Trojaner-Board - Trojan.Fake.MS Windows Vista

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.Fake.MS Windows Vista (https://www.trojaner-board.de/131900-trojan-fake-ms-windows-vista.html)

Trojan.Fake.MS Windows Vista

Liebe Forumsmitglieder,

mein Computer hat anscheinend den Trojaner namens "Trojan Fake.MS", so nennt ihn jedenfalls Malwarebytes. Löschen mit Malwarebytes hilft nichts, wenn ich den PC danach neu starte erscheint wieder die Anwendung "amzuy.exe". Solange ich sie ignoriere - Windows blockt sie - funktioniert alles, wenn ich aber versuche, das Fenster zu schließen, bleibt der Internet Explorer hängen. Ich habe Malwarebytes das gesamte System durchsuchen lassen und einen Scan mit OTL (nach den üblichen Anweisungen) gemacht, soll ich die Dateien besser als Anhang oder als Zitat posten?

Vielen Dank im Voraus für jegliche Hilfe!

Martin

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Logfile bitte so posten, wenn möglich.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Hallo ryder,

hier die OTL-Logfiles:

Code:

OTL logfile created on: 07.03.2013 14:03:06 - Run 2

OTL by OldTimer - Version 3.2.69.0     Folder = c:\Users\******\Desktop

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.19088)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,99 Gb Total Physical Memory | 1,70 Gb Available Physical Memory | 56,85% Memory free

6,19 Gb Paging File | 4,70 Gb Available in Paging File | 75,99% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 144,09 Gb Total Space | 52,83 Gb Free Space | 36,66% Space Free | Partition Type: NTFS

Drive D: | 144,00 Gb Total Space | 100,33 Gb Free Space | 69,68% Space Free | Partition Type: NTFS

Drive E: | 7,29 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

 

Computer Name: ******NOTEBOOK | User Name: ****** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)

PRC - c:\Users\******\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)

PRC - C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (Cisco Systems, Inc.)

PRC - C:\Users\******\AppData\Roaming\Yckie\amzuy.exe ()

PRC - C:\Programme\2gis\3.0\2GISTrayNotifier.exe (ООО ДубльГИС)

PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)

PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)

PRC - C:\Windows\System32\consent.exe (Microsoft Corporation)

PRC - C:\Programme\USB-ìîäåì Áèëàéí\UIMain_Min.exe (ZTE Corporation)

PRC - C:\Programme\Common Files\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)

PRC - C:\Windows\System32\SupportAppXL\AutoDect.exe ()

PRC - C:\Windows\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)

PRC - C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)

PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)

PRC - C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe ()

PRC - C:\Programme\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe (Samsung Electronics Co., Ltd.)

PRC - C:\Programme\Samsung\EBM\EasyBatteryMgr3.exe (SAMSUNG Electronics co., LTD.)

PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)

PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)

PRC - c:\Programme\Common Files\McAfee\MNA\McNASvc.exe (McAfee, Inc.)

PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)

PRC - C:\Windows\System32\cmd.exe (Microsoft Corporation)

PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)

PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)

PRC - C:\Programme\McAfee\MSC\mcmscsvc.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee\VirusScan\mcsysmon.exe (McAfee, Inc.)

PRC - c:\Programme\McAfee\MSC\mcuimgr.exe (McAfee, Inc.)

PRC - c:\Programme\Common Files\McAfee\McProxy\McProxy.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee\VirusScan\Mcshield.exe (McAfee, Inc.)

PRC - C:\Programme\McAfee\MPF\MpfSrv.exe (McAfee, Inc.)

PRC - C:\Programme\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe (Samsung Electronics Co., Ltd.)

PRC - C:\Programme\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)

PRC - C:\Programme\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)

PRC - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)

PRC - C:\Programme\Sony\SonicStage\SSAAD.exe ()

PRC - C:\Programme\Common Files\Sony Shared\AVLib\SSScsiSV.exe (Sony Corporation)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\zlib1.dll ()

MOD - C:\Users\******\AppData\Roaming\Yckie\amzuy.exe ()

MOD - C:\Programme\OpenOffice.org 3\program\libxml2.dll ()

MOD - C:\Programme\USB-ìîäåì Áèëàéí\DLL_Netcard_R.dll ()

MOD - C:\Windows\System32\SupportAppXL\AutoDect.exe ()

MOD - C:\Programme\Samsung\Samsung Update Plus\SLUTrayNotifier.exe ()

MOD - C:\Windows\System32\msjetoledb40.dll ()

MOD - C:\Programme\Common Files\LightScribe\QtGui4.dll ()

MOD - C:\Programme\Common Files\LightScribe\plugins\imageformats\qjpeg4.dll ()

MOD - C:\Programme\Common Files\LightScribe\QtCore4.dll ()

MOD - C:\Programme\Samsung\Samsung Magic Doctor\HookDllPS2.dll ()

MOD - C:\Programme\Samsung\EasySpeedUpManager\HookDllPS2.dll ()

MOD - C:\Programme\Samsung\Easy Display Manager\HookDllPS2.dll ()

MOD - C:\Programme\Sony\SonicStage\SSAAD.exe ()

 

 
 ========== Services (SafeList) ==========

 

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (vpnagent) -- C:\Programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (Cisco Systems, Inc.)

SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)

SRV - (2GISUpdateService) -- C:\Programme\2gis\3.0\2GISUpdateService.exe (ООО ДубльГИС)

SRV - (WinHttpAutoProxySvc) -- winhttp.dll (Microsoft Corporation)

SRV - (EvtEng) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)

SRV - (RegSrvc) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)

SRV - (Samsung Update Plus) -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe ()

SRV - (McNASvc) -- c:\Programme\Common Files\McAfee\MNA\McNASvc.exe (McAfee, Inc.)

SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SRV - (mcmscsvc) -- C:\Programme\McAfee\MSC\mcmscsvc.exe (McAfee, Inc.)

SRV - (McSysmon) -- C:\Programme\McAfee\VirusScan\mcsysmon.exe (McAfee, Inc.)

SRV - (McODS) -- C:\Programme\McAfee\VirusScan\mcods.exe (McAfee, Inc.)

SRV - (McProxy) -- c:\Programme\Common Files\McAfee\McProxy\McProxy.exe (McAfee, Inc.)

SRV - (McShield) -- C:\Programme\McAfee\VirusScan\Mcshield.exe (McAfee, Inc.)

SRV - (MpfService) -- C:\Programme\McAfee\MPF\MpfSrv.exe (McAfee, Inc.)

SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (MSSQL$MSSMLBIZ) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)

SRV - (SQLBrowser) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)

SRV - (SQLWriter) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)

SRV - (SSScsiSV) -- C:\Programme\Common Files\Sony Shared\AVLib\SSScsiSV.exe (Sony Corporation)

SRV - (MSCSPTISRV) -- C:\Programme\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe (Sony Corporation)

SRV - (PACSPTISVR) -- C:\Programme\Common Files\Sony Shared\AVLib\PACSPTISVR.exe (Sony Corporation)

SRV - (SPTISRV) -- C:\Programme\Common Files\Sony Shared\AVLib\SPTISRV.exe (Sony Corporation)

SRV - (MSSQLServerADHelper) -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)

DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)

DRV - (vpnva) -- C:\Windows\System32\drivers\vpnva.sys (Cisco Systems, Inc.)

DRV - (acsmux) -- C:\Windows\System32\drivers\acsmux.sys (Cisco Systems, Inc.)

DRV - (acsint) -- C:\Windows\System32\drivers\acsint.sys (Cisco Systems, Inc.)

DRV - (massfilter) -- C:\Windows\System32\drivers\massfilter.sys (ZTE Incorporated)

DRV - (ZTEusbnmea) -- C:\Windows\System32\drivers\ZTEusbnmea.sys (ZTE Incorporated)

DRV - (ZTEusbmdm6k) -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys (ZTE Incorporated)

DRV - (ZTEusbser6k) -- C:\Windows\System32\drivers\ZTEusbser6k.sys (ZTE Incorporated)

DRV - (AF9035BDA) -- C:\Windows\System32\drivers\AF9035BDA.sys (AfaTech                  )

DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)

DRV - (NETw5v32) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)

DRV - (VMC302) -- C:\Windows\System32\drivers\vmc302.sys (Vimicro Corporation)

DRV - (NETw3v32) -- C:\Windows\System32\drivers\NETw3v32.sys (Intel Corporation)

DRV - (mfesmfk) -- C:\Windows\System32\drivers\mfesmfk.sys (McAfee, Inc.)

DRV - (mfehidk) -- C:\Windows\System32\drivers\mfehidk.sys (McAfee, Inc.)

DRV - (mfeavfk) -- C:\Windows\System32\drivers\mfeavfk.sys (McAfee, Inc.)

DRV - (mfebopk) -- C:\Windows\System32\drivers\mfebopk.sys (McAfee, Inc.)

DRV - (mferkdk) -- C:\Windows\System32\drivers\mferkdk.sys (McAfee, Inc.)

DRV - (MPFP) -- C:\Windows\System32\drivers\Mpfp.sys (McAfee, Inc.)

DRV - (KMDFMEMIO) -- C:\Windows\System32\drivers\KMDFMEMIO.sys (SAMSUNG ELECTRONICS CO., LTD.)

DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (Agere Systems)

DRV - (bcm4sbxp) -- C:\Windows\System32\drivers\bcm4sbxp.sys (Broadcom Corporation)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.modem.beeline.ru

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\..\SearchScopes,DefaultScope = {08113A31-E8C3-4D4B-AA54-6AA1711C2E74}

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\..\SearchScopes\{08113A31-E8C3-4D4B-AA54-6AA1711C2E74}: "URL" = hxxp://www.google.de/search?hl=de&q={searchTerms}&btnG=Google-Suche&meta=

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\..\SearchScopes\{7788C111-E48C-4E88-8E4D-3EFB22E04C20}: "URL" = hxxp://www.google.de/search?q={searchTerms}

IE - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

 

 

 

O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: ::1             localhost

O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\Programme\McAfee\VirusScan\scriptsn.dll (McAfee, Inc.)

O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Programme\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH)

O4 - HKLM..\Run: [2Gis Update Notifier] C:\Program Files\2gis\3.0\2GISTrayNotifier.exe (ООО ДубльГИС)

O4 - HKLM..\Run: [autodetect] C:\Windows\System32\SupportAppXL\AutoDect.exe ()

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Cisco Systems, Inc.)

O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()

O4 - HKLM..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)

O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)

O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [SsAAD.exe] C:\Programme\Sony\SonicStage\SSAAD.exe ()

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)

O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)

O4 - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003..\Run: [amzuy.exe] C:\Users\******\AppData\Roaming\Yckie\amzuy.exe ()

O4 - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)

O4 - HKU\S-1-5-21-3879898195-1301539812-1879762586-1003..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)

O4 - Startup: C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)

O13 - gopher Prefix: missing

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Plugin Control)

O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} https://vpngate.uni-koeln.de/CACHE/stc/2/binaries/vpnweb.cab (Cisco AnyConnect VPN Client Web Control)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{86602508-A4F0-4FD4-AA67-02B048ABA103}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DECB8486-47A8-4DB0-A326-AAD9748969B5}: DhcpNameServer = 192.168.1.1

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

O24 - Desktop WallPaper: C:\Users\******\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg

O24 - Desktop BackupWallPaper: C:\Users\******\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg

O29 - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013.03.07 13:57:46 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys

[2013.03.06 16:31:11 | 000,232,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe

[2013.03.06 16:20:02 | 000,000,000 | ---D | C] -- C:\Users\******\AppData\Roaming\Yckie

[2013.03.06 16:20:02 | 000,000,000 | ---D | C] -- C:\Users\******\AppData\Roaming\Feyz

[65 C:\Users\******\Pictures\Documents\*.tmp files -> C:\Users\******\Pictures\Documents\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013.03.07 13:57:46 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys

[2013.03.07 13:56:07 | 000,237,060 | ---- | M] () -- C:\ProgramData\nvModes.001

[2013.03.07 13:55:10 | 000,020,959 | ---- | M] () -- C:\Windows\System32\Config.MPF

[2013.03.07 13:53:55 | 000,237,060 | ---- | M] () -- C:\ProgramData\nvModes.dat

[2013.03.07 13:53:33 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

[2013.03.07 13:53:33 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0

[2013.03.07 13:53:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2013.03.07 13:53:23 | 3215,572,992 | -HS- | M] () -- C:\hiberfil.sys

[2013.03.07 13:52:30 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat

[2013.03.06 22:49:47 | 000,000,420 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{4F69F177-6E9A-4F15-89ED-AC325E65EC36}.job

[2013.03.06 16:30:39 | 000,685,712 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2013.03.06 16:30:39 | 000,642,704 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2013.03.06 16:30:39 | 000,149,980 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2013.03.06 16:30:39 | 000,121,592 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[65 C:\Users\******\Pictures\Documents\*.tmp files -> C:\Users\******\Pictures\Documents\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011.11.13 18:10:27 | 000,008,268 | ---- | C] () -- C:\Users\******\AppData\Local\d3d9caps.dat

[2008.12.22 17:49:13 | 000,056,320 | ---- | C] () -- C:\Users\******\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.07.08 15:39:09 | 000,237,060 | ---- | C] () -- C:\ProgramData\nvModes.dat

[2008.07.08 15:39:09 | 000,237,060 | ---- | C] () -- C:\ProgramData\nvModes.001

 
 ========== ZeroAccess Check ==========

 

[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2011.01.21 16:46:32 | 011,582,464 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.03.03 05:36:24 | 000,615,424 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.01.21 03:24:03 | 000,347,648 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 
 ========== LOP Check ==========

 

[2012.11.21 21:16:19 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\Canneverbe Limited

[2013.03.06 16:21:00 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\Feyz

[2011.09.15 09:13:47 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\Grym

[2011.10.03 18:16:06 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\ICQ

[2011.03.31 10:04:20 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\OpenOffice.org

[2009.10.03 21:52:09 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\TerraTec

[2013.03.07 13:57:38 | 000,000,000 | ---D | M] -- C:\Users\******\AppData\Roaming\Yckie

 
 ========== Purity Check ==========

 

 

 
 ========== Files - Unicode (All) ==========

[2012.11.14 15:09:46 | 000,026,624 | ---- | M] ()(C:\Users\******\Pictures\Documents\?????? ?? ????????.doc) -- C:\Users\******\Pictures\Documents\запрос по телефону.doc

[2012.11.14 15:09:45 | 000,026,624 | ---- | C] ()(C:\Users\******\Pictures\Documents\?????? ?? ????????.doc) -- C:\Users\******\Pictures\Documents\запрос по телефону.doc

[2012.11.13 23:39:11 | 000,028,672 | ---- | M] ()(C:\Users\******\Pictures\Documents\???????????.doc) -- C:\Users\******\Pictures\Documents\предложение.doc

[2012.11.13 23:24:39 | 000,028,672 | ---- | C] ()(C:\Users\******\Pictures\Documents\???????????.doc) -- C:\Users\******\Pictures\Documents\предложение.doc

[2012.10.29 23:48:52 | 000,027,648 | ---- | M] ()(C:\Users\******\Pictures\Documents\??????.doc) -- C:\Users\******\Pictures\Documents\запрос.doc

[2012.10.29 23:41:16 | 000,027,648 | ---- | C] ()(C:\Users\******\Pictures\Documents\??????.doc) -- C:\Users\******\Pictures\Documents\запрос.doc

[2012.10.17 14:05:43 | 000,052,224 | ---- | M] ()(C:\Users\******\Pictures\Documents\????????? ?????? ?????.doc) -- C:\Users\******\Pictures\Documents\биография Райнер Бобон.doc

[2012.10.17 14:05:22 | 000,033,280 | ---- | M] ()(C:\Users\******\Pictures\Documents\??????.doc) -- C:\Users\******\Pictures\Documents\резюме.doc

[2012.10.17 14:05:22 | 000,033,280 | ---- | C] ()(C:\Users\******\Pictures\Documents\??????.doc) -- C:\Users\******\Pictures\Documents\резюме.doc

[2012.10.17 14:04:47 | 000,033,280 | ---- | M] ()(C:\Users\******\Pictures\Documents\???????????????? ??????  ****** Bobon.doc) -- C:\Users\******\Pictures\Documents\сопроводительное письмо  ****** Bobon.doc

[2012.10.17 11:42:46 | 000,052,224 | ---- | C] ()(C:\Users\******\Pictures\Documents\????????? ?????? ?????.doc) -- C:\Users\******\Pictures\Documents\биография Райнер Бобон.doc

[2012.06.10 23:09:27 | 000,027,136 | ---- | M] ()(C:\Users\******\Desktop\????? ???? ?????.doc) -- C:\Users\******\Desktop\Давно тому назад.doc

[2012.05.21 08:39:30 | 000,029,184 | ---- | M] ()(C:\Users\******\Pictures\Documents\?????????.doc) -- C:\Users\******\Pictures\Documents\Прокофьев.doc

[2012.05.16 18:05:00 | 000,029,184 | ---- | C] ()(C:\Users\******\Pictures\Documents\?????????.doc) -- C:\Users\******\Pictures\Documents\Прокофьев.doc

[2012.03.13 16:13:08 | 059,544,087 | ---- | M] ()(C:\Users\******\Desktop\????? ???? 2012.7z) -- C:\Users\******\Desktop\Томск март 2012.7z

[2012.03.13 16:12:49 | 059,544,087 | ---- | C] ()(C:\Users\******\Desktop\????? ???? 2012.7z) -- C:\Users\******\Desktop\Томск март 2012.7z

[2012.03.13 16:06:25 | 000,000,000 | ---D | M](C:\Users\******\Desktop\????? ???? 2012) -- C:\Users\******\Desktop\Томск март 2012

[2012.03.13 16:03:49 | 000,000,000 | ---D | C](C:\Users\******\Desktop\????? ???? 2012) -- C:\Users\******\Desktop\Томск март 2012

[2012.02.02 15:22:54 | 000,001,762 | ---- | M] ()(C:\Users\Public\Desktop\2???.lnk) -- C:\Users\Public\Desktop\2ГИС.lnk

[2011.11.27 09:28:56 | 000,027,136 | ---- | C] ()(C:\Users\******\Desktop\????? ???? ?????.doc) -- C:\Users\******\Desktop\Давно тому назад.doc

[2011.11.25 08:46:23 | 000,055,808 | ---- | M] ()(C:\Users\******\Pictures\Documents\???????????? ???? ????? ?????? ?? ????????????????????? ????????.doc) -- C:\Users\******\Pictures\Documents\Тематический план цикла уроков по лингвострановдеческой тематике.doc

[2011.11.25 08:41:34 | 000,055,808 | ---- | C] ()(C:\Users\******\Pictures\Documents\???????????? ???? ????? ?????? ?? ????????????????????? ????????.doc) -- C:\Users\******\Pictures\Documents\Тематический план цикла уроков по лингвострановдеческой тематике.doc

[2011.11.24 09:28:42 | 000,026,624 | ---- | M] ()(C:\Users\******\Desktop\????????? ? ?????? ???????? ?????? ????? ?????????? ? ??????? ??????????????.doc) -- C:\Users\******\Desktop\Собрались в теплой компании бывшие главы государств и делятся воспоминаниями.doc

[2011.11.24 08:10:46 | 000,026,624 | ---- | C] ()(C:\Users\******\Desktop\????????? ? ?????? ???????? ?????? ????? ?????????? ? ??????? ??????????????.doc) -- C:\Users\******\Desktop\Собрались в теплой компании бывшие главы государств и делятся воспоминаниями.doc

[2011.10.07 07:06:54 | 000,051,712 | ---- | M] ()(C:\Users\******\Desktop\??????????[1].doc) -- C:\Users\******\Desktop\Открывайте[1].doc

[2011.09.15 09:10:50 | 000,001,762 | ---- | C] ()(C:\Users\Public\Desktop\2???.lnk) -- C:\Users\Public\Desktop\2ГИС.lnk

[2011.09.08 09:53:52 | 000,034,304 | ---- | M] ()(C:\Users\******\Pictures\Documents\??????????.doc) -- C:\Users\******\Pictures\Documents\расписание.doc

[2011.09.08 09:53:52 | 000,034,304 | ---- | C] ()(C:\Users\******\Pictures\Documents\??????????.doc) -- C:\Users\******\Pictures\Documents\расписание.doc

[2011.08.28 20:55:55 | 000,051,712 | ---- | C] ()(C:\Users\******\Desktop\??????????[1].doc) -- C:\Users\******\Desktop\Открывайте[1].doc

[2011.06.30 15:48:31 | 000,033,280 | ---- | C] ()(C:\Users\******\Pictures\Documents\???????????????? ??????  ****** Bobon.doc) -- C:\Users\******\Pictures\Documents\сопроводительное письмо  ****** Bobon.doc

[2011.06.30 15:12:02 | 000,056,320 | ---- | M] ()(C:\Users\******\Pictures\Documents\????????????? ****** Bobon.doc) -- C:\Users\******\Pictures\Documents\Жизнеописание ****** Bobon.doc

[2011.05.19 19:37:22 | 000,030,720 | ---- | M] ()(C:\Users\******\Pictures\Documents\???????????????? ??????.doc) -- C:\Users\******\Pictures\Documents\сопроводительное письмо.doc

[2011.03.18 14:47:19 | 000,056,320 | ---- | C] ()(C:\Users\******\Pictures\Documents\????????????? ****** Bobon.doc) -- C:\Users\******\Pictures\Documents\Жизнеописание ****** Bobon.doc

[2011.03.18 14:45:47 | 000,030,720 | ---- | C] ()(C:\Users\******\Pictures\Documents\???????????????? ??????.doc) -- C:\Users\******\Pictures\Documents\сопроводительное письмо.doc

(C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2???) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2ГИС
 

< End of report >

Code:

OTL Extras logfile created on: 07.03.2013 14:03:06 - Run 2

OTL by OldTimer - Version 3.2.69.0     Folder = c:\Users\******\Desktop

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.19088)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,99 Gb Total Physical Memory | 1,70 Gb Available Physical Memory | 56,85% Memory free

6,19 Gb Paging File | 4,70 Gb Available in Paging File | 75,99% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 144,09 Gb Total Space | 52,83 Gb Free Space | 36,66% Space Free | Partition Type: NTFS

Drive D: | 144,00 Gb Total Space | 100,33 Gb Free Space | 69,68% Space Free | Partition Type: NTFS

Drive E: | 7,29 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

 

Computer Name: ******NOTEBOOK | User Name: ****** | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)

.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)

exefile [open] -- "%1" %*

helpfile [open] -- Reg Error: Key error.

hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)

inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusOverride" = 0

"AntiSpywareOverride" = 0

"FirewallOverride" = 0

"VistaSp1" = Reg Error: Unknown registry data type -- File not found

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 
 ========== Authorized Applications List ==========

 

 
 ========== Vista Active Open Ports Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{17C9712C-B0FF-4DE2-8825-DACFF07A2A6D}" = lport=445 | protocol=6 | dir=in | app=system | 

"{1ACC8B81-4A32-4952-B23E-3B83139AA64F}" = lport=138 | protocol=17 | dir=in | app=system | 

"{20000877-69F7-4346-B4CE-B9E1BB47C55E}" = rport=138 | protocol=17 | dir=out | app=system | 

"{2677158A-5F0E-4049-969B-0CF2018C79DB}" = rport=445 | protocol=6 | dir=out | app=system | 

"{3FD0B431-FA3C-48C4-97FD-5484C4111559}" = rport=137 | protocol=17 | dir=out | app=system | 

"{42B4D472-2C06-4185-A608-842DFE43E864}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | 

"{5A5CACB9-A9DC-4CA0-8C73-6ADEB81F3B58}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 

"{B90197B0-98B8-4132-BB41-BF493DD0CD59}" = lport=139 | protocol=6 | dir=in | app=system | 

"{C644570E-17B8-4601-A65F-E80EE9425ABE}" = lport=137 | protocol=17 | dir=in | app=system | 

"{E912E8C0-725B-4AAE-89C4-D664C62E8944}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 

"{FC0AEC55-BED7-4381-B956-96A224A80686}" = rport=139 | protocol=6 | dir=out | app=system | 

 
 ========== Vista Active Application Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{103033DE-3079-43BA-B49B-FAE74D0AAD53}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\insttool.exe | 

"{291D306C-48AA-4223-B4A4-5D53D8E45FDD}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 

"{29B60815-61D8-445C-BBAD-8B5B343A6268}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\cinergydvr.exe | 

"{2C1EF767-7563-4CFC-9DE9-8895FBAFD08E}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\tvtvsetup\tvtv_wizard.exe | 

"{2E76CBDC-66B2-4B86-862B-7E3378F3B653}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\insttool.exe | 

"{34011774-69F9-4392-B6D4-99AC34CAF7BC}" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe | 

"{342AF77A-D184-4242-9F65-4DC5743B0070}" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 

"{35A3779F-1D36-4A27-B8DA-0771AF95C0DF}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 

"{40F24F6D-90DB-4584-8CD4-B280641DE0E0}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\insttool.exe | 

"{5383B0DB-F21B-419D-BA2D-A183B6CCBBE3}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\cinergydvr.exe | 

"{6779FCAE-5815-46CF-89C3-D6A107FAA6AC}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 

"{6C708175-E552-40D1-A8A6-13CFD9899760}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 

"{6E4724C4-7120-41B7-83BC-19ED37C4382B}" = dir=in | app=c:\program files\skype\phone\skype.exe | 

"{84A86764-2DB9-48EE-AEB7-1AAAC107D3BF}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\insttool.exe | 

"{9077AB15-FB6C-4807-8C6F-E3C283878F80}" = dir=in | app=c:\program files\common files\mcafee\mna\mcnasvc.exe | 

"{93558665-8B2E-4A74-98B7-156D5A30F20B}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\tvtvsetup\tvtv_wizard.exe | 

"{A30DCC3C-45BA-4444-B1A2-097F25FE36E7}" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\tvtvsetup\tvtv_wizard.exe | 

"{AFE8FB5D-BD54-44BF-92FA-9DC1F33B0335}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\cinergydvr.exe | 

"{B5FBA84A-2B4A-4A73-A93E-59F4956DF2D8}" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 

"{CC32BD33-2CD2-4284-98A5-A0264326B979}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\cinergydvr.exe | 

"{E2245687-5358-4CC9-B9C2-5E0B5A2CEB09}" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\tvtvsetup\tvtv_wizard.exe | 

"{E75CBF35-506F-418D-825D-14AC26E40972}" = dir=in | app=c:\program files\cyberlink\powerdvd\powerdvd.exe | 

"{EA7FBA7A-9942-4E04-93E8-E9472ECEFB09}" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe | 

"{FFE802C9-B147-4651-9BE1-5B48A6CDC045}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe | 

"TCP Query User{0716EC40-B878-4E6D-90A4-C5840F57CCA1}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | 

"TCP Query User{7523C89B-EFB5-435B-94F8-267E80C5A3C0}C:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe | 

"TCP Query User{7689F0C6-53FE-4A27-9572-0CB15CD6AF11}C:\users\******\desktop\blobby\volley.exe" = protocol=6 | dir=in | app=c:\users\******\desktop\blobby\volley.exe | 

"TCP Query User{9BCA7D6E-8992-4DF8-B2F8-EF4B00B644C8}C:\program files\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files\icq6.5\icq.exe | 

"TCP Query User{B1AC0F94-22DC-42DC-9944-AF407B352D30}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe | 

"TCP Query User{F974FD43-0C41-4ECF-AE47-69C666677807}C:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe" = protocol=6 | dir=in | app=c:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe | 

"UDP Query User{0FB75494-D692-4367-8A9D-911942001F6D}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe | 

"UDP Query User{10AF0165-39EF-43A7-997E-9C0E62A006DB}C:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe | 

"UDP Query User{31B3097D-14A4-426C-8B71-B96152A4C5CF}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | 

"UDP Query User{3E4142BB-51D6-4A84-93D1-1C8901C151B9}C:\program files\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files\icq6.5\icq.exe | 

"UDP Query User{7370B6A1-9982-4F0C-B216-DFF3471E77EB}C:\users\******\desktop\blobby\volley.exe" = protocol=17 | dir=in | app=c:\users\******\desktop\blobby\volley.exe | 

"UDP Query User{C9F6FA64-7BEA-470D-8C8E-0EAB5D999995}C:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe" = protocol=17 | dir=in | app=c:\program files\terratec\terratec home cinema\versioncheck\versioncheck.exe | 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{004C5DA2-2051-4D25-94BA-51CF810C91EB}" = LightScribe System Software  1.12.37.1

"{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung

"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)

"{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = WIDCOMM Bluetooth Software 6.0.1.6300

"{04544A99-5AB1-4B2C-81E9-3957CF6E8AA6}" = 2ГИС 3.5.5.1

"{04983D37-2202-4295-94A2-8B547C66133F}" = Atheros WLAN Client

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)

"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III

"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink DVD Suite

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22

"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer

"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor

"{36BEAD11-8577-49AD-9250-E06A50AE87B0}" = Microsoft SOAP Toolkit 2.0 SP2

"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile

"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go

"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007

"{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0

"{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies

"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client

"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml

"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5

"{628ED0F8-590B-49CF-A525-A1696BD79304}" = Cisco AnyConnect Secure Mobility Client

"{63B9BAB5-F36A-4A3B-9E5C-68A7F212BFB9}" = TerraTec Home Cinema

"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites

"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD

"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus

"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager

"{71A51B09-E7D3-11DB-A386-005056C00008}" = Vimicro UVC Camera

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP

"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera

"{822D1183-2743-4E11-9FCB-F7F50C30352C}" = Данные 2ГИС г.Москва 01.03.2012

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007

"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007

"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007

"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007

"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007

"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007

"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007

"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007

"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007

"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007

"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007

"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007

"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage

"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager

"{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components

"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007

"{93D34EE3-99B3-4DB1-8B0A-0A657466F90D}" = USB-ìîäåì «Áèëàéí»

"{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A0EB195B-5876-48E6-879D-33D4B2102610}" = SonicStage 3.4

"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components

"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.5 - Deutsch

"{AC76BA86-7AD7-1031-7B44-A81300000003}_814" = KB408682

"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer

"{BA5F3E0E-8F3E-47BD-88E4-AD3EB5225F51}" = Intel(R) PROSet/Wireless WiFi-Software

"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide

"{C3CF41F1-0373-4DD7-BE99-F33B00E51031}" = Nero 7 Essentials

"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = LabelPrint

"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{CFB17307-B244-4EAD-AE8E-CDAF440477C2}" = OpenMG Secure Module 4.4.00

"{DFB5612F-AF7E-4CB3-00AB-3C0CD2520B29}" = FUSSBALL MANAGER 06

"{E1C734D8-6F64-4771-B2BB-86D65A42FEC7}" = Данные 2ГИС г.Томск 01.03.2012

"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9

"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"7-Zip" = 7-Zip 9.20

"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"Agere Systems Soft Modem" = Agere Systems HDA Modem

"Avira AntiVir Desktop" = Avira Free Antivirus

"Business Contact Manager für Outlook 2007" = Business Contact Manager für Outlook 2007

"Cisco AnyConnect Secure Mobility Client" = Cisco AnyConnect Secure Mobility Client 

"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 3.1

"Free YouTube Download_is1" = Free YouTube Download 2.2

"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.1

"InstallShield_{4EA8EA5D-8E46-4698-9BF7-2F2AD8E1C185}" = Easy Network Manager 3.0

"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus

"InstallShield_{955597D8-E5E1-474D-B647-60AC44566D24}" = Play AVStation

"InstallShield_{CFB17307-B244-4EAD-AE8E-CDAF440477C2}" = OpenMG Secure Module 4.4.00

"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile

"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"MSC" = McAfee SecurityCenter

"NVIDIA Drivers" = NVIDIA Drivers

"OpenMG HotFix4.4-05-12-06-01" = OpenMG Limited Patch 4.4-06-13-19-01

"PROHYBRIDR" = 2007 Microsoft Office system

"ProInst" = Intel PROSet Wireless

"SynTPDeinstKey" = Synaptics Pointing Device Driver

"Uninstall_is1" = Uninstall 1.0.0.1

"VLC media player" = VLC media player 1.1.11

"Warmux" = Warmux

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 30.11.2010 05:28:03 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 05:29:20 | Computer Name = ******Notebook | Source = Windows Search Service | ID = 3013

Description = 

 

Error - 30.11.2010 15:52:30 | Computer Name = ******Notebook | Source = WinMgmt | ID = 10

Description = 

 

[ Cisco AnyConnect Secure Mobility Client Events ]

Error - 07.03.2013 08:54:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108865

Description = Function: CPhoneHomeAgent::InitPhoneHomeAgent File: ..\PhoneHomeAgent.cpp

Line:

 532 Illegal last reported time, using default value (0)

 

Error - 07.03.2013 08:54:27 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108866

Description = Function: CThread::invokeRun File: .\Utility\Thread.cpp Line: 435 Invoked

 Function: IRunnable::Run Return Code: -32112629 (0xFE16000B) Description: BROWSERPROXY_ERROR_NO_PROXY_FILE
 

 

Error - 07.03.2013 08:56:07 | Computer Name = ******Notebook | Source = acvpnui | ID = 67108866

Description = Function: MFDartBox::getDARTInstallDir File: .\MFDartBox.cpp Line: 328

Invoked

 Function: MsiEnumProductsExW Return Code: 259 (0x00000103) Description: Es sind keine

 Daten mehr verfügbar.   

 

Error - 07.03.2013 08:56:21 | Computer Name = ******Notebook | Source = acvpnui | ID = 67108865

Description = Function: ConnectMgr::activateConnectEvent File: .\ConnectMgr.cpp Line:

 1421 NULL object. Cannot establish a connection at this time.

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108865

Description = Function: CServicePluginMgr::GetSettings File: .\ServicePluginMgr.cpp

Line:

 274 m_pIServicePlugin is NULL

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108865

Description = Function: CServicePluginMgr::GetSettings File: .\ServicePluginMgr.cpp

Line:

 274 m_pIServicePlugin is NULL

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108865

Description = Function: CTelemetryPluginMgr::GetSettings File: .\TelemetryPluginMgr.cpp

Line:

 311 m_pITelemetryPlugin is NULL

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108866

Description = Function: CHttpSessionWinInet::HandleError File: .\Utility\HttpSession_wininet.cpp

Line:

 1050 Invoked Function: CHttpSessionWinInet::HandleError Return Code: 12007 (0x00002EE7)

Description:

 Der Servername oder die Serveradresse konnte nicht verarbeitet werden.   

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108866

Description = Function: CFileUploader::PostDataGetResponse File: ..\FileUploader.cpp

Line:

 407 Invoked Function: CFileUploader::SendHttpRequest Return Code: -29032423 (0xFE450019)

Description:

 HTTP_SESSION_ERROR_DNS_RESOLUTION 

 

Error - 07.03.2013 08:59:20 | Computer Name = ******Notebook | Source = acvpnagent | ID = 67108866

Description = Function: CPhoneHomeAgent::PostDataFile File: ..\PhoneHomeAgent.cpp

Line:

 1649 Invoked Function: CFileUploader::PostDataGetResponse Return Code: -29032423 

(0xFE450019) Description: HTTP_SESSION_ERROR_DNS_RESOLUTION Failed to post customer

 experence feedback data (C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility 

Client\CustomerExperienceFeedback\outbound\feedback_data1.cef)

 

[ System Events ]

Error - 07.03.2013 06:19:17 | Computer Name = ******Notebook | Source = Service Control Manager | ID = 7000

Description = 

 

Error - 07.03.2013 06:19:17 | Computer Name = ******Notebook | Source = Service Control Manager | ID = 7011

Description = 

 

Error - 07.03.2013 06:22:19 | Computer Name = ******Notebook | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001

Description = 

 

Error - 07.03.2013 06:34:27 | Computer Name = ******Notebook | Source = HTTP | ID = 15016

Description = 

 

Error - 07.03.2013 06:34:50 | Computer Name = ******Notebook | Source = Service Control Manager | ID = 7000

Description = 

 

Error - 07.03.2013 06:35:41 | Computer Name = ******Notebook | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001

Description = 

 

Error - 07.03.2013 08:53:33 | Computer Name = ******Notebook | Source = HTTP | ID = 15016

Description = 

 

Error - 07.03.2013 08:54:21 | Computer Name = ******Notebook | Source = Service Control Manager | ID = 7000

Description = 

 

Error - 07.03.2013 08:54:21 | Computer Name = ******Notebook | Source = Service Control Manager | ID = 7011

Description = 

 

Error - 07.03.2013 08:57:34 | Computer Name = ******Notebook | Source = Microsoft-Windows-LanguagePackSetup | ID = 1001

Description = 

 

 

< End of report >

Und noch Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.03.06.10
 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 8.0.6001.19088

****** :: ******NOTEBOOK [Administrator]
 

07.03.2013 11:44:00

mbam-log-2013-03-07 (11-44-00).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 360835

Laufzeit: 2 Stunde(n), 6 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 1

C:\Users\******\AppData\Roaming\Yckie\libnspr4.dll (Trojan.FakeMS) -> Löschen bei Neustart.
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\******\AppData\Roaming\Yckie\libnspr4.dll (Trojan.FakeMS) -> Löschen bei Neustart.
 

(Ende)

Danke!

Lesestoff:
Banking-Trojaner
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer,

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.

Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:

"Tracing" Schlüssel löschen
Winsock Einstellungen zurücksetzen
Proxy Einstellungen zurücksetzen
Internet Explorer Richtlinien zurücksetzen
Chrome Richtlinien zurücksetzen

Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind

Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo, hier die beiden Logdateien:

AdwCleaner:

Code:

# AdwCleaner v2.114 - Datei am 07/03/2013 um 23:56:43 erstellt

# Aktualisiert am 05/03/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)

# Benutzer : ****** - ******NOTEBOOK

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\******\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZG8BKACB\adwcleaner[1].exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.19088
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [656 octets] - [07/03/2013 23:56:43]
 

########## EOF - C:\AdwCleaner[S1].txt - [715 octets] ##########

ComboFix:

Code:

ComboFix 13-03-07.02 - ****** 08.03.2013   0:12.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.1900 [GMT 1:00]

ausgeführt von:: c:\users\******\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

 * Im Speicher befindliches AV aktiv.

.

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\Roaming

c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini

c:\users\******\Pictures\Documents\~WRL0032.tmp

c:\users\******\Pictures\Documents\~WRL0114.tmp

c:\users\******\Pictures\Documents\~WRL0243.tmp

c:\users\******\Pictures\Documents\~WRL0375.tmp

c:\users\******\Pictures\Documents\~WRL0465.tmp

c:\users\******\Pictures\Documents\~WRL0484.tmp

c:\users\******\Pictures\Documents\~WRL0531.tmp

c:\users\******\Pictures\Documents\~WRL0550.tmp

c:\users\******\Pictures\Documents\~WRL0735.tmp

c:\users\******\Pictures\Documents\~WRL0872.tmp

c:\users\******\Pictures\Documents\~WRL0914.tmp

c:\users\******\Pictures\Documents\~WRL0925.tmp

c:\users\******\Pictures\Documents\~WRL0966.tmp

c:\users\******\Pictures\Documents\~WRL0967.tmp

c:\users\******\Pictures\Documents\~WRL1063.tmp

c:\users\******\Pictures\Documents\~WRL1113.tmp

c:\users\******\Pictures\Documents\~WRL1129.tmp

c:\users\******\Pictures\Documents\~WRL1136.tmp

c:\users\******\Pictures\Documents\~WRL1194.tmp

c:\users\******\Pictures\Documents\~WRL1206.tmp

c:\users\******\Pictures\Documents\~WRL1214.tmp

c:\users\******\Pictures\Documents\~WRL1302.tmp

c:\users\******\Pictures\Documents\~WRL1472.tmp

c:\users\******\Pictures\Documents\~WRL1500.tmp

c:\users\******\Pictures\Documents\~WRL1534.tmp

c:\users\******\Pictures\Documents\~WRL1607.tmp

c:\users\******\Pictures\Documents\~WRL1670.tmp

c:\users\******\Pictures\Documents\~WRL1692.tmp

c:\users\******\Pictures\Documents\~WRL1723.tmp

c:\users\******\Pictures\Documents\~WRL1746.tmp

c:\users\******\Pictures\Documents\~WRL1776.tmp

c:\users\******\Pictures\Documents\~WRL1901.tmp

c:\users\******\Pictures\Documents\~WRL1933.tmp

c:\users\******\Pictures\Documents\~WRL1943.tmp

c:\users\******\Pictures\Documents\~WRL2029.tmp

c:\users\******\Pictures\Documents\~WRL2076.tmp

c:\users\******\Pictures\Documents\~WRL2175.tmp

c:\users\******\Pictures\Documents\~WRL2209.tmp

c:\users\******\Pictures\Documents\~WRL2223.tmp

c:\users\******\Pictures\Documents\~WRL2375.tmp

c:\users\******\Pictures\Documents\~WRL2404.tmp

c:\users\******\Pictures\Documents\~WRL2464.tmp

c:\users\******\Pictures\Documents\~WRL2497.tmp

c:\users\******\Pictures\Documents\~WRL2549.tmp

c:\users\******\Pictures\Documents\~WRL2698.tmp

c:\users\******\Pictures\Documents\~WRL2703.tmp

c:\users\******\Pictures\Documents\~WRL2751.tmp

c:\users\******\Pictures\Documents\~WRL2788.tmp

c:\users\******\Pictures\Documents\~WRL2851.tmp

c:\users\******\Pictures\Documents\~WRL3150.tmp

c:\users\******\Pictures\Documents\~WRL3233.tmp

c:\users\******\Pictures\Documents\~WRL3303.tmp

c:\users\******\Pictures\Documents\~WRL3306.tmp

c:\users\******\Pictures\Documents\~WRL3371.tmp

c:\users\******\Pictures\Documents\~WRL3455.tmp

c:\users\******\Pictures\Documents\~WRL3519.tmp

c:\users\******\Pictures\Documents\~WRL3549.tmp

c:\users\******\Pictures\Documents\~WRL3611.tmp

c:\users\******\Pictures\Documents\~WRL3700.tmp

c:\users\******\Pictures\Documents\~WRL3708.tmp

c:\users\******\Pictures\Documents\~WRL3757.tmp

c:\users\******\Pictures\Documents\~WRL3873.tmp

c:\users\******\Pictures\Documents\~WRL4001.tmp

c:\users\******\Pictures\Documents\~WRL4031.tmp

c:\users\******\Pictures\Documents\~WRL4041.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-07 bis 2013-03-07  ))))))))))))))))))))))))))))))

.

.

2013-03-07 23:20 . 2013-03-07 23:20        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-06 15:31 . 2013-02-19 02:58        6954968        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{6583FDCE-889B-47F9-95C0-8942930F24C8}\mpengine.dll

2013-03-06 15:31 . 2013-01-17 00:28        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-03-06 15:20 . 2013-03-07 12:57        --------        d-----w-        c:\users\******\AppData\Roaming\Yckie

2013-03-06 15:20 . 2013-03-06 15:21        --------        d-----w-        c:\users\******\AppData\Roaming\Feyz

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-14 15:49 . 2012-11-18 13:32        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-03-17 2289664]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

"amzuy.exe"="c:\users\******\AppData\Roaming\Yckie\amzuy.exe" [2012-08-03 491520]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]

"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"2Gis Update Notifier"="c:\program files\2gis\3.0\2GISTrayNotifier.exe" [2011-11-29 3764064]

"autodetect"="c:\windows\system32\SupportAppXL\AutoDect.exe" [2010-03-15 129872]

"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2012-08-03 685048]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-29 348664]

.

c:\users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

USB-ìîäåì Áèëàéí.lnk - c:\program files\USB-ìîäåì Áèëàéí\UIMain.exe [2011-9-24 564048]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [x]

R3 acsint;acsint;c:\windows\system32\DRIVERS\acsint.sys [x]

R3 acsmux;acsmux;c:\windows\system32\DRIVERS\acsmux.sys [x]

R3 AF9035BDA;Cinergy T-Stick service;c:\windows\system32\DRIVERS\AF9035BDA.sys [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-07-14 c:\windows\Tasks\McDefragTask.job

- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-12-22 12:32]

.

2011-06-30 c:\windows\Tasks\McQcTask.job

- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-12-22 12:32]

.

2013-03-07 c:\windows\Tasks\User_Feed_Synchronization-{4F69F177-6E9A-4F15-89ED-AC325E65EC36}.job

- c:\windows\system32\msfeedssync.exe [2011-06-20 04:32]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = www.modem.beeline.ru

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-08 00:21

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Zeit der Fertigstellung: 2013-03-08  00:24:30

ComboFix-quarantined-files.txt  2013-03-07 23:24

.

Vor Suchlauf: 11 Verzeichnis(se), 56.461.479.936 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 57.069.309.952 Bytes frei

.

- - End Of File - - FABC6D88CD7E399CD41C01FA4EC9702B

Danke für die Hilfe!

Bevor es weitergeht:

In deinem Autostart befindet sich ein Programm das so aussieht:

Zitat:

USB-ìîäåì Áèëàéí

Kannst du mir sagen was das sein soll?

Das Programm gehört zu einem Internet-USB-Stick, den ich nicht mehr benutze. Könnte ich deinstallieren, ist aber auf jeden Fall harmlos. Da sollten kyrillische Buchstaben stehen, deswegen diese Sonderzeichen.

Ja entferne es bitte.

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

Gehe in die Systemsteuerung und klicke auf Windows Defender.
Klicke Extras > Optionen.
Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
Bestätige und schliesse alle offenen Fenster.

Schritt 2:
deinstalliere McAfee SecurityCenter

Schritt 3:
Installiere Avast.

Lade dir den Scanner und installiere ihn nach dieser Anleitung.

Schritt 4:
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

Folder:: c:\users\******\AppData\Roaming\Yckie c:\users\******\AppData\Roaming\Feyz

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Hallo, hier das Log. Ich hoffe ich hab alles richtig gemacht.

Code:

ComboFix 13-03-07.03 - ****** 09.03.2013  14:04:54.2.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.1895 [GMT 1:00]

ausgeführt von:: c:\users\******\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\******\Desktop\CFScript.txt

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-09 bis 2013-03-09  ))))))))))))))))))))))))))))))

.

.

2013-03-09 13:11 . 2013-03-09 13:11        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-09 12:29 . 2013-03-06 23:33        765736        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2013-03-09 12:29 . 2013-03-06 23:33        62376        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2013-03-09 12:29 . 2013-03-06 23:33        49760        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2013-03-09 12:29 . 2013-03-06 23:33        49248        ----a-w-        c:\windows\system32\drivers\aswRvrt.sys

2013-03-09 12:29 . 2013-03-06 23:33        368176        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2013-03-09 12:29 . 2013-03-06 23:33        164736        ----a-w-        c:\windows\system32\drivers\aswVmm.sys

2013-03-09 12:29 . 2013-03-06 23:33        29816        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2013-03-09 12:29 . 2013-03-06 23:33        66336        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2013-03-09 12:29 . 2013-03-06 23:32        228600        ----a-w-        c:\windows\system32\aswBoot.exe

2013-03-09 12:28 . 2013-03-06 23:32        41664        ----a-w-        c:\windows\avastSS.scr

2013-03-09 12:28 . 2013-03-09 12:28        --------        d-----w-        c:\program files\AVAST Software

2013-03-09 12:25 . 2013-03-09 12:28        --------        d-----w-        c:\programdata\AVAST Software

2013-03-08 11:41 . 2013-02-19 02:58        6954968        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4082DFCE-06AE-4215-BF01-881E141B4E94}\mpengine.dll

2013-03-06 15:31 . 2013-01-17 00:28        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-03-06 15:20 . 2013-03-09 12:47        --------        d-----w-        c:\users\******\AppData\Roaming\Yckie

2013-03-06 15:20 . 2013-03-06 15:21        --------        d-----w-        c:\users\******\AppData\Roaming\Feyz

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-14 15:49 . 2012-11-18 13:32        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2013-03-06 23:32        121968        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-03-17 2289664]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"2Gis Update Notifier"="c:\program files\2gis\3.0\2GISTrayNotifier.exe" [2011-11-29 3764064]

"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2012-08-03 685048]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-29 348664]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]

.

c:\users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiSpywareOverride"=dword:00000001

.

R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [x]

R3 acsint;acsint;c:\windows\system32\DRIVERS\acsint.sys [x]

R3 acsmux;acsmux;c:\windows\system32\DRIVERS\acsmux.sys [x]

R3 AF9035BDA;Cinergy T-Stick service;c:\windows\system32\DRIVERS\AF9035BDA.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - ASWRVRT

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-09 c:\windows\Tasks\User_Feed_Synchronization-{4F69F177-6E9A-4F15-89ED-AC325E65EC36}.job

- c:\windows\system32\msfeedssync.exe [2011-06-20 04:32]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-09 14:12

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(3180)

c:\windows\system32\btmmhook.dll

.

Zeit der Fertigstellung: 2013-03-09  14:13:57

ComboFix-quarantined-files.txt  2013-03-09 13:13

ComboFix2.txt  2013-03-07 23:24

.

Vor Suchlauf: 14 Verzeichnis(se), 57.929.023.488 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 58.005.053.440 Bytes frei

.

- - End Of File - - BED1AD15F59A1463E6D3BB4264F62100

Nein, das war nicht richtig. Bitte wiederholen.

Nochmal ein Versuch. Aber ich befürchte, dass das gleiche Ergebnis ist. Was könnte ich denn falsch gemacht haben? Am WindowsDefender liegts nicht, oder (combifix hat sich auch nicht beschwert)? Der ließ sich über die Systemsteuerung nicht abschalten, da kam bei mehreren Versuchen (auch nach Neustart) eine Fehlermeldung, hab ihn dann über das Windows-Sicherheitszentrum in der Taskleiste ausgeschaltet.
Sonst hab ich alle Schritte der Reihe nach befolgt.

Code:

ComboFix 13-03-07.03 - ****** 09.03.2013  15:50:40.3.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.1588 [GMT 1:00]

ausgeführt von:: c:\users\******\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\******\Desktop\CFScript.txt

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-09 bis 2013-03-09  ))))))))))))))))))))))))))))))

.

.

2013-03-09 14:56 . 2013-03-09 14:56        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-09 12:29 . 2013-03-06 23:33        765736        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2013-03-09 12:29 . 2013-03-06 23:33        62376        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2013-03-09 12:29 . 2013-03-06 23:33        49760        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2013-03-09 12:29 . 2013-03-06 23:33        49248        ----a-w-        c:\windows\system32\drivers\aswRvrt.sys

2013-03-09 12:29 . 2013-03-06 23:33        368176        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2013-03-09 12:29 . 2013-03-06 23:33        164736        ----a-w-        c:\windows\system32\drivers\aswVmm.sys

2013-03-09 12:29 . 2013-03-06 23:33        29816        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2013-03-09 12:29 . 2013-03-06 23:33        66336        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2013-03-09 12:29 . 2013-03-06 23:32        228600        ----a-w-        c:\windows\system32\aswBoot.exe

2013-03-09 12:28 . 2013-03-06 23:32        41664        ----a-w-        c:\windows\avastSS.scr

2013-03-09 12:28 . 2013-03-09 12:28        --------        d-----w-        c:\program files\AVAST Software

2013-03-09 12:25 . 2013-03-09 12:28        --------        d-----w-        c:\programdata\AVAST Software

2013-03-08 11:41 . 2013-02-19 02:58        6954968        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4082DFCE-06AE-4215-BF01-881E141B4E94}\mpengine.dll

2013-03-06 15:31 . 2013-01-17 00:28        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-03-06 15:20 . 2013-03-09 12:47        --------        d-----w-        c:\users\******\AppData\Roaming\Yckie

2013-03-06 15:20 . 2013-03-06 15:21        --------        d-----w-        c:\users\******\AppData\Roaming\Feyz

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-14 15:49 . 2012-11-18 13:32        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2013-03-06 23:32        121968        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-03-17 2289664]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"2Gis Update Notifier"="c:\program files\2gis\3.0\2GISTrayNotifier.exe" [2011-11-29 3764064]

"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2012-08-03 685048]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-29 348664]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]

.

c:\users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiSpywareOverride"=dword:00000001

.

R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [x]

R3 acsint;acsint;c:\windows\system32\DRIVERS\acsint.sys [x]

R3 acsmux;acsmux;c:\windows\system32\DRIVERS\acsmux.sys [x]

R3 AF9035BDA;Cinergy T-Stick service;c:\windows\system32\DRIVERS\AF9035BDA.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - ASWRVRT

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-09 c:\windows\Tasks\User_Feed_Synchronization-{4F69F177-6E9A-4F15-89ED-AC325E65EC36}.job

- c:\windows\system32\msfeedssync.exe [2011-06-20 04:32]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-09 15:57

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(5468)

c:\windows\system32\btmmhook.dll

c:\windows\system32\ieframe.dll

.

Zeit der Fertigstellung: 2013-03-09  15:59:01

ComboFix-quarantined-files.txt  2013-03-09 14:58

ComboFix2.txt  2013-03-09 13:13

ComboFix3.txt  2013-03-07 23:24

.

Vor Suchlauf: 14 Verzeichnis(se), 57.980.428.288 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 58.003.054.592 Bytes frei

.

- - End Of File - - F0803D035F6A70F01F2469D78A727EFA

Du hast mein Skript einfach nicht korrekt umgesetzt. Vermutlich nicht den Benutzernamen ersetzt.

Allerdings, das war blöd von mir. Jetzt müsste es geklappt haben.

Code:

ComboFix 13-03-09.01 - ****** 09.03.2013  19:21:12.4.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.1880 [GMT 1:00]

ausgeführt von:: c:\users\******\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\******\Desktop\CFScript.txt

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\******\AppData\Roaming\Feyz

c:\users\******\AppData\Roaming\Yckie

c:\users\******\AppData\Roaming\Yckie\libnspr4.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-09 bis 2013-03-09  ))))))))))))))))))))))))))))))

.

.

2013-03-09 18:29 . 2013-03-09 18:29        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-09 12:29 . 2013-03-06 23:33        765736        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2013-03-09 12:29 . 2013-03-06 23:33        62376        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2013-03-09 12:29 . 2013-03-06 23:33        49760        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2013-03-09 12:29 . 2013-03-06 23:33        49248        ----a-w-        c:\windows\system32\drivers\aswRvrt.sys

2013-03-09 12:29 . 2013-03-06 23:33        368176        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2013-03-09 12:29 . 2013-03-06 23:33        164736        ----a-w-        c:\windows\system32\drivers\aswVmm.sys

2013-03-09 12:29 . 2013-03-06 23:33        29816        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2013-03-09 12:29 . 2013-03-06 23:33        66336        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2013-03-09 12:29 . 2013-03-06 23:32        228600        ----a-w-        c:\windows\system32\aswBoot.exe

2013-03-09 12:28 . 2013-03-06 23:32        41664        ----a-w-        c:\windows\avastSS.scr

2013-03-09 12:28 . 2013-03-09 12:28        --------        d-----w-        c:\program files\AVAST Software

2013-03-09 12:25 . 2013-03-09 12:28        --------        d-----w-        c:\programdata\AVAST Software

2013-03-08 11:41 . 2013-02-19 02:58        6954968        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4082DFCE-06AE-4215-BF01-881E141B4E94}\mpengine.dll

2013-03-06 15:31 . 2013-01-17 00:28        232336        ------w-        c:\windows\system32\MpSigStub.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-14 15:49 . 2012-11-18 13:32        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2013-03-06 23:32        121968        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-03-17 2289664]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"2Gis Update Notifier"="c:\program files\2gis\3.0\2GISTrayNotifier.exe" [2011-11-29 3764064]

"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\program files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2012-08-03 685048]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-09-29 348664]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]

.

c:\users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiSpywareOverride"=dword:00000001

.

R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [x]

R3 acsint;acsint;c:\windows\system32\DRIVERS\acsint.sys [x]

R3 acsmux;acsmux;c:\windows\system32\DRIVERS\acsmux.sys [x]

R3 AF9035BDA;Cinergy T-Stick service;c:\windows\system32\DRIVERS\AF9035BDA.sys [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 08:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-09 c:\windows\Tasks\User_Feed_Synchronization-{4F69F177-6E9A-4F15-89ED-AC325E65EC36}.job

- c:\windows\system32\msfeedssync.exe [2011-06-20 04:32]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-09 19:29

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-03-09  19:30:59

ComboFix-quarantined-files.txt  2013-03-09 18:30

ComboFix2.txt  2013-03-09 14:59

ComboFix3.txt  2013-03-09 13:13

ComboFix4.txt  2013-03-07 23:24

.

Vor Suchlauf: 14 Verzeichnis(se), 57.743.192.064 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 57.797.349.376 Bytes frei

.

- - End Of File - - 1E3E7D25F9C64D03B234F86B666AD5AC

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.

Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner

Lade und starte Eset Online Scanner

Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Alternativer Link: SecurityCheck Download

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist