Trojaner-Board - wie den GVU-Trojaner loswerden?

hey leute,
habe mir auch den gvu trojaner eingefangen. bei dem sperrbildschirm habe ich dann erstmal den rechner per powerknopf ausgemacht und kam dann durch abbrechen des herunterfahrens vom sperrbildschirm auf den desktop. habe gvu gegoogelt und bin über deren seite auf dieses forum gestoßen.

habe jetzt defogger, OTL und gmer laufen lassen. kann schonmal vorwerg sagen, dass der trojaner noch da ist, da der sperrbildschirm bei neustart wieder erschien und ich wie oben beschrieben auf den desktop gelangt bin um jetzt hier ins forum zu schreiben.

defogger lief problemlos, OTL gab jedoch schon schwierigkeiten: es wurde keine Extra.txt datei angefertigt. füge euch mal die OTL.txt und die Gmer.txt hinzu und hoffe, dass ihr mir helfen könnt. bin wirklich ahnungslos auf dem gebiet.

PS:
bevor der anschein entsteht: die download-dateien von far cry 3 sind legal, habe das spiel über den ubishop erstanden und dort ist der download nunmal merkwürdig (AMD verteilte bei aktuellen grafikkarten codes für das spiel, habe die HD7870)

PPS:
wäre das formatieren der festplatte auch eine option, den virus loszuwerden? wenn ja, könnte ich dann trotzdem ein backup von manchen dateien (z.B. ein Steam Backup) auf eine externe festplatte machen, ohne den virus "mitzuschleppen"? denn wenn ja, wäre das formatieren garnicht mal so schlimm für mich. habe den rechner keine 3 monate, es wäre also nicht besonders viel arbeit, den neu einzurichten, windows cd habe ich hier ja schließlich liegen.

OTL:

PHP-Code:

   OTL logfile created on: 16.01.2013 00:18:58 - Run 3

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Helge\Desktop

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

7,90 Gb Total Physical Memory | 6,51 Gb Available Physical Memory | 82,40% Memory free

15,79 Gb Paging File | 14,20 Gb Available in Paging File | 89,92% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 931,41 Gb Total Space | 821,17 Gb Free Space | 88,16% Space Free | Partition Type: NTFS

 

Computer Name: HELGE-PC | User Name: Helge | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 

[color=#E56717]========== Processes (SafeList) ==========[/color]

 

PRC - [2013.01.15 23:09:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

PRC - [2013.01.08 01:06:24 | 001,248,360 | ---- | M] (Google Inc.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

PRC - [2012.12.11 17:51:07 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

PRC - [2012.12.11 17:50:58 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

PRC - [2012.11.29 15:59:49 | 000,076,888 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe

PRC - [2007.05.28 17:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

 

[color=#E56717]========== Modules (No Company Name) ==========[/color]

 

MOD - [2013.01.08 01:06:22 | 000,460,392 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll

MOD - [2013.01.08 01:06:19 | 004,012,648 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll

MOD - [2013.01.08 01:05:29 | 000,598,120 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libglesv2.dll

MOD - [2013.01.08 01:05:28 | 000,124,520 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libegl.dll

MOD - [2013.01.08 01:05:25 | 001,553,000 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ffmpegsumo.dll

 

 

[color=#E56717]========== Services (SafeList) ==========[/color]

 

SRV:[b]64bit:[/b] - [2012.12.02 08:36:50 | 000,240,640 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)

SRV - [2012.12.21 16:53:49 | 000,541,760 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)

SRV - [2012.12.11 17:51:07 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2012.12.11 17:50:58 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2012.11.29 15:59:49 | 000,076,888 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)

SRV - [2012.11.09 11:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)

SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)

SRV - [2007.05.28 17:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Running] -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)

 

 

[color=#E56717]========== Driver Services (SafeList) ==========[/color]

 

DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)

DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)

DRV:[b]64bit:[/b] - [2012.12.02 09:29:48 | 011,270,656 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)

DRV:[b]64bit:[/b] - [2012.12.02 08:13:20 | 000,546,816 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)

DRV:[b]64bit:[/b] - [2012.11.04 22:16:29 | 000,868,848 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

DRV:[b]64bit:[/b] - [2012.11.04 20:39:06 | 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01)

DRV:[b]64bit:[/b] - [2012.09.24 09:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)

DRV:[b]64bit:[/b] - [2012.07.17 18:12:08 | 000,062,784 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64)

DRV:[b]64bit:[/b] - [2012.05.14 07:12:30 | 000,096,896 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)

DRV:[b]64bit:[/b] - [2012.03.01 07:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,787,736 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\iusb3xhc.sys -- (iusb3xhc)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,356,120 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\iusb3hub.sys -- (iusb3hub)

DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 | 000,016,152 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iusb3hcs.sys -- (iusb3hcs)

DRV:[b]64bit:[/b] - [2011.08.23 14:57:24 | 000,565,352 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)

DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)

DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)

DRV:[b]64bit:[/b] - [2010.11.21 04:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)

DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)

DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD)

DRV:[b]64bit:[/b] - [2009.11.18 00:12:00 | 000,032,344 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\MBfilt64.sys -- (MBfilt)

DRV:[b]64bit:[/b] - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)

DRV:[b]64bit:[/b] - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)

DRV:[b]64bit:[/b] - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)

DRV:[b]64bit:[/b] - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)

DRV:[b]64bit:[/b] - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)

DRV:[b]64bit:[/b] - [2007.07.17 17:42:38 | 000,056,336 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\LMouFilt.Sys -- (LMouFilt)

DRV:[b]64bit:[/b] - [2007.07.17 17:42:32 | 000,054,288 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\LHidFilt.Sys -- (LHidFilt)

DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)

 

 

[color=#E56717]========== Standard Registry (SafeList) ==========[/color]

 

 

[color=#E56717]========== Internet Explorer ==========[/color]

 

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 44 14 D1 A7 6A B9 CD 01  [binary data]

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

[color=#E56717]========== FireFox ==========[/color]

 

FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll ()

FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)

FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0: C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll (ESN Social Software AB)

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)

 

 

 

[color=#E56717]========== Chrome  ==========[/color]

 

CHR - homepage: hxxp://www.google.com/

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}

CHR - homepage: hxxp://www.google.com/

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll

CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll

CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll

CHR - Extension: YouTube = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\

CHR - Extension: Google-Suche = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\

CHR - Extension: Google Mail = C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\

 

O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts

O2:[b]64bit:[/b] - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O3:[b]64bit:[/b] - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)

O4:[b]64bit:[/b] - HKLM..\Run: [itype] C:\Program Files\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)

O4:[b]64bit:[/b] - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.)

O4:[b]64bit:[/b] - HKLM..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)

O4 - HKLM..\Run: [USB3MON] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation)

O4 - HKCU..\Run: [Foged] C:\Users\Helge\AppData\Roaming\Gytodi\isomi.exe (Microsoft Corporation)

O4 - HKCU..\Run: [Spotify Web Helper] C:\Users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)

O4 - HKCU..\Run: [Steam] C:\Program Files (x86)\Steam\steam.exe (Valve Corporation)

O4 - Startup: C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()

O4 - Startup: C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O13[b]64bit:[/b] - gopher Prefix: missing

O13 - gopher Prefix: missing

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{14F304A1-0E1E-45F2-9393-319BE41AABBC}: DhcpNameServer = 192.168.178.1

O18:[b]64bit:[/b] - Protocol\Handler\bwfile-8876480 - No CLSID value found

O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found

O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)

O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)

O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell - "" = AutoRun

O33 - MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell\AutoRun\command - "" = E:\hmh-dishonored.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*

O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*

O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

 

[2013.01.15 23:08:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

[2013.01.15 22:19:41 | 000,190,464 | ---- | C] (&#1050;орпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Gytodi

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Esixiw

[2013.01.12 19:22:48 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Aknu

[2013.01.07 17:07:46 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games

[2013.01.07 16:56:20 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\directx

[2013.01.06 15:10:51 | 000,000,000 | ---D | C] -- C:\Users\Helge\Documents\Witcher 2

[2013.01.06 15:10:51 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Local\The Witcher 2

[2013.01.03 15:34:30 | 000,000,000 | ---D | C] -- C:\Users\Helge\Desktop\EC1 eVo

[2012.12.23 16:59:28 | 000,000,000 | ---D | C] -- C:\Users\Helge\AppData\Roaming\Skype

[2012.12.23 16:59:24 | 000,000,000 | R--D | C] -- C:\Program Files (x86)\Skype

[2012.12.23 16:59:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype

[2012.12.23 16:59:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype

[2012.12.23 16:59:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Skype

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

 

[2013.01.16 00:18:08 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2013.01.16 00:18:08 | 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2013.01.16 00:15:11 | 001,612,484 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI

[2013.01.16 00:15:11 | 000,696,620 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat

[2013.01.16 00:15:11 | 000,651,938 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat

[2013.01.16 00:15:11 | 000,147,916 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat

[2013.01.16 00:15:11 | 000,120,870 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat

[2013.01.16 00:11:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2013.01.16 00:11:25 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

[2013.01.16 00:11:08 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2013.01.16 00:10:51 | 2064,912,383 | -HS- | M] () -- C:\hiberfil.sys

[2013.01.15 23:42:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2013.01.15 23:11:08 | 000,365,568 | ---- | M] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe

[2013.01.15 23:09:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe

[2013.01.15 23:04:24 | 000,000,358 | ---- | M] () -- C:\Users\Helge\defogger_reenable

[2013.01.15 23:02:23 | 000,050,477 | ---- | M] () -- C:\Users\Helge\Desktop\Defogger.exe

[2013.01.15 22:19:42 | 000,002,890 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js

[2013.01.15 22:19:42 | 000,001,049 | ---- | M] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

[2013.01.15 22:19:42 | 000,000,159 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.reg

[2013.01.15 22:19:42 | 000,000,066 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.bat

[2013.01.15 22:19:41 | 000,190,464 | ---- | M] (&#1050;орпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe

[2013.01.10 11:52:16 | 000,296,080 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT

[2013.01.09 20:42:53 | 001,589,442 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI

[2013.01.04 17:12:53 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr

[2013.01.04 17:12:53 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe

[2013.01.03 16:57:11 | 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0

[2012.12.23 16:59:24 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk

[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

 

[color=#E56717]========== Files Created - No Company Name ==========[/color]

 

[2013.01.15 23:11:08 | 000,365,568 | ---- | C] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe

[2013.01.15 23:04:23 | 000,000,358 | ---- | C] () -- C:\Users\Helge\defogger_reenable

[2013.01.15 23:02:22 | 000,050,477 | ---- | C] () -- C:\Users\Helge\Desktop\Defogger.exe

[2013.01.15 22:19:42 | 000,002,890 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js

[2013.01.15 22:19:42 | 000,001,049 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

[2013.01.15 22:19:42 | 000,000,159 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.reg

[2013.01.15 22:19:42 | 000,000,066 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.bat

[2013.01.15 22:19:41 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

[2013.01.06 15:10:29 | 001,589,442 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI

[2012.12.23 16:59:24 | 000,002,517 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk

[2012.11.29 15:59:51 | 000,281,688 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe

[2012.11.29 15:59:49 | 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe

[2012.11.12 16:07:25 | 000,000,545 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\All CPU MeterV3_Settings.ini

[2012.11.03 03:58:22 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin

[2012.11.03 03:27:44 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat

[2012.11.03 03:27:44 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat

[2012.11.03 03:27:44 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat

[2012.05.02 13:58:10 | 000,029,184 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll

 

[color=#E56717]========== ZeroAccess Check ==========[/color]

 

[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

 

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

"" = C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64

"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

 

[color=#E56717]========== LOP Check ==========[/color]

 

[2013.01.15 22:23:00 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Aknu

[2012.11.04 19:35:27 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\DAEMON Tools Lite

[2013.01.12 19:22:48 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Esixiw

[2012.11.29 15:41:34 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\GetRightToGo

[2013.01.12 19:22:48 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Gytodi

[2012.11.07 01:25:13 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\OpenOffice.org

[2012.11.06 18:48:02 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Rainmeter

[2012.12.13 20:09:29 | 000,000,000 | ---D | M] -- C:\Users\Helge\AppData\Roaming\Spotify

 

[color=#E56717]========== Purity Check ==========[/color]

 

 

 
< End of report >

Gmer.txt :

PHP-Code:

   GMER 2.0.18444 - hxxp://www.gmer.net

Rootkit scan 2013-01-16 00:32:03

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST1000DM003-9YN162 rev.CC4B 931,51GB

Running: gmer-2.0.18444.exe; Driver: C:\Users\Helge\AppData\Local\Temp\ugloipod.sys

 
 
---- User code sections - GMER 2.0 ----

 
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!recv + 82                                      00000000730417fa 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!recvfrom + 88                                  0000000073041860 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 98                                0000000073041942 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 109                               000000007304194d 2 bytes [04, 73]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17                        00000000751a1401 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17                          00000000751a1419 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17                        00000000751a1431 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42                        00000000751a144a 2 bytes [1A, 75]

.text    ...                                                                                                                   * 9

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17                           00000000751a14dd 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17                    00000000751a14f5 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17                           00000000751a150d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17                    00000000751a1525 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17                          00000000751a153d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17                               00000000751a1555 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17                        00000000751a156d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17                          00000000751a1585 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17                             00000000751a159d 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17                          00000000751a15b5 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17                        00000000751a15cd 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20                    00000000751a16b2 2 bytes [1A, 75]

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31                    00000000751a16bd 2 bytes [1A, 75]

 
---- Threads - GMER 2.0 ----

 
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312:1720]                                                    00000000746132fb

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2376]                                                  000000007310e2db

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2468]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2472]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2476]                                                  0000000072708de0

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2480]                                                  0000000072704e00

---- Processes - GMER 2.0 ----

 
Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312]                                0000000074600000

Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608]                              0000000075420000

 
---- Registry - GMER 2.0 ----

 
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x40 0xC6 0x78 0x9B ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0x66 0x3B 0x57 0x88 ...

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xBA 0x3C 0x81 0x69 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Program Files (x86)\Alcohol Soft\Alcohol 120\

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x40 0xC6 0x78 0x9B ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0x66 0x3B 0x57 0x88 ...

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  

Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xBA 0x3C 0x81 0x69 ...

 
---- EOF - GMER 2.0 ----

hoffe mir kann geholfen werden :)

mfg helge

hier das ergebnis vom combofix:

Code:

ComboFix 13-01-16.01 - Helge 16.01.2013  19:07:02.1.4 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8087.6518 [GMT 1:00]

ausgeführt von:: c:\users\Helge\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\dsgsdgdsgdsgw.pad

c:\users\Helge\AppData\Roaming\Gytodi

c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-16 bis 2013-01-16  ))))))))))))))))))))))))))))))

.

.

2013-01-16 18:09 . 2013-01-16 18:09        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-01-16 14:53 . 2013-01-16 17:31        --------        d-----w-        C:\_OTL

2013-01-15 21:19 . 2013-01-15 21:19        66        ----a-w-        c:\programdata\dsgsdgdsgdsgw.bat

2013-01-15 21:19 . 2013-01-15 21:19        2890        ----a-w-        c:\programdata\dsgsdgdsgdsgw.js

2013-01-15 21:19 . 2013-01-15 21:19        159        ----a-w-        c:\programdata\dsgsdgdsgdsgw.reg

2013-01-12 18:22 . 2013-01-15 21:23        --------        d-----w-        c:\users\Helge\AppData\Roaming\Aknu

2013-01-12 18:22 . 2013-01-12 18:22        --------        d-----w-        c:\users\Helge\AppData\Roaming\Esixiw

2013-01-06 14:10 . 2013-01-06 14:10        --------        d-----w-        c:\users\Helge\AppData\Local\The Witcher 2

2012-12-23 15:59 . 2013-01-15 20:01        --------        d-----w-        c:\users\Helge\AppData\Roaming\Skype

2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----w-        c:\program files (x86)\Common Files\Skype

2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----r-        c:\program files (x86)\Skype

2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----w-        c:\programdata\Skype

2012-12-21 19:14 . 2012-12-16 17:11        46080        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-21 19:14 . 2012-12-16 14:45        367616        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-21 19:14 . 2012-12-16 14:13        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll

2012-12-21 19:14 . 2012-12-16 14:13        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-10 12:15 . 2012-11-03 02:30        74248        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2013-01-10 12:15 . 2012-11-03 02:30        697864        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2013-01-04 16:12 . 2012-11-29 15:14        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr

2013-01-04 16:12 . 2012-11-29 14:59        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe

2013-01-03 15:57 . 2012-11-29 14:59        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0

2012-12-11 16:51 . 2012-11-03 02:40        99912        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-12-11 16:51 . 2012-11-03 02:40        129216        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-12-02 08:31 . 2012-04-06 01:34        5626536        ----a-w-        c:\windows\SysWow64\atiumdag.dll

2012-12-02 08:29 . 2012-12-02 08:29        11270656        ----a-w-        c:\windows\system32\drivers\atikmdag.sys

2012-12-02 08:17 . 2012-12-02 08:17        23455744        ----a-w-        c:\windows\system32\atio6axx.dll

2012-12-02 08:00 . 2012-12-02 08:00        163840        ----a-w-        c:\windows\system32\atiapfxx.exe

2012-12-02 07:59 . 2012-11-15 17:47        70144        ----a-w-        c:\windows\system32\coinst_9.01.8.dll

2012-12-02 07:58 . 2012-12-02 07:58        51200        ----a-w-        c:\windows\system32\aticalrt64.dll

2012-12-02 07:58 . 2012-12-02 07:58        46080        ----a-w-        c:\windows\SysWow64\aticalrt.dll

2012-12-02 07:58 . 2012-12-02 07:58        44544        ----a-w-        c:\windows\system32\aticalcl64.dll

2012-12-02 07:58 . 2012-12-02 07:58        44032        ----a-w-        c:\windows\SysWow64\aticalcl.dll

2012-12-02 07:58 . 2012-12-02 07:58        16082944        ----a-w-        c:\windows\system32\aticaldd64.dll

2012-12-02 07:57 . 2012-12-02 07:57        18979328        ----a-w-        c:\windows\SysWow64\atioglxx.dll

2012-12-02 07:54 . 2012-12-02 07:54        13703168        ----a-w-        c:\windows\SysWow64\aticaldd.dll

2012-12-02 07:50 . 2012-04-06 02:21        949248        ----a-w-        c:\windows\SysWow64\aticfx32.dll

2012-12-02 07:48 . 2012-04-06 02:20        1137664        ----a-w-        c:\windows\system32\aticfx64.dll

2012-12-02 07:46 . 2012-12-02 07:46        6684672        ----a-w-        c:\windows\SysWow64\atidxx32.dll

2012-12-02 07:41 . 2012-12-02 07:41        4674048        ----a-w-        c:\windows\system32\atiumd6a.dll

2012-12-02 07:37 . 2012-12-02 07:37        442368        ----a-w-        c:\windows\system32\atidemgy.dll

2012-12-02 07:37 . 2012-12-02 07:37        548864        ----a-w-        c:\windows\system32\atieclxx.exe

2012-12-02 07:36 . 2012-12-02 07:36        240640        ----a-w-        c:\windows\system32\atiesrxx.exe

2012-12-02 07:35 . 2012-12-02 07:35        120320        ----a-w-        c:\windows\system32\atitmm64.dll

2012-12-02 07:35 . 2012-12-02 07:35        21504        ----a-w-        c:\windows\system32\atimuixx.dll

2012-12-02 07:35 . 2012-12-02 07:35        59392        ----a-w-        c:\windows\system32\atiedu64.dll

2012-12-02 07:35 . 2012-12-02 07:35        43520        ----a-w-        c:\windows\SysWow64\ati2edxx.dll

2012-12-02 07:29 . 2012-04-06 01:22        3862528        ----a-w-        c:\windows\SysWow64\atiumdva.dll

2012-12-02 07:29 . 2012-04-06 01:54        7378944        ----a-w-        c:\windows\system32\atidxx64.dll

2012-12-02 07:24 . 2012-12-02 07:24        6781440        ----a-w-        c:\windows\system32\atiumd64.dll

2012-12-02 07:18 . 2012-12-02 07:18        79360        ----a-w-        c:\windows\system32\amdave64.dll

2012-12-02 07:18 . 2012-12-02 07:18        78336        ----a-w-        c:\windows\SysWow64\amdave32.dll

2012-12-02 07:18 . 2012-12-02 07:18        74240        ----a-w-        c:\windows\system32\atisamu64.dll

2012-12-02 07:18 . 2012-12-02 07:18        71168        ----a-w-        c:\windows\SysWow64\atisamu32.dll

2012-12-02 07:17 . 2012-12-02 07:17        56320        ----a-w-        c:\windows\system32\atimpc64.dll

2012-12-02 07:17 . 2012-12-02 07:17        56320        ----a-w-        c:\windows\system32\amdpcom64.dll

2012-12-02 07:17 . 2012-12-02 07:17        56832        ----a-w-        c:\windows\SysWow64\atimpc32.dll

2012-12-02 07:17 . 2012-12-02 07:17        56832        ----a-w-        c:\windows\SysWow64\amdpcom32.dll

2012-12-02 07:14 . 2012-12-02 07:14        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll

2012-12-02 07:14 . 2012-04-06 01:11        619008        ----a-w-        c:\windows\system32\atiadlxx.dll

2012-12-02 07:14 . 2012-12-02 07:14        421888        ----a-w-        c:\windows\SysWow64\atiadlxy.dll

2012-12-02 07:13 . 2012-12-02 07:13        17920        ----a-w-        c:\windows\system32\atig6pxx.dll

2012-12-02 07:13 . 2012-12-02 07:13        14848        ----a-w-        c:\windows\SysWow64\atiglpxx.dll

2012-12-02 07:13 . 2012-12-02 07:13        14848        ----a-w-        c:\windows\system32\atiglpxx.dll

2012-12-02 07:13 . 2012-12-02 07:13        41984        ----a-w-        c:\windows\system32\atig6txx.dll

2012-12-02 07:13 . 2012-12-02 07:13        33280        ----a-w-        c:\windows\SysWow64\atigktxx.dll

2012-12-02 07:13 . 2012-12-02 07:13        546816        ----a-w-        c:\windows\system32\drivers\atikmpag.sys

2012-12-02 07:11 . 2012-04-06 01:09        130048        ----a-w-        c:\windows\system32\atiuxp64.dll

2012-12-02 07:11 . 2012-12-02 07:11        109568        ----a-w-        c:\windows\SysWow64\atiuxpag.dll

2012-12-02 07:11 . 2012-12-02 07:11        104448        ----a-w-        c:\windows\system32\atiu9p64.dll

2012-12-02 07:11 . 2012-04-06 01:09        83968        ----a-w-        c:\windows\SysWow64\atiu9pag.dll

2012-11-30 04:45 . 2013-01-09 18:43        44032        ----a-w-        c:\windows\apppatch\acwow64.dll

2012-11-29 14:59 . 2012-11-29 14:59        76888        ----a-w-        c:\windows\SysWow64\PnkBstrA.exe

2012-11-27 17:57 . 2012-11-27 17:57        127034        ------r-        c:\windows\bwUnin-8.1.1.50-8876480SL.exe

2012-11-15 12:10 . 2012-11-15 12:10        222720        ----a-w-        c:\windows\system32\clinfo.exe

2012-11-15 12:10 . 2012-11-15 12:10        76288        ----a-w-        c:\windows\system32\OpenVideo64.dll

2012-11-15 12:10 . 2012-11-15 12:10        65536        ----a-w-        c:\windows\SysWow64\OpenVideo.dll

2012-11-15 12:10 . 2012-11-15 12:10        64512        ----a-w-        c:\windows\system32\OVDecode64.dll

2012-11-15 12:10 . 2012-11-15 12:10        56320        ----a-w-        c:\windows\SysWow64\OVDecode.dll

2012-11-15 12:09 . 2012-11-15 12:09        34523136        ----a-w-        c:\windows\system32\amdocl64.dll

2012-11-15 12:05 . 2012-11-15 12:05        28737536        ----a-w-        c:\windows\SysWow64\amdocl.dll

2012-11-15 12:01 . 2012-11-15 12:01        54784        ----a-w-        c:\windows\system32\OpenCL.dll

2012-11-15 12:01 . 2012-11-15 12:01        50176        ----a-w-        c:\windows\SysWow64\OpenCL.dll

2012-11-14 07:06 . 2012-12-13 00:46        17811968        ----a-w-        c:\windows\system32\mshtml.dll

2012-11-14 06:32 . 2012-12-13 00:46        10925568        ----a-w-        c:\windows\system32\ieframe.dll

2012-11-14 06:11 . 2012-12-13 00:46        2312704        ----a-w-        c:\windows\system32\jscript9.dll

2012-11-14 06:04 . 2012-12-13 00:46        1346048        ----a-w-        c:\windows\system32\urlmon.dll

2012-11-14 06:04 . 2012-12-13 00:46        1392128        ----a-w-        c:\windows\system32\wininet.dll

2012-11-14 06:02 . 2012-12-13 00:46        1494528        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-11-14 06:02 . 2012-12-13 00:46        237056        ----a-w-        c:\windows\system32\url.dll

2012-11-14 05:59 . 2012-12-13 00:46        85504        ----a-w-        c:\windows\system32\jsproxy.dll

2012-11-14 05:58 . 2012-12-13 00:46        816640        ----a-w-        c:\windows\system32\jscript.dll

2012-11-14 05:57 . 2012-12-13 00:46        599040        ----a-w-        c:\windows\system32\vbscript.dll

2012-11-14 05:57 . 2012-12-13 00:46        173056        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-11-14 05:55 . 2012-12-13 00:46        2144768        ----a-w-        c:\windows\system32\iertutil.dll

2012-11-14 05:55 . 2012-12-13 00:46        729088        ----a-w-        c:\windows\system32\msfeeds.dll

2012-11-14 05:53 . 2012-12-13 00:46        96768        ----a-w-        c:\windows\system32\mshtmled.dll

2012-11-14 05:52 . 2012-12-13 00:46        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-11-14 05:46 . 2012-12-13 00:46        248320        ----a-w-        c:\windows\system32\ieui.dll

2012-11-14 02:09 . 2012-12-13 00:46        1800704        ----a-w-        c:\windows\SysWow64\jscript9.dll

2012-11-14 01:58 . 2012-12-13 00:46        1427968        ----a-w-        c:\windows\SysWow64\inetcpl.cpl

2012-11-14 01:57 . 2012-12-13 00:46        1129472        ----a-w-        c:\windows\SysWow64\wininet.dll

2012-11-14 01:49 . 2012-12-13 00:46        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe

2012-11-14 01:48 . 2012-12-13 00:46        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll

2012-11-14 01:44 . 2012-12-13 00:46        2382848        ----a-w-        c:\windows\SysWow64\mshtml.tlb

2012-11-09 05:45 . 2012-12-12 13:33        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-11-09 04:42 . 2012-12-12 13:33        2048        ----a-w-        c:\windows\SysWow64\tzres.dll

2012-11-04 21:16 . 2012-11-04 21:16        868848        ----a-w-        c:\windows\system32\drivers\sptd.sys

2012-11-04 20:04 . 2012-11-04 20:04        91648        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe

2012-11-04 20:04 . 2012-11-04 20:04        89088        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe

2012-11-04 20:04 . 2012-11-04 20:04        89088        ----a-w-        c:\windows\system32\ie4uinit.exe

2012-11-04 20:04 . 2012-11-04 20:04        86528        ----a-w-        c:\windows\SysWow64\iesysprep.dll

2012-11-04 20:04 . 2012-11-04 20:04        85504        ----a-w-        c:\windows\system32\iesetup.dll

2012-11-04 20:04 . 2012-11-04 20:04        82432        ----a-w-        c:\windows\system32\icardie.dll

2012-11-04 20:04 . 2012-11-04 20:04        76800        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe

2012-11-04 20:04 . 2012-11-04 20:04        76800        ----a-w-        c:\windows\system32\tdc.ocx

2012-11-04 20:04 . 2012-11-04 20:04        74752        ----a-w-        c:\windows\SysWow64\RegisterIEPKEYs.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]

"Steam"="c:\program files (x86)\Steam\steam.exe" [2012-12-04 1354736]

"Spotify Web Helper"="c:\users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-04 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-01-26 291608]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-12-02 642216]

.

c:\users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.4.1.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]

Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [2012-7-3 41160]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2012-11-27 67128]

SetPointII.lnk - c:\program files\Logitech\SetPoint II\SetPointII.exe [2007-8-30 809984]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="userinit.exe"

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]

R3 WinRing0_1_2_0;WinRing0_1_2_0;c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp [x]

R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2012-11-04 868848]

S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys [2012-01-26 16152]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-09-24 27800]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-11-04 283200]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-12-02 240640]

S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-12-11 85280]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2012-05-14 96896]

S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys [2012-01-26 356120]

S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys [2012-01-26 787736]

S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys [2009-11-17 32344]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-08-23 565352]

.

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-01-15 20:44        1606760        ----a-w-        c:\program files (x86)\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]

.

2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-10-17 13307496]

"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-11-05 2345848]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 134160]

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.google.de/

mLocal Page = c:\windows\SysWOW64\blank.htm

TCP: DhcpNameServer = 192.168.178.1

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Wow6432Node-HKCU-Run-Foged - c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe

.

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinRing0_1_2_0]

"ImagePath"="\??\c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2013-01-16  19:11:07

ComboFix-quarantined-files.txt  2013-01-16 18:11

.

Vor Suchlauf: 9 Verzeichnis(se), 892.162.310.144 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 891.641.565.184 Bytes frei

.

- - End Of File - - 6DB8849EE22CFDE3B464082DB2D416DC