:53:45.0660 1456        TabletInputService - ok

20:53:45.0687 1456        TapiSrv - ok

20:53:45.0714 1456        TBS - ok

20:53:45.0734 1456        Tcpip - ok

20:53:45.0752 1456        TCPIP6 - ok

20:53:45.0779 1456        tcpipreg - ok

20:53:45.0806 1456        TDPIPE - ok

20:53:45.0824 1456        TDTCP - ok

20:53:45.0842 1456        tdx - ok

20:53:45.0861 1456        TermDD - ok

20:53:45.0880 1456        TermService - ok

20:53:45.0900 1456        Themes - ok

20:53:45.0919 1456        THREADORDER - ok

20:53:45.0944 1456        TrkWks - ok

20:53:45.0976 1456        truecrypt - ok

20:53:45.0993 1456        TrustedInstaller - ok

20:53:46.0021 1456        tssecsrv - ok

20:53:46.0060 1456        TsUsbFlt - ok

20:53:46.0078 1456        tunnel - ok

20:53:46.0097 1456        uagp35 - ok

20:53:46.0115 1456        udfs - ok

20:53:46.0161 1456        UI0Detect - ok

20:53:46.0186 1456        uliagpkx - ok

20:53:46.0205 1456        umbus - ok

20:53:46.0233 1456        UmPass - ok

20:53:46.0257 1456        upnphost - ok

20:53:46.0276 1456        usbccgp - ok

20:53:46.0296 1456        usbcir - ok

20:53:46.0315 1456        usbehci - ok

20:53:46.0339 1456        usbhub - ok

20:53:46.0357 1456        usbohci - ok

20:53:46.0386 1456        usbprint - ok

20:53:46.0422 1456        usbscan - ok

20:53:46.0438 1456        USBSTOR - ok

20:53:46.0455 1456        usbuhci - ok

20:53:46.0488 1456        usbvideo - ok

20:53:46.0522 1456        usb_rndisx - ok

20:53:46.0549 1456        UxSms - ok

20:53:46.0567 1456        VaultSvc - ok

20:53:46.0592 1456        vdrvroot - ok

20:53:46.0609 1456        vds - ok

20:53:46.0629 1456        vga - ok

20:53:46.0645 1456        VgaSave - ok

20:53:46.0662 1456        vhdmp - ok

20:53:46.0695 1456        viaagp - ok

20:53:46.0714 1456        ViaC7 - ok

20:53:46.0732 1456        viaide - ok

20:53:46.0751 1456        volmgr - ok

20:53:46.0771 1456        volmgrx - ok

20:53:46.0791 1456        volsnap - ok

20:53:46.0817 1456        vsmraid - ok

20:53:46.0834 1456        VSS - ok

20:53:46.0851 1456        vwifibus - ok

20:53:46.0876 1456        vwififlt - ok

20:53:46.0899 1456        vwifimp - ok

20:53:46.0920 1456        W32Time - ok

20:53:46.0945 1456        WacomPen - ok

20:53:46.0962 1456        WANARP - ok

20:53:46.0980 1456        Wanarpv6 - ok

20:53:46.0997 1456        wbengine - ok

20:53:47.0018 1456        WbioSrvc - ok

20:53:47.0037 1456        wcncsvc - ok

20:53:47.0054 1456        WcsPlugInService - ok

20:53:47.0067 1456        Wd - ok

20:53:47.0085 1456        Wdf01000 - ok

20:53:47.0104 1456        WdiServiceHost - ok

20:53:47.0144 1456        WdiSystemHost - ok

20:53:47.0162 1456        WebClient - ok

20:53:47.0198 1456        Wecsvc - ok

20:53:47.0224 1456        wercplsupport - ok

20:53:47.0258 1456        WerSvc - ok

20:53:47.0281 1456        WfpLwf - ok

20:53:47.0301 1456        WIMMount - ok

20:53:47.0321 1456        WinDefend - ok

20:53:47.0353 1456        WinHttpAutoProxySvc - ok

20:53:47.0371 1456        Winmgmt - ok

20:53:47.0402 1456        WinRM - ok

20:53:47.0464 1456        WinUsb - ok

20:53:47.0471 1456        Wlansvc - ok

20:53:47.0491 1456        WmiAcpi - ok

20:53:47.0542 1456        wmiApSrv - ok

20:53:47.0570 1456        WMPNetworkSvc - ok

20:53:47.0609 1456        WPCSvc - ok

20:53:47.0645 1456        WPDBusEnum - ok

20:53:47.0673 1456        ws2ifsl - ok

20:53:47.0685 1456        wscsvc - ok

20:53:47.0712 1456        WSDPrintDevice - ok

20:53:47.0732 1456        WSDScan - ok

20:53:47.0751 1456        WSearch - ok

20:53:47.0781 1456        wuauserv - ok

20:53:47.0800 1456        WudfPf - ok

20:53:47.0821 1456        WUDFRd - ok

20:53:47.0845 1456        wudfsvc - ok

20:53:47.0867 1456        WwanSvc - ok

20:53:47.0895 1456        yukonw7 - ok

20:53:48.0021 1456        MBR (0x1B8)     (ddc4773eef68ef7fac87cf9235395cab) \Device\Harddisk0\DR0

20:53:49.0802 1456        \Device\Harddisk0\DR0 - ok

20:53:49.0851 1456        Boot (0x1200)   (2819502ddd2e4cb2309a568199733fb3) \Device\Harddisk0\DR0\Partition0

20:53:49.0852 1456        \Device\Harddisk0\DR0\Partition0 - ok

20:53:49.0873 1456        Boot (0x1200)   (5e89b9eaa47ef79b096270573927d40e) \Device\Harddisk0\DR0\Partition1

20:53:49.0875 1456        \Device\Harddisk0\DR0\Partition1 - ok

20:53:49.0907 1456        Boot (0x1200)   (3d8a46dd54b25adc4c718dfac7c78b3d) \Device\Harddisk0\DR0\Partition2

20:53:49.0908 1456        \Device\Harddisk0\DR0\Partition2 - ok

20:53:49.0910 1456        ============================================================

20:53:49.0910 1456        Scan finished

20:53:49.0910 1456        ============================================================

20:53:50.0030 4072        Detected object count: 0

20:53:50.0030 4072        Actual detected object count: 0

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Bei Avira kann ich aber nur den Scanner schliessen, nicht aber das ganze Avira.
Trotzdem OK?

Es reicht wenn der Scanner deaktiviert wurde

Code:

ComboFix 12-05-07.02 - PBG 07.05.2012  22:18:22.1.2 - x86

Microsoft Windows 7 Starter   6.1.7601.1.1252.49.1031.18.2037.1216 [GMT 2:00]

ausgeführt von:: c:\users\PBG\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\facemoods.com

c:\program files\facemoods.com\facemoods\1.4.17.11\facemoods.crx

c:\program files\facemoods.com\facemoods\1.4.17.11\facemoods.png

c:\program files\facemoods.com\facemoods\1.4.17.11\facemoodsApp.dll

c:\program files\facemoods.com\facemoods\1.4.17.11\facemoodsEng.dll

c:\program files\facemoods.com\facemoods\1.4.17.11\uninstall.exe

c:\windows\system32\system32

c:\windows\system32\system32\3DAudio.ax

c:\windows\system32\system32\avrt.dll

c:\windows\system32\system32\cis-2.4.dll

c:\windows\system32\system32\issacapi_bs-2.3.dll

c:\windows\system32\system32\issacapi_pe-2.3.dll

c:\windows\system32\system32\issacapi_se-2.3.dll

c:\windows\system32\system32\MACXMLProto.dll

c:\windows\system32\system32\MaDRM.dll

c:\windows\system32\system32\MaJGUILib.dll

c:\windows\system32\system32\MAMACExtract.dll

c:\windows\system32\system32\MASetupCleaner.exe

c:\windows\system32\system32\MaXMLProto.dll

c:\windows\system32\system32\mfplat.dll

c:\windows\system32\system32\MK_Lyric.dll

c:\windows\system32\system32\MSCLib.dll

c:\windows\system32\system32\MSFLib.dll

c:\windows\system32\system32\MSLUR71.dll

c:\windows\system32\system32\msvcp60.dll

c:\windows\system32\system32\MTTELECHIP.dll

c:\windows\system32\system32\MTXSYNCICON.dll

c:\windows\system32\system32\muzaf1.dll

c:\windows\system32\system32\muzapp.dll

c:\windows\system32\system32\muzapp.exe

c:\windows\system32\system32\muzdecode.ax

c:\windows\system32\system32\muzeffect.ax

c:\windows\system32\system32\muzmp4sp.ax

c:\windows\system32\system32\muzmpgsp.ax

c:\windows\system32\system32\muzoggsp.ax

c:\windows\system32\system32\muzwmts.dll

c:\windows\system32\system32\psapi.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-04-07 bis 2012-05-07  ))))))))))))))))))))))))))))))

.

.

2012-05-07 15:05 . 2012-05-07 15:06        --------        d-----w-        c:\users\PBG\AppData\Local\Deployment

2012-05-07 15:05 . 2012-05-07 15:05        --------        d-----w-        c:\users\PBG\AppData\Local\Apps

2012-05-07 10:57 . 2012-05-07 10:57        --------        d-----w-        c:\program files\Common Files\Java

2012-05-07 10:55 . 2012-05-07 10:54        476960        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-05-01 16:00 . 2012-05-01 16:00        --------        d-----w-        c:\program files\Mozilla Maintenance Service

2012-05-01 15:59 . 2012-05-01 15:59        157352        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice_installer.exe

2012-05-01 15:59 . 2012-05-01 15:59        129976        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice.exe

2012-04-29 19:17 . 2012-04-29 19:17        237        ----a-w-        C:\user.js

2012-04-29 19:17 . 2012-04-29 19:17        --------        d-----w-        c:\program files\BabylonToolbar

2012-04-29 19:16 . 2012-04-29 19:16        --------        d-----w-        c:\users\PBG\AppData\Local\Babylon

2012-04-29 19:16 . 2012-04-29 19:16        --------        d-----w-        c:\programdata\Babylon

2012-04-29 19:16 . 2012-04-29 19:16        --------        d-----w-        c:\users\PBG\AppData\Roaming\Babylon

2012-04-17 21:18 . 2012-05-04 19:44        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-04-17 19:08 . 2012-04-17 19:08        --------        d-----w-        C:\_OTL

2012-04-17 05:55 . 2012-04-17 05:55        --------        d-----w-        c:\program files\Photo Notifier and Animation Creator

2012-04-17 05:55 . 2012-04-17 05:55        --------        d-----w-        c:\programdata\Photo Notifier and Animation Creator

2012-04-17 05:54 . 2012-04-17 05:59        --------        d-----w-        c:\users\PBG\AppData\Local\IM

2012-04-17 05:53 . 2012-04-17 05:55        --------        d-----w-        c:\programdata\IM

2012-04-17 05:53 . 2012-04-17 05:53        --------        d-----w-        c:\programdata\IncrediMail

2012-04-17 05:53 . 2012-04-17 05:53        --------        d-----w-        c:\program files\IncrediMail

2012-04-13 22:08 . 2012-03-01 05:46        19824        ----a-w-        c:\windows\system32\drivers\fs_rec.sys

2012-04-13 22:08 . 2012-03-01 05:37        172544        ----a-w-        c:\windows\system32\wintrust.dll

2012-04-13 22:08 . 2012-03-01 05:29        5120        ----a-w-        c:\windows\system32\wmi.dll

2012-04-13 22:08 . 2012-03-01 05:33        159232        ----a-w-        c:\windows\system32\imagehlp.dll

2012-04-13 22:07 . 2012-03-06 05:59        3968368        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-04-13 22:07 . 2012-03-06 05:59        3913072        ----a-w-        c:\windows\system32\ntoskrnl.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-05-07 10:54 . 2010-07-15 00:24        472864        ----a-w-        c:\windows\system32\deployJava1.dll

2012-05-04 19:44 . 2011-05-23 19:03        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-04-04 13:56 . 2012-03-26 21:00        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-02-17 05:34 . 2012-03-14 08:02        826880        ----a-w-        c:\windows\system32\rdpcore.dll

2012-02-17 04:14 . 2012-03-14 08:02        183808        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-02-17 04:13 . 2012-03-14 08:02        24576        ----a-w-        c:\windows\system32\drivers\tdtcp.sys

2012-02-15 08:37 . 2011-12-02 17:07        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-02-10 05:38 . 2012-03-14 08:03        1077248        ----a-w-        c:\windows\system32\DWrite.dll

2011-01-19 11:34 . 2011-01-19 11:34        3003392        ----a-w-        c:\program files\openofficeorg33.msi

2011-01-19 11:33 . 2011-01-19 11:33        475016        ----a-w-        c:\program files\setup.exe

2012-05-01 15:59 . 2011-11-10 19:13        97208        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 11:06        163328        --sha-r-        c:\windows\System32\flvDX.dll

2007-02-21 12:47        31232        --sha-r-        c:\windows\System32\msfDX.dll

2008-03-16 14:30        216064        --sha-r-        c:\windows\System32\nbDX.dll

2010-01-06 23:00        107520        --sha-r-        c:\windows\System32\TAKDSDecoder.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2011-12-12 1517520]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-02-26 1713448]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-12-14 8120864]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-10-25 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-10-25 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-10-25 150552]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-10-2 795936]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk

backup=c:\windows\pss\Bluetooth.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]

2009-12-14 17:36        8120864        ------w-        c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"HotKeysCmds"=c:\windows\system32\hkcmd.exe

"MobileConnect"=c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-01-31 158856]

R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-04 257696]

R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]

R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [x]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [2012-05-01 129976]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2010-12-21 98432]

R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2010-12-21 14848]

R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2010-12-21 123648]

R3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\windows\system32\DRIVERS\ss_bserd.sys [2010-12-21 100224]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]

R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 20480]

R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 36000]

S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-10-19 86224]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-04-04 654408]

S2 Rezip;Rezip;c:\windows\SYSTEM32\Rezip.exe [2009-03-05 311296]

S3 BazisVirtualCDBus;WinCDEmu Virtual Bus Driver;c:\windows\system32\DRIVERS\BazisVirtualCDBus.sys [2011-08-08 117584]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-04-04 22344]

S3 samsung_hspa_datacard_cdc_acm;Samsung HSPA DataCard CDC-ACM driver;c:\windows\system32\DRIVERS\samsung_hspa_datacard_cdc_acm.sys [2010-01-15 68608]

S3 samsung_hspa_datacard_cdc_ecm;samsung_hspa_datacard_cdc_ecm;c:\windows\system32\DRIVERS\samsung_hspa_datacard_cdc_ecm.sys [2010-01-15 81920]

S3 samsung_hspa_datacard_dc_enum;Samsung HSPA DataCard DC Enumerator;c:\windows\system32\DRIVERS\samsung_hspa_datacard_dc_enum.sys [2010-01-15 62464]

S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 89351301

*Deregistered* - 89351301

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc

.

Inhalt des "geplante Tasks" Ordners

.

2012-05-07 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-17 19:44]

.

2012-05-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003Core.job

- c:\users\PBG\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-03 09:50]

.

2012-05-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003UA.job

- c:\users\PBG\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-03 09:50]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

uInternet Settings,ProxyOverride = <local>

IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Free YouTube Download - c:\users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\users\PBG\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.0.1

TCP: Interfaces\{6CB44DBC-6166-496D-B83D-F8183DC7BE4B}: NameServer = 10.74.83.22 193.254.160.1

FF - ProfilePath - c:\users\PBG\AppData\Roaming\Mozilla\Firefox\Profiles\moc6o292.default\

FF - prefs.js: browser.search.selectedEngine - MyStart Search

FF - prefs.js: browser.startup.homepage - www.google.de

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com//?loc=ff_address_bar&a=1ex6xjvzjt4&search=

FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=110819

FF - user.js: extensions.BabylonToolbar_i.babExt - 

FF - user.js: extensions.BabylonToolbar_i.srcExt - ss

FF - user.js: extensions.BabylonToolbar_i.id - ba320b67000000000000b282febe9249

FF - user.js: extensions.BabylonToolbar_i.hardId - ba320b67000000000000b282febe9249

FF - user.js: extensions.BabylonToolbar_i.instlDay - 15459

FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:17

FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon

FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar

FF - user.js: extensions.BabylonToolbar_i.aflt - babsst

FF - user.js: extensions.BabylonToolbar_i.smplGrp - none

FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9

FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-KiesPDLR - c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe

AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.11\uninstall.exe

AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe

AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe

AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe

AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe

AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe

AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe

AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe

AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe

AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe

AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe

AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe

AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe

AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-05-07  22:39:34

ComboFix-quarantined-files.txt  2012-05-07 20:39

.

Vor Suchlauf: 2.353.442.816 Bytes frei

Nach Suchlauf: 2.244.456.448 Bytes frei

.

- - End Of File - - 47B29923B4AB8DEE201467791B6D41AE

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo,
GMER scannt zwar, aber am Schluss ist da kein Feld mit "Copy" zum Anklicken. Die Ergebnisse kann man auch nicht in die Zwischenablage kopieren.
Mache gleich mal mit OSAM weiter.

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 20:37:49 on 08.05.2012
 

OS: Windows 7 Starter Edition Service Pack 1 (Build 7601), 32-bit

Default Browser: Google Inc. Google Chrome 18.0.1025.168
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003Core.job" - "Google Inc." - C:\Users\PBG\AppData\Local\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskUserS-1-5-21-67750739-3866145124-1799724527-1003UA.job" - "Google Inc." - C:\Users\PBG\AppData\Local\Google\Update\GoogleUpdate.exe

"Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\windows\system32\FlashPlayerCPLApp.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"avgntflt" (avgntflt) - "Avira GmbH" - C:\windows\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\windows\System32\DRIVERS\avipbb.sys

"avkmgr" (avkmgr) - "Avira GmbH" - C:\windows\System32\DRIVERS\avkmgr.sys

"catchme" (catchme) - ? - C:\Users\PBG\AppData\Local\Temp\catchme.sys  (File not found)

"dgderdrv" (dgderdrv) - ? - C:\windows\System32\drivers\dgderdrv.sys  (File not found)

"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\windows\system32\drivers\mbam.sys

"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\windows\System32\DRIVERS\ssmdrv.sys

"StarOpen" (StarOpen) - ? - C:\windows\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)

"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\windows\System32\drivers\truecrypt.sys

"uwldapow" (uwldapow) - ? - C:\Users\PBG\AppData\Local\Temp\uwldapow.sys  (Hidden registry entry, rootkit activity | File not found)
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btncopy.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{AE424E85-F6DF-4910-A6A9-438797986431} "OpenOffice.org Property Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\propertyhdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll

{7020EDF4-B454-4814-9AA4-1D604D3F1417} "TraXExCM" - ? -   (File not found | COM-object registry key not found)

{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe

{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\PhotoViewerShim.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Program Files\WinZip\wzshlstb.dll

{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Program Files\WinZip\wzshlstb.dll

{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Program Files\WinZip\wzshlstb.dll

{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Program Files\WinZip\wzshlstb.dll

{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - C:\Program Files\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_32" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab

{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} "Java Plug-in 1.6.0_32" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_32" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_32.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab

{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

"@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

{98889811-442D-49dd-99D7-DC866BE87DBC} "Babylon Toolbar" - "Babylon Ltd." - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{2EECD738-5844-4a99-B4B6-146BF802613B} "Babylon toolbar helper" - "Babylon BHO" - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\PBG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"Bluetooth.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"TrueCrypt" - "TrueCrypt Foundation" - "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences /a logon

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Program Files\Avira\AntiVir Desktop\sched.exe

"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe

"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

"Rezip" (Rezip) - ? - C:\windows\SYSTEM32\Rezip.exe

"Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Program Files\Skype\Updater\Updater.exe

"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-08 20:40:13

-----------------------------

20:40:13.981    OS Version: Windows 6.1.7601 Service Pack 1

20:40:13.981    Number of processors: 2 586 0x1C0A

20:40:13.989    ComputerName: PBG-PC  UserName: PBG

20:40:15.519    Initialize success

20:41:05.897    AVAST engine defs: 12050800

20:41:08.284    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

20:41:08.284    Disk 0 Vendor: SAMSUNG_ 2AC1 Size: 238475MB BusType: 3

20:41:08.331    Disk 0 MBR read successfully

20:41:08.347    Disk 0 MBR scan

20:41:08.362    Disk 0 unknown MBR code

20:41:08.393    Disk 0 Partition 1 00     27 Hidden NTFS WinRE             15360 MB offset 2048

20:41:08.425    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS               100 MB offset 31459328

20:41:08.456    Disk 0 Partition 3 00     07    HPFS/NTFS             60000 MB offset 31664128

20:41:08.503    Disk 0 Partition 4 00     07    HPFS/NTFS            163012 MB offset 154544128

20:41:08.674    Disk 0 scanning sectors +488392704

20:41:08.752    Disk 0 scanning C:\windows\system32\drivers

20:41:08.768    Service scanning

20:41:54.991    Modules scanning

20:41:57.237    Disk 0 trace - called modules:

20:41:57.284    ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 

20:41:57.299    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x859a7ac8]

20:41:57.331    3 CLASSPNP.SYS[88b7759e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84f3d028]

20:41:58.204    AVAST engine scan C:\windows

20:41:58.251    AVAST engine scan C:\windows\system32

20:41:58.282    AVAST engine scan C:\windows\system32\drivers

20:41:58.313    AVAST engine scan C:\Users\PBG

20:41:58.329    AVAST engine scan C:\ProgramData

20:41:58.360    Scan finished successfully

20:43:02.461    Disk 0 MBR has been saved successfully to "C:\Users\PBG\Desktop\MBR.dat"

20:43:02.492    The log file has been saved successfully to "C:\Users\PBG\Desktop\aswMBR.txt"

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Mein Windows ist mit Truecrypt verschlüsselt.
Was ist denn mit dem MBR?

Dann lass den MBR so

Mach bitte nun zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.13.01
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

PBG :: PBG-PC [Administrator]
 

Schutz: Aktiviert
 

13.05.2012 11:09:44

mbam-log-2012-05-13 (11-09-44).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 399177

Laufzeit: 2 Stunde(n), 27 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\PBG\Documents\SoftonicDownloader_fuer_samsung-kies.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Hier jede Menge Cookies und ein Trojaner, alles entfernt.

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 05/13/2012 at 11:35 PM
 

Application Version : 5.0.1148
 

Core Rules Database Version : 8590

Trace Rules Database Version: 6402
 

Scan type       : Complete Scan

Total Scan Time : 02:47:06
 

Operating System Information

Windows 7 Starter 32-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 571

Memory threats detected   : 0

Registry items scanned    : 34191

Registry threats detected : 0

File items scanned        : 268577

File threats detected     : 1400
 

Trojan.Agent/Gen-Yoddos

        D:\SICHERUNG PC\INSTALLATIONSDATEN\DEFAULT.SFX

Softonic-Müll und ein Fehlalarm. Ansonsten aber ok

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

System jetzt soweit wieder in Ordnung oder sind noch Probleme offen?

OK.
Von Softonic weiß ich gar nicht was ich da haben soll.
Und was ist der Fehlalarm?

Kann ich AMWB und Superantispyware als Echtzeitschutz laufen lassen gleichzeitig? Denn Avira hat gar nichts gebracht bisher was Malware angeht.

Und ist dieses Sandboxie zu empfehlen?

Zitat:

Von Softonic weiß ich gar nicht was ich da haben soll.

Ja steht doch da im Malwarebytes-Log!
=> SoftonicDownloader_fuer_samsung-kies.exe

Zitat:

Und was ist der Fehlalarm?

Steht auch im Log!

Zitat:

Kann ich AMWB und SUPERAntiSpyware als Echtzeitschutz laufen lassen gleichzeitig?

Nein das ist zuviel! Selbst Malwarebytes würde ich nicht ständig als Hintergrundschutz laufen lassen! Das geht kostenlose eh nur einen begrenzten Testzeitraum

Zitat:

Denn Avira hat gar nichts gebracht bisher was Malware angeht.

Weil du eine falsche Vorstellung über die Leistung eines Virenscanners hast - KEIN Tool/Virenscanner hat 100%ige Erkennungsraten, deswegen musst du selbst schon prinzipielle Überlegungen machen und dein Verhalten anpassen, weil ein Virenscanner im Falle einer Nichterkennung eines (neuen) Schädlings nunmal eine Katastrophe ist!
Sich einfach nur auf den Virenscanner zu verlassen und sonst nichts kann nicht funktionierten, egal ob er AntVir, Malwarebytes SASW oder wieauchimmer heißt

Zitat:

Zitat von cosinus (Beitrag 828546)

Steht auch im Log!

In welchem? Wenn Softonic ein richtiger Fund ist, kann der Fehlalarm nur "Trojan.Agent/Gen-Yoddos
D:\SICHERUNG PC\INSTALLATIONSDATEN\DEFAULT.SFX" aus dem SUPERAntiSpyware Scan Log sein. Woran erkennt man denn dass das ein Fehlalarm ist?

Zitat:

Zitat von cosinus (Beitrag 828546)

Sich einfach nur auf den Virenscanner zu verlassen und sonst nichts kann nicht funktionierten, egal ob er AntVir, Malwarebytes SASW oder wieauchimmer heißt

Und was ist nun mit Sandboxie? Hab ich mir überlegt.

Zitat:

Woran erkennt man denn dass das ein Fehlalarm ist?

Das erkenn ich, das ist meine persönliche Einschätzung
Man sieht es zB am Fundort und am Dateinamen

Zitat:

Und was ist nun mit Sandboxie? Hab ich mir überlegt.

Und warum hast du meine Frage noch nicht beantwortet => System jetzt soweit wieder in Ordnung oder sind noch Probleme offen?

Zu Sandboxit: Einfach mal unseren Artikel lesen => http://www.trojaner-board.de/71542-a...sandboxie.html

Welches ist denn nun der Fehlalarm, benenne es doch bitte einfach mal.

Ansonsten, weiß nicht ob das System wieder in Ordnung ist. Sag Du's mir.
Jedenfalls gibt die "Gema" jetzt Ruhe :daumenhoc

Wurde doch schon längst genannt!

Zitat:

Softonic-Müll und ein Fehlalarm. Ansonsten aber ok

Wenn das eine der Softonic-Müll ist ist das andere ein Fehlalarm oder ist dieser Zusammenhang so schwer zu erkennen? :confused:

Wie mache ich denn am Besten ein Backup meines verschlüsselten Systems?
Mit Acronis unverschlüsselt auf eine externe FP, und dort in einen TC Container?
Wenn ich dann das Backup mal brauche, bräuchte ich einen USB Stick mit einem Betriebssystem und Acronis drauf, richtig? Kann ich dann mit diesem USB Stick den Inhalt des Containers auf den Laptop überspielen, sodass ich dann nach dem Überspielen den Laptop nur anschalten muß und es bootet?

Mit dem Erstellen eines Images einer vollverschlüsselten Systempartition hab ich mich ehrlich gesagt noch garnicht beschäftigt :wtf:

Vllt hilft das weiter => Gastbeitrag: Backup eines TrueCrypt-verschlüsselten Systems

Zitat:

Mit Acronis unverschlüsselt auf eine externe FP, und dort in einen TC Container?

Hm, klingt etwas umständlich. Acronis selbst sollte einen Passwortschutz anbieten, sodass man das Image nur dann öffnen kann wenn man das Passwort kennt

OK, vielen Dank für die Hilfe :)