|
GVU Trojaner mit Kamera Hallo, hab (hatte?) mir den GVU Trojaner mit Kamera eingefangen. Habs zuerst erfolglos mit Kaspersky Windowsunlocker versucht. Hat nix gebracht. Dann aus abgesicherten Modus Sys-Wiederherstellung. Anschließend dann (in dieser Reihenfolge:) Ad-Aware - 15 Funde (wo finde ich denn die LOG Datei?) Antivir - 0 Funde SpyBot - 0 Funde Im Moment läuft Malwarebytes. HiJackThis hab ich auch mal laufen lassen. War lt. Auswertung nichts gefährliches dabei. Meine Hoffnung ist nun natürlich, das der Lap sauber ist, weil AntiVir und SpyBot ja nichts mehr gefunden haben. Eine komplette Neuinstallation wäre schon sehr anstrengend und ich wüßte auch gar nicht, was ich neben meinen Dokumenten etc. alles sichern sollte (Einstellungen etc.) und wie ich verhinder, nicht ausversehen noch infizierte Dateien mitzusichern? Für Hilfe und Ratschläge wäre ich sehr dankbar. Hier die Logs von AntiVir und Spybot (von AdAware ginde ich nur nen nutzlosen Kurbericht?!?). Malwarebytes folgt wenn fertig. Schonmal vielen Dank im Voraus! AntiVir Log: Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 22. Juli 2012 02:52 Es wird nach 3911053 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Home Premium Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ACER-NETBOOK Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48 AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50 LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36 AVREG.DLL : 12.3.0.17 232200 Bytes 27.06.2012 06:22:27 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 06:26:20 VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 06:26:20 VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 06:26:20 VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 06:26:20 VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 06:26:20 VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 06:26:20 VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 06:26:20 VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 06:26:20 VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 06:26:20 VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 06:26:46 VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 06:25:44 VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 06:36:00 VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 06:36:04 VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 06:44:22 VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 06:44:22 VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 06:44:25 VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 06:44:26 VBASE022.VDF : 7.11.36.209 135168 Bytes 19.07.2012 06:44:30 VBASE023.VDF : 7.11.37.19 116224 Bytes 21.07.2012 10:06:52 VBASE024.VDF : 7.11.37.20 2048 Bytes 21.07.2012 10:06:52 VBASE025.VDF : 7.11.37.21 2048 Bytes 21.07.2012 10:06:53 VBASE026.VDF : 7.11.37.22 2048 Bytes 21.07.2012 10:06:53 VBASE027.VDF : 7.11.37.23 2048 Bytes 21.07.2012 10:06:53 VBASE028.VDF : 7.11.37.24 2048 Bytes 21.07.2012 10:06:53 VBASE029.VDF : 7.11.37.25 2048 Bytes 21.07.2012 10:06:53 VBASE030.VDF : 7.11.37.26 2048 Bytes 21.07.2012 10:06:54 VBASE031.VDF : 7.11.37.28 2048 Bytes 21.07.2012 10:06:54 Engineversion : 8.2.10.118 AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 06:36:06 AESCRIPT.DLL : 8.1.4.34 455035 Bytes 21.07.2012 10:06:56 AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36 AESBX.DLL : 8.2.5.12 606578 Bytes 27.06.2012 06:22:27 AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32 AEPACK.DLL : 8.3.0.16 807287 Bytes 21.07.2012 10:06:55 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 21.07.2012 10:06:55 AEHEUR.DLL : 8.1.4.76 5063031 Bytes 21.07.2012 10:06:55 AEHELP.DLL : 8.1.23.2 258422 Bytes 29.06.2012 05:56:53 AEGEN.DLL : 8.1.5.34 434548 Bytes 21.07.2012 10:06:54 AEEXP.DLL : 8.1.0.68 86389 Bytes 21.07.2012 10:06:56 AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 06:36:06 AECORE.DLL : 8.1.27.2 201078 Bytes 11.07.2012 06:36:05 AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28 AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21 AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31 AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35 AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49 SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02 AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35 NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51 RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Auszulassende Dateien.................: C:\Program Files (x86)\CSJ, Beginn des Suchlaufs: Sonntag, 22. Juli 2012 02:52 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'SpybotSD.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'fwupdate.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'AdAware.exe' - '90' Modul(e) wurden durchsucht Durchsuche Prozess 'adawarebp.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'KiesTrayAgent.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'CNMNSUT.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'IAStorIcon.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.EXE' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'MediaServer.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD8Serv.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleCalendarSync.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '163' Modul(e) wurden durchsucht Durchsuche Prozess 'DAVSRV.EXE' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'KiesPDLR.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'snuvcdsm.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'PLFSetI.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'SBAMSvc.exe' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'RS_Service.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'msftesql.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'IJPLMSVC.EXE' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'AdAwareService.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files (x86)\TVersity Codec Pack\uninst.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\gs\gs9.05\uninstgs.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '8613' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Acer> C:\Program Files (x86)\CSS3 Menu\icons\aesthetica.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\border-blue.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\brilliance.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\cherry.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\chrome.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\circle-blue.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\color-web.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\coquette.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\coquette2.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\crystal.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\danish.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\glossy.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\mango.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\marmalade.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\mobile.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\round-vista.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\silk1.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\silk2.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\simple.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\sunny.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\tango.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\icons\vista.m3ico [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Android.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Blocks.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Charge.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Compact Gray.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Core.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Current.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Elegant.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Enterprise.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Fair.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Frame.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Fresh.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Gradient Gray.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Mac.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Mercury.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Modern.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Neon.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Point.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Rise.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Rounded Alpha.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Simple.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Stream.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\CSS3 Menu\templates\Toolbars.c3mt [WARNUNG] Die Datei ist kennwortgeschützt C:\Program Files (x86)\gs\gs9.05\uninstgs.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IENT_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IENT_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IENT_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IENT_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IENT_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IE_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IE_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IE_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IE_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\LX07-SETUP\Data\IE6\IE_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IENT_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IENT_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IENT_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IENT_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IENT_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IE_S1.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IE_S2.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IE_S3.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IE_S4.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\Lexware\setups\quicksteuer_2010\Data\IE6\IE_S5.CAB [WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files (x86)\TuneUp Utilities 2012\data\VistaDefault.tbs [WARNUNG] Der Archivheader ist defekt C:\Program Files (x86)\TuneUp Utilities 2012\data\VistaDefault.tla [WARNUNG] Der Archivheader ist defekt C:\Program Files (x86)\TuneUp Utilities 2012\data\VistaDefault.tls [WARNUNG] Der Archivheader ist defekt C:\Program Files (x86)\TVersity Codec Pack\uninst.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files (x86)\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\ProgramData\Spybot - Search & Destroy\Recovery\AdFLVPlayer.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\AdFLVPlayer1.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\AdFLVPlayer2.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar13.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar14.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar15.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar16.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar17.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar18.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar19.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar20.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar21.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar22.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar23.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar24.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar25.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar26.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar27.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar28.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar29.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar30.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar31.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar32.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar33.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar34.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar35.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar36.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar37.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar38.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar39.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar40.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar41.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar42.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar43.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar44.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar45.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar46.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar47.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar48.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar49.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar50.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar51.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar1.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar2.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar3.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar4.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar5.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar6.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar7.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\IncrediBar8.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\WidgiToolbar.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\WidgiToolbar1.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\WidgiToolbar2.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\ProgramData\Spybot - Search & Destroy\Recovery\WidgiToolbar3.zip [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\JoeCool\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\JoeCool\Downloads\Steal-crypterREFUDEDBy20messi.rar [WARNUNG] Das gesamte Archiv ist kennwortgeschützt Ende des Suchlaufs: Sonntag, 22. Juli 2012 06:36 Benötigte Zeit: 3:43:07 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 35754 Verzeichnisse wurden überprüft 1287755 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1287755 Dateien ohne Befall 9310 Archive wurden durchsucht 260 Warnungen 0 Hinweise 1101948 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden SpyBot Log --- Search result list --- Babylon.Toolbar: [SBI $E0B59C7B] Class ID (Registrierungsdatenbank-Schlüssel, fixed) HKEY_CLASSES_ROOT\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B} Babylon.Toolbar: [SBI $295D1CA8] Class ID (Registrierungsdatenbank-Schlüssel, fixed) HKEY_CLASSES_ROOT\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1} Babylon.Toolbar: [SBI $D1EDD9CA] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Babylon Widgi.Toolbar: [SBI $65C7C8B1] Shared DLL (-2147483648 Anwendungen) (Registrierungsdatenbank-Wert, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe Widgi.Toolbar: [SBI $5AE37010] Shared DLL (-2147483648 Anwendungen) (Registrierungsdatenbank-Wert, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SDWinSec.exe (1.0.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-03-05 TeaTimer.exe (1.6.6.32) 2012-03-04 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-11-04 advcheck.dll (1.6.5.20) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2012-01-16 Includes\Adware.sbi (*) 2012-07-17 Includes\AdwareC.sbi (*) 2010-08-13 Includes\Cookies.sbi (*) 2010-12-14 Includes\Dialer.sbi (*) 2011-11-29 Includes\DialerC.sbi (*) 2012-01-31 Includes\HeavyDuty.sbi (*) 2012-06-19 Includes\Hijackers.sbi (*) 2012-05-16 Includes\HijackersC.sbi (*) 2010-09-15 Includes\iPhone.sbi (*) 2012-03-13 Includes\Keyloggers.sbi (*) 2012-03-13 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2012-06-18 Includes\Malware.sbi (*) 2012-07-10 Includes\MalwareC.sbi (*) 2011-02-24 Includes\PUPS.sbi (*) 2012-07-11 Includes\PUPSC.sbi (*) 2010-01-25 Includes\Revision.sbi (*) 2012-06-19 Includes\Security.sbi (*) 2011-12-13 Includes\SecurityC.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2012-01-17 Includes\Spyware.sbi (*) 2012-05-08 Includes\SpywareC.sbi (*) 2010-03-08 Includes\Tracks.uti 2011-09-28 Includes\Trojans.sbi (*) 2012-07-17 Includes\TrojansC-02.sbi (*) 2012-07-17 Includes\TrojansC-03.sbi (*) 2012-07-17 Includes\TrojansC-04.sbi (*) 2012-07-12 Includes\TrojansC-05.sbi (*) 2012-07-17 Includes\TrojansC.sbi (*) 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll --- System information --- Unknown Windows version 6.1 (Build: 7601) Service Pack 1 (6.1.7601) / MSXML4SP2: FIX: ASP stops responding when calling Response.Redirect to another server using msxml4 sp2 / MSXML4SP2: Security update for MSXML4 SP2 (KB954430) / MSXML4SP2: Security update for MSXML4 SP2 (KB973688) --- Startup entries list --- Located: HK_LM:Run, command: file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_LM:Run, Ad-Aware Antivirus command: "C:\Program Files (x86)\Ad-Aware Antivirus\AdAwareLauncher" --windows-run file: C:\Program Files (x86)\Ad-Aware Antivirus\AdAwareLauncher size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_LM:Run, Ad-Aware Browsing Protection command: "C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe" file: C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe size: 198032 MD5: C5F1D82D9CC8979971CC748FCB2EE7CA Located: HK_LM:Run, Adobe ARM command: "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" file: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe size: 843712 MD5: B8E421C0890356CD4A793D8A346D9096 Located: HK_LM:Run, Adobe Reader Speed Launcher command: "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" file: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe size: 37296 MD5: C98FF6C440E8967251F59C7919B505A1 Located: HK_LM:Run, APSDaemon command: "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" file: C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe size: 59240 MD5: 1F3FF6C062B311FE410EC89F6BFAC213 Located: HK_LM:Run, avgnt command: "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min file: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe size: 348624 MD5: 382BBC7FE9D818B94FE5A8BAA7F4577E Located: HK_LM:Run, CanonSolutionMenuEx command: C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon file: C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE size: 1185112 MD5: 3B78ACCCAA5132638E7CF419F4A965C7 Located: HK_LM:Run, GrooveMonitor command: "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" file: C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe size: 30040 MD5: 0E34B7BB1FCF22BCC1E394D16F9E992B Located: HK_LM:Run, IAStorIcon command: C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe file: C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe size: 283160 MD5: C0B97E53A0E39A48EEA2DCD500EEA07A Located: HK_LM:Run, IJNetworkScanUtility command: C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe file: C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe size: 140640 MD5: C14CF3A71C99E7AD48ECC928886317AC Located: HK_LM:Run, iTunesHelper command: "C:\Program Files (x86)\iTunes\iTunesHelper.exe" file: C:\Program Files (x86)\iTunes\iTunesHelper.exe size: 421736 MD5: 444EB38A256BE60F2013488C49D2AB3F Located: HK_LM:Run, KiesTrayAgent command: C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe file: C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe size: 3521464 MD5: FEE45AD0B1EBF2C2D295B59BA593F6CD Located: HK_LM:Run, LGODDFU command: "C:\Program Files (x86)\lg_fwupdate\lgfw.exe" blrun file: C:\Program Files (x86)\lg_fwupdate\lgfw.exe size: 27760 MD5: 9D56299FA5C9B3D9E67FF3ACB301139F Located: HK_LM:Run, LManager command: C:\Program Files (x86)\Launch Manager\LManager.exe file: C:\Program Files (x86)\Launch Manager\LManager.exe size: 825864 MD5: 5FB1BFA389CDF13F38607EB1EBAC3753 Located: HK_LM:Run, PLFSetL command: C:\Windows\PLFSetL.exe file: C:\Windows\PLFSetL.exe size: 94208 MD5: 51FDB84B862BE121189F63D03FACA33C Located: HK_LM:Run, QuickTime Task command: "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime file: C:\Program Files (x86)\QuickTime\QTTask.exe size: 421888 MD5: AF43C4F7F3C8BC95DAD95024F96CDC4A Located: HK_LM:Run, RemoteControl8 command: "C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" file: C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe size: 91432 MD5: 28FD28A29C637C9AFEFE0A26E27C6DFE Located: HK_LM:Run, ROC_roc_dec12 command: "C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 file: C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_LM:Run, snuvcdsm command: C:\Windows\snuvcdsm.exe file: C:\Windows\snuvcdsm.exe size: 27184 MD5: C56060DFFB2EECEA5CD98B56DE67D0B0 Located: HK_LM:Run, SunJavaUpdateSched command: "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" file: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe size: 254696 MD5: 98A078F838A70F84E1BD490D7C7675F4 Located: HK_LM:Run, Adobe ARM (DISABLED) command: "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" file: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe size: 843712 MD5: B8E421C0890356CD4A793D8A346D9096 Located: HK_LM:Run, Adobe Reader Speed Launcher (DISABLED) command: "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" file: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe size: 37296 MD5: C98FF6C440E8967251F59C7919B505A1 Located: HK_LM:Run, EgisTecLiveUpdate (DISABLED) command: "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" file: C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe size: 199464 MD5: EF533F9D1E4F51C783D4349A7C3F518F Located: HK_LM:Run, LexwareInfoService (DISABLED) command: C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart file: C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe size: 339240 MD5: 8FDD61D9F50DB1BE962C20D99F355BCF Located: HK_LM:Run, SunJavaUpdateSched (DISABLED) command: "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" file: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe size: 254696 MD5: 98A078F838A70F84E1BD490D7C7675F4 Located: HK_CU:RunOnce, adaware where: .DEFAULT... command: reg.exe delete "HKCU\Software\AppDataLow\Software\adaware" /f file: C:\Windows\system32\reg.exe size: 62464 MD5: D69A9ABBB0D795F21995C2F48C1EB560 Located: HK_CU:RunOnce, adaware_XP where: .DEFAULT... command: reg.exe delete "HKCU\Software\adaware" /f file: C:\Windows\system32\reg.exe size: 62464 MD5: D69A9ABBB0D795F21995C2F48C1EB560 Located: HK_CU:Run, Sidebar where: S-1-5-19... command: %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun file: C:\Program Files (x86)\Windows Sidebar\Sidebar.exe size: 1174016 MD5: DCCA4B04AF87E52EF9EAA2190E06CBAC Located: HK_CU:RunOnce, mctadmin where: S-1-5-19... command: C:\Windows\System32\mctadmin.exe file: C:\Windows\System32\mctadmin.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, Sidebar where: S-1-5-20... command: %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun file: C:\Program Files (x86)\Windows Sidebar\Sidebar.exe size: 1174016 MD5: DCCA4B04AF87E52EF9EAA2190E06CBAC Located: HK_CU:RunOnce, mctadmin where: S-1-5-20... command: C:\Windows\System32\mctadmin.exe file: C:\Windows\System32\mctadmin.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, 1&1_1&1 Office-Drive Manager where: S-1-5-21-3899731673-2456997713-1197237625-1001... command: "C:\Program Files (x86)\1&1\1&1 Office-Drive Manager\DAVSRV.EXE" /hide file: C:\Program Files (x86)\1&1\1&1 Office-Drive Manager\DAVSRV.EXE size: 964688 MD5: EA2BF144B5D5018E92DC287F3BE7D06A Located: HK_CU:Run, KiesHelper where: S-1-5-21-3899731673-2456997713-1197237625-1001... command: C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe /s file: C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, KiesPDLR where: S-1-5-21-3899731673-2456997713-1197237625-1001... command: C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe file: C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe size: 21432 MD5: 984F6749E0741C3F22D86C91B46177BE Located: HK_CU:RunOnce, adaware where: S-1-5-18... command: reg.exe delete "HKCU\Software\AppDataLow\Software\adaware" /f file: C:\Windows\system32\reg.exe size: 62464 MD5: D69A9ABBB0D795F21995C2F48C1EB560 Located: HK_CU:RunOnce, adaware_XP where: S-1-5-18... command: reg.exe delete "HKCU\Software\adaware" /f file: C:\Windows\system32\reg.exe size: 62464 MD5: D69A9ABBB0D795F21995C2F48C1EB560 Located: Startup (allgemein), Google Calendar Sync.lnk where: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup... command: C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe file: C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe size: 542264 MD5: C5B5552E5C1A0079C1F7313E7CC7707E --- Browser helper object list --- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} (AcroIEHelperStub) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: AcroIEHelperStub CLSID name: Adobe PDF Link Helper Path: C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\ Long name: AcroIEHelperShim.dll Short name: ACROIE~2.DLL Date (created): 26.03.2012 17:39:00 Date (last access): 14.05.2012 18:40:04 Date (last write): 26.03.2012 17:39:00 Filesize: 75200 Attributes: archive MD5: 885BA7AE8F650E7D7BCB5B966E00DDCE CRC32: A0D904C3 Version: 9.5.1.283 {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} (Canon Easy-WebPrint EX BHO) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: Canon Easy-WebPrint EX BHO CLSID name: Canon Easy-WebPrint EX BHO Path: C:\Program Files (x86)\Canon\Easy-WebPrint EX\ Long name: ewpexbho.dll Short name: Date (created): 14.11.2011 17:42:28 Date (last access): 14.11.2011 17:42:28 Date (last write): 08.11.2010 14:49:26 Filesize: 202144 Attributes: archive MD5: E2C59B4BC4296C39EE41997482B14241 CRC32: 5EB04FBE Version: 1.2.0.0 {6c97a91e-4524-4019-86af-2aa2d567bf5c} (Ad-Aware Security Toolbar) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: Ad-Aware Security Toolbar CLSID name: Ad-Aware Security Toolbar Path: C:\Program Files (x86)\adawaretb\ Long name: adawareDx.dll Short name: ADAWAR~2.DLL Date (created): 11.04.2012 22:08:22 Date (last access): 21.07.2012 14:10:58 Date (last write): 11.04.2012 22:08:22 Filesize: 87440 Attributes: archive MD5: 6B94578EE59FB048F573B9C8C4149FC7 CRC32: 18DD0785 Version: 1.0.0.20 {72853161-30C5-4D22-B7F9-0BBC1D38A37E} (Groove GFS Browser Helper) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Groove GFS Browser Helper Path: C:\Program Files (x86)\Microsoft Office\Office12\ Long name: GrooveShellExtensions.dll Short name: GR469A~1.DLL Date (created): 26.02.2009 19:36:54 Date (last access): 11.12.2011 12:13:50 Date (last write): 26.02.2009 19:36:54 Filesize: 2217832 Attributes: archive MD5: 30DB64D316F502558DB2380F7343C9FD CRC32: 152B40A2 Version: 12.0.6500.5000 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Java(tm) Plug-In SSV Helper Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: ssv.dll Short name: Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 325408 Attributes: archive MD5: 8E6C86726B67D3FAA3144849B9AAC06C CRC32: B1F4AB5B Version: 6.0.310.5 {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live ID-Anmelde-Hilfsprogramm) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Windows Live ID-Anmelde-Hilfsprogramm Path: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\ Long name: WindowsLiveLogin.dll Short name: WINDOW~1.DLL Date (created): 30.03.2009 17:31:54 Date (last access): 25.12.2009 15:09:06 Date (last write): 30.03.2009 17:31:54 Filesize: 403824 Attributes: archive MD5: 9144D1A2D7AC4CE489C863E11FC5E478 CRC32: 55343708 Version: 6.500.3146.0 {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Java(tm) Plug-In 2 SSV Helper Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: jp2ssv.dll Short name: Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 42272 Attributes: archive MD5: A9770771B622A871643EA2A4A3983E95 CRC32: D1C0DA03 Version: 6.0.310.5 {E87806B5-E908-45FD-AF5E-957D83E58E68} (Softonic Helper Object) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: Softonic Helper Object CLSID name: Softonic Helper Object Path: C:\Program Files (x86)\Softonic\Softonic\1.5.21.0\bh\ Long name: Softonic.dll Short name: Date (created): 15.03.2012 15:57:20 Date (last access): 19.05.2012 11:50:42 Date (last write): 15.03.2012 15:57:20 Filesize: 242384 Attributes: archive MD5: 99E5B8DBF98FE9FDBB95EA2B8B43A305 CRC32: 5930E520 Version: 1.5.21.0 --- ActiveX list --- {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) DPF name: CLSID name: QuickTime Object Installer: C:\Windows\Downloaded Program Files\QTPlugin.inf Codebase: hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab description: Apple Quicktime classification: Legitimate known filename: QTPLUGIN.OCX info link: info source: Patrick M. Kolla Path: C:\Program Files (x86)\QuickTime\ Long name: QTPlugin.ocx Short name: Date (created): 24.10.2011 16:30:12 Date (last access): 26.02.2012 13:00:56 Date (last write): 24.10.2011 16:30:12 Filesize: 796520 Attributes: archive MD5: CF31570FD81E28CC2D7CD11D6CE9F863 CRC32: A6507249 Version: 7.7.1.0 {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) DPF name: CLSID name: Shockwave ActiveX Control Installer: C:\Windows\Downloaded Program Files\swdir.inf Codebase: hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab description: Macromedia ShockWave Flash Player 7 classification: Legitimate known filename: SWDIR.DLL info link: info source: Patrick M. Kolla Path: C:\Windows\SysWow64\Adobe\Director\ Long name: SwDir.dll Short name: Date (created): 12.01.2010 08:40:40 Date (last access): 07.03.2010 15:17:42 Date (last write): 12.01.2010 08:40:40 Filesize: 213272 Attributes: archive MD5: 95244A5ECEFFF530AE1DF421018C6EF9 CRC32: E54EB77A Version: 11.5.6.606 {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_31 Installer: Codebase: hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab description: Sun Java classification: Legitimate known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll info link: info source: Patrick M. Kolla Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: jp2iexp.dll Short name: Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 104224 Attributes: archive MD5: C7AD5E5E4FC8AF697A91BF56D1806B8D CRC32: D5225578 Version: 6.0.310.5 {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0 Installer: Codebase: hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab description: classification: Legitimate known filename: npjpi160.dll info link: info source: Safer Networking Ltd. Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: jp2iexp.dll Short name: Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 104224 Attributes: archive MD5: C7AD5E5E4FC8AF697A91BF56D1806B8D CRC32: D5225578 Version: 6.0.310.5 {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_31 Installer: Codebase: hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: jp2iexp.dll Short name: Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 104224 Attributes: archive MD5: C7AD5E5E4FC8AF697A91BF56D1806B8D CRC32: D5225578 Version: 6.0.310.5 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_31 Installer: Codebase: hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab description: classification: Legitimate known filename: npjpi150_06.dll info link: info source: Safer Networking Ltd. Path: C:\Program Files (x86)\Java\jre6\bin\ Long name: npjpi160_31.dll Short name: NPJPI1~1.DLL Date (created): 26.03.2012 10:07:42 Date (last access): 26.03.2012 10:07:42 Date (last write): 26.03.2012 10:07:42 Filesize: 141088 Attributes: archive MD5: 77149DCA2C3134C50150ECD33593F4A8 CRC32: 88B54397 Version: 6.0.310.5 --- Process list --- PID: 0 ( 0) [System] PID: 2784 (2408) C:\Windows\PLFSetI.exe size: 200704 MD5: 0D3DFFA8BA3E63592FC2C652CF3B0E9C PID: 2892 (2408) C:\Windows\snuvcdsm.exe size: 27184 MD5: C56060DFFB2EECEA5CD98B56DE67D0B0 PID: 3012 (2408) C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe size: 21432 MD5: 984F6749E0741C3F22D86C91B46177BE PID: 3020 (2408) C:\Program Files (x86)\1&1\1&1 Office-Drive Manager\DAVSRV.EXE size: 964688 MD5: EA2BF144B5D5018E92DC287F3BE7D06A PID: 3032 (2408) C:\Program Files (x86)\Skype\Phone\Skype.exe size: 17417392 MD5: 62C847F150929CD0A7167CB7DC6E85C5 PID: 2132 (2408) C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe size: 542264 MD5: C5B5552E5C1A0079C1F7313E7CC7707E PID: 2688 (3044) C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe size: 91432 MD5: 28FD28A29C637C9AFEFE0A26E27C6DFE PID: 2276 (3044) C:\Program Files (x86)\Launch Manager\LManager.EXE size: 825864 MD5: 5FB1BFA389CDF13F38607EB1EBAC3753 PID: 4060 (3044) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe size: 283160 MD5: C0B97E53A0E39A48EEA2DCD500EEA07A PID: 4260 (3044) C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe size: 140640 MD5: C14CF3A71C99E7AD48ECC928886317AC PID: 672 (3044) C:\Program Files (x86)\iTunes\iTunesHelper.exe size: 421736 MD5: 444EB38A256BE60F2013488C49D2AB3F PID: 5156 (3044) C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe size: 3521464 MD5: FEE45AD0B1EBF2C2D295B59BA593F6CD PID: 5196 (3044) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe size: 254696 MD5: 98A078F838A70F84E1BD490D7C7675F4 PID: 5208 (3044) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe size: 348624 MD5: 382BBC7FE9D818B94FE5A8BAA7F4577E PID: 5216 (3044) C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe size: 198032 MD5: C5F1D82D9CC8979971CC748FCB2EE7CA PID: 6000 (1480) C:\PROGRA~2\AD-AWA~1\AdAware.exe size: 18832264 MD5: 5E57EAB47E565BF754BCF99A410C3354 PID: 1756 (2364) C:\Program Files (x86)\lg_fwupdate\fwupdate.exe size: 871536 MD5: 8667D9B4FFA3ABD1EC3D61004667E1DA PID: 5928 (5196) C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe size: 508136 MD5: 7C5A4D3222DEA5570C8F08EC7FC74199 PID: 6408 (2408) C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe size: 5365592 MD5: 0477C2F9171599CA5BC3307FDFBA8D89 PID: 7040 (2408) C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE size: 12997488 MD5: 0E5398084278E4CD84DDB0A2B646548D PID: 3344 (2408) C:\Program Files (x86)\Mozilla Firefox\firefox.exe size: 913888 MD5: D3C0837346C49095B8AF9EF54AD7E90A PID: 4 ( 0) System PID: 336 ( 4) smss.exe PID: 484 ( 476) csrss.exe PID: 536 ( 476) wininit.exe size: 96256 PID: 556 ( 528) csrss.exe PID: 600 ( 536) services.exe PID: 624 ( 536) lsass.exe PID: 632 ( 536) lsm.exe PID: 684 ( 528) winlogon.exe PID: 772 ( 600) svchost.exe size: 20992 PID: 904 ( 600) svchost.exe size: 20992 PID: 1012 ( 600) svchost.exe size: 20992 PID: 380 ( 600) svchost.exe size: 20992 PID: 488 ( 600) svchost.exe size: 20992 PID: 1056 ( 600) svchost.exe size: 20992 PID: 1180 ( 600) svchost.exe size: 20992 PID: 1268 ( 380) wlanext.exe size: 77312 PID: 1276 ( 484) conhost.exe PID: 1348 ( 600) spoolsv.exe PID: 1384 ( 600) sched.exe PID: 1408 ( 600) svchost.exe size: 20992 PID: 1480 ( 600) AdAwareService.exe PID: 1516 ( 600) BTHSAmpPalService.exe PID: 1540 ( 600) avguard.exe PID: 1580 ( 600) AppleMobileDeviceService.exe PID: 1640 ( 600) mDNSResponder.exe PID: 1672 ( 600) BTHSSecurityMgr.exe PID: 1700 ( 600) dgdersvc.exe size: 95568 PID: 1780 ( 600) ePowerSvc.exe PID: 1812 ( 600) EvtEng.exe PID: 1836 ( 600) svchost.exe size: 20992 PID: 1976 ( 600) C:\Windows\System32\taskhost.exe PID: 1044 ( 600) GregHSRW.exe PID: 1440 ( 600) ijplmsvc.exe PID: 1636 ( 600) msftesql.exe PID: 1888 ( 600) sqlservr.exe PID: 2164 ( 600) svchost.exe size: 20992 PID: 2212 ( 600) svchost.exe size: 20992 PID: 2240 ( 600) RegSrvc.exe PID: 2300 ( 600) RS_Service.exe PID: 2340 ( 600) SBAMSvc.exe PID: 2396 ( 380) C:\Windows\System32\dwm.exe PID: 2408 (2384) C:\Windows\explorer.exe size: 2871808 MD5: 332FEAB1435662FC6C672E25BEB37BE3 PID: 2532 ( 600) sqlbrowser.exe PID: 2556 ( 600) sqlwriter.exe PID: 2760 (2408) C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe size: 320000 MD5: 2C2C3D428E6581CF56A80416AA327425 PID: 2768 (2408) C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe size: 823840 MD5: E64270B5DB7218E60AD62ED0C52E3A09 PID: 2776 (2408) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe size: 1808168 MD5: FD217F6DDBB90D84A46B36E17E99CA0C PID: 2792 (2408) C:\Windows\System32\igfxtray.exe PID: 2800 (2408) C:\Windows\System32\hkcmd.exe PID: 2828 (2408) C:\Windows\System32\igfxpers.exe PID: 2880 ( 772) C:\Windows\System32\igfxsrvc.exe PID: 2920 (2408) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe size: 11780712 MD5: 77A441250C9C66B889828132855ACD54 PID: 3480 ( 600) svchost.exe size: 20992 PID: 3732 ( 600) TuneUpUtilitiesService64.exe PID: 3872 ( 600) MediaServer.exe PID: 3996 ( 600) UpdaterService.exe PID: 464 ( 600) SDWinSec.exe PID: 4240 (3732) C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesApp64.exe size: 1340736 MD5: 0F71CB03736B5FEC70B1E0888367A30B PID: 4252 ( 772) unsecapp.exe PID: 4480 ( 772) WmiPrvSE.exe PID: 4644 (1540) avshadow.exe PID: 4652 ( 484) conhost.exe PID: 4784 ( 772) C:\Windows\System32\igfxext.exe PID: 4912 ( 600) SearchIndexer.exe size: 427520 PID: 4936 ( 772) C:\Windows\System32\wbem\unsecapp.exe PID: 5056 (1780) ePowerEvent.exe PID: 3748 ( 600) svchost.exe size: 20992 PID: 2152 (2776) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe size: 120616 MD5: C6BE59AE498497F78EC46DADB5335766 PID: 4884 ( 600) wmpnetwk.exe PID: 5832 ( 600) svchost.exe size: 20992 PID: 6112 ( 600) iPodService.exe PID: 5260 ( 600) svchost.exe size: 20992 PID: 4084 ( 600) IAStorDataMgrSvc.exe PID: 5460 ( 488) C:\Windows\System32\wuauclt.exe PID: 6036 (3192) C:\Windows\SysWOW64\WerFault.exe size: 360448 MD5: 5FEAB868CAEDBBD1B7A145CA8261E4AA PID: 2224 ( 600) taskhost.exe --- Browser start & search pages list --- Spybot - Search & Destroy browser pages report, 22.07.2012 09:01:40 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\Windows\system32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page about:blank HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_1810tz&r=273612090016l0333z125t4851a38n HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page C:\Windows\SysWOW64\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_1810tz&r=273612090016l0333z125t4851a38n HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_1810tz&r=273612090016l0333z125t4851a38n HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL hxxp://go.microsoft.com/fwlink/?LinkId=54896 --- Winsock Layered Service Provider list --- Protocol 0: MSAFD-Tcpip [TCP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 1: MSAFD-Tcpip [UDP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 2: MSAFD-Tcpip [RAW/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 3: MSAFD-Tcpip [TCP/IPv6] GUID: {F9EAB0C0-26D4-11D0-BBBF-00AA006C34E4} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IPv6 protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 4: MSAFD-Tcpip [UDP/IPv6] GUID: {F9EAB0C0-26D4-11D0-BBBF-00AA006C34E4} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IPv6 protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 5: MSAFD-Tcpip [RAW/IPv6] GUID: {F9EAB0C0-26D4-11D0-BBBF-00AA006C34E4} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IPv6 protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip[*] Protocol 6: RSVP-TCPv6-Dienstanbieter GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 7: RSVP-TCP-Dienstanbieter GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 8: RSVP-UDPv6-Dienstanbieter GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 9: RSVP-UDP-Dienstanbieter GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 10: MSAFD RfComm [Bluetooth] GUID: {9FC48064-7298-43E4-B7BD-181F2089792A} Filename: %SystemRoot%\system32\mswsock.dll Description: Bluetooth DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD RfComm [Bluetooth] Namespace Provider 0: NLA (Network Location Awareness, NLAv1)-Namespace GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83} Filename: Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: NLA-Namespace Namespace Provider 1: E-Mail-Namenshimanbieter GUID: {964ACBA2-B2BC-40EB-8C6A-A6DB40161CAE} Filename: Namespace Provider 2: PNRP-Wolken-Namespaceanbieter GUID: {03FE89CE-766D-4976-B9C1-BB9BC42C7B4D} Filename: Namespace Provider 3: PNRP-Namen-Namespaceanbieter GUID: {03FE89CD-766D-4976-B9C1-BB9BC42C7B4D} Filename: Namespace Provider 4: Bluetooth Namespace GUID: {06AA63E0-7D60-41FF-AFB2-3EE6D2D9392D} Filename: %SystemRoot%\system32\wshbth.dll Description: Bluetooth DB filename: %SystemRoot%\system32\wshbth.dll DB protocol: Bluetooth-Namespace Namespace Provider 5: WindowsLive NSP GUID: {4177DDE9-6028-479E-B7B7-03591A63FF3A} Filename: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Namespace Provider 6: WindowsLive Local NSP GUID: {229F2A2C-5F18-4A06-8F89-3A372170624D} Filename: C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL Namespace Provider 7: TCP/IP GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B} Filename: Description: Microsoft Windows NT/2k/XP TCP/IP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: TCP/IP Namespace Provider 8: NTDS GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC} Filename: %SystemRoot%\System32\winrnr.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\winrnr.dll DB protocol: NTDS Namespace Provider 9: mdnsNSP GUID: {B600E6E9-553B-4A19-8696-335E5C896153} Filename: C:\Program Files (x86)\Bonjour\mdnsNSP.dll Description: Apple Rendezvous protocol DB filename: %ProgramFiles%\Rendezvous\bin\mdnsNSP.dll DB protocol: mdnsNSP |
:hallo: 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. 2. Schritt Systemscan mit OTL (bebilderte Anleitung) |
Hallo und Danke für die schnelle Meldung. OTL hab ich schon durch - Wie kann ich das hier Posten? Datei ist als Anhang zu groß. Malwarebytes läuft noch. Inzwischen hat Antivir folgende Funde gemeldet: RKIT/AGENT.DEPG.1 TR/SPY.BANKER.GEN Hab auf Details geklickt, aber da kommt nix. Also auf Löschen, kam dann etwa 10x und dann war ruhe. Jetzt ist AntiVir deaktiviert wegen den Suchlauf von Malwarebytes. |
Zippen ;) schau mal |
Kopiere die OTL Logs mal mit copy & paste rein. Ich hab extra 60 Tage eingestellt, weil ich anfang Juni viel gedowloaded hatte. Vlt. hab ic mir da was eingefangen...OTL Logfile: Code: OTL logfile created on: 22.07.2012 10:09:23 - Run 1----OTL Logfile: Code: OTL Extras logfile created on: 22.07.2012 10:09:23 - Run 1 |
...Hier als ZIP Files |
Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
Ok, mach ich sobald Malwarbytes durch ist. Danke! Hier nun das LOG von Malwarbytes: (Keine Funde) Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.22.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 JoeCool :: ACER-NETBOOK [Administrator] 22.07.2012 10:54:45 mbam-log-2012-07-22 (10-54-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 399787 Laufzeit: 1 Stunde(n), 52 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Mach dann als nächstes die OTL Reinigung wie oben beschrieben. Geht aber erst heut nachmittag. So, hab jetzt OTL mit den Script laufen lassen. Mittendrin hat sich Windows mit "Es ist ein kritischer Fehler aufgetreten. Windows wird in einer Minute heruntergefahren..." OTL ist aber noch zu ende gelaufen und hat dann nach Neustert gefragt. Ich hab mit "OK" bestätigt. Hier das Log: Code: All processes killed |
Und im Anhang nochmal als ZIP... |
Hab jetzt auch mal alle wichtigen Windows Updates gemacht. System läuft soweit rund. Was wäre denn nun der nächte Schritt? ADWCLEANER? |
Sehr gut! :daumenhoc 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Ok, lass dann Malware über Nacht laufen und poste morgen. Hat ja ewig gedauert, der letzte Scan. Vielen Dank soweit & einen schönen Sonntag noch. |
Alles klar, bis morgen ;) |
Hier ist jetzt doch schon mal Malwarbytes... Code: Malwarebytes Anti-Malware 1.62.0.1300Code: # AdwCleaner v1.703 - Logfile created 07/22/2012 at 21:54:00 |
Sehr gut! :daumenhoc
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board