Panda Virus

Coldpep · 22.04.2012, 16:53

Hallo,
ich hab da vor kurzem eine sehr merkwürdige Datei in meinen Windows 7 Startprogrammen gefunden. Auffällig war es wegen seinen Namen 'UpdateChecker.exe' also hab ichs bei Virustotal hochgeladen und es stellte sich raus das der Virus sauber ist. Netzwerkaktivitäten der Datei konnte ich bisher nicht feststellen allerdings das sobald ich den Eintrag für den Autostart entferne er sich sofort neu generiert und die Datei an nem anderen Ort z.B. '%AppData%/ICQ/UpdateChecker.exe' wobei ich nichtmal ICQ habe und nie hatte oder mit anderen namen wie '%AppData%/google/UpdateChecker.exe' oder was auch immer aber immer im %AppData% Ordner kopiert. Außerdem wenn ich die Eigenschaften der Datei sehe da steht:
Produktname: Panda Retail
Copyright: Panda 2009
:-D?

Ich würde Windows nur ungern neu installieren oder eine Systemwiederherstellung durchführen also frage ich hier nach einen Rat.
Ich bitte alle Leser dieses Themas darum das werben für Linux zu unterlassen.

Also falls jemand einen Rat oder ein Tool z.B. was mir anzeigt welches Programm wann und wie auf die Registry/den Ordner zugreift für mich hat würde ich mich sehr freuen :-).

PS: Heute 2 Tage nach dem ersten Scannen sagt novirusthanks.org, dass Comodo die Datei als TrojWare.Win32.Trojan.Agent.Gen erkennt!

cosinus · 22.04.2012, 20:25

Zitat:

Ich bitte alle Leser dieses Themas darum das werben für Linux zu unterlassen.

Was soll bitte die Aussage? Zusammenhang?

Zitat:

dass Comodo die Datei als TrojWare.Win32.Trojan.Agent.Gen erkennt!

Man benötigt die Logs und keine halben Angaben

Coldpep · 22.04.2012, 21:44

Logs? Meinst du von Hijack This? Ich hab eigentlich gedacht das ihr so viele davon habt das es euch langweilt aber klar danke für die Info :-)

Die Sache mit Linux ist die, ständig wenn ich jemanden etwas über Windows frage wird mir empfohlen Linux zu installieren dabei hab ich das ja bereits installiert nur verwenden tue ich es selten für spezielle Fälle. Wollte also nur drauf hinweisen das ich das bereits kenne und nicht umsteigen möchte!

Hier die Logs!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:29:25, on 22.04.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Hotspot Shield\bin\openvpntray.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
E:\Programme\Steam\steam.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Tarzan\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.hotspotshield.com/g/?c=h
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=4.0007002"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll #####DAS IST OKEY SO!
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Upgrade] C:\Users\Tarzan\AppData\Roaming\ICQ\{3BF321AC-ECD9-400F-B469-EFB2ECB14A89}\Upgrade.exe #####DAS IST DER KAK VIRUS >.<!!!
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')   #####DAS WILL ICH NED WIE MACH ICH WEG?!
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')   #####EBENFALLS WEG!
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: No-IP DUC.lnk = C:\Program Files (x86)\No-IP\DUC30.exe
O4 - Startup: SystemExplorerDisabled
O4 - Global Startup: AML Device Install.lnk = C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe
O4 - Global Startup: SystemExplorerDisabled
O17 - HKLM\System\CCS\Services\Tcpip\..\{65B34A4F-C24A-4A88-A5E6-E9E58398A5FC}: NameServer = 10.36.96.1           #####BITTE IGNORIEREN FALLS MICH DAS HACKBAR MACHT!!!
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll
O18 - Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe
O23 - Service: Hotspot Shield Service (hshld) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe   #####DAS IST OKEY SO!
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) #####FILE MISSING o0???
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) #####DAS SOLL AUCH WEG WENN ES ÜBERHAUPT DA IST!!!

--
End of file - 7340 bytes

Noch paar kleine Infos!

OS Name Microsoft Windows 7 Ultimate
OS Kerneltyp Multiprocessor Free (64-bit)
OS Version 6.1.7601
OS Service Pack Service Pack 1

Ich fände es n1 wenn sich das jemand anguckt und mir hilft rauszufinden was genau hinter dem UpdateChecker.exe steckt!

Legende: n1 = nice

PS: ist die Logfile okey so? ich meine da sind verdammt viel weniger prozesse als im taskmanager! ich habs als admin gestartet!

Ehmm ich hab gerade rausgefunden, dass ihr keine Logs von HijackThis mögt weil sie zu wenig Informationen zeigen! Leider kenne ich kein anderes Tool womit ich solche oder ähnliche Logs erstellen kann und im Board hab ich auch noch nichts dazu gefunden.

Zum Problem: Selbst wenn ich Windows 7 im abgesicherten Modus boote ist der Virus aktiv :/.
Hoffe es wird dennoch möglich ihn zu entfernen ohne Neuinstallation o.ä.

cosinus · 23.04.2012, 08:13

Zitat:

Logs? Meinst du von Hijack This?

Nein. Guck mal was in meiner Signatur steht

Zitat:

Die Sache mit Linux ist die, ständig wenn ich jemanden etwas über Windows frage wird mir empfohlen Linux zu installieren dabei hab ich das ja bereits installiert nur verwenden tue ich es selten für spezielle Fälle. Wollte also nur drauf hinweisen das ich das bereits kenne und nicht umsteigen möchte!

Sowas ist ja nun auch Blödsinn, man kann natürlich nicht einfach pauschal Linux empfehlen, es gibt halt bestimmte Nutzungsprofile wo man mit Linux einfach nicht weiterkommt. Ich bin zwar auch ein Linux-Fan aber ich drücke es nicht jedem Windows-User bei jeder Gelegenheit aufs Auge.
Nur wenn ständig vom User auf Windows geschimpft wird, er es neu installieren muss/will sich aber vorher ein Windows kaufen müsste (was er natürlich nicht will), dann fällt auch mal ein Satz zum alternativen Betriebssystem wie zB Ubuntu, LinuxMint oder OpenSuse

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Coldpep · 23.04.2012, 17:52

Malewarebytes

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.23.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Tarzan :: TARZAN-PC [Administrator]

Schutz: Aktiviert

23.04.2012 18:01:14
mbam-log-2012-04-23 (18-01-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 307475
Laufzeit: 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=639744f50d5a9744b19f87d2cffc9682
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-23 04:37:09
# local_time=2012-04-23 06:37:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 3789 86823096 0 0
# compatibility_mode=8192 67108863 100 0 161 161 0 0
# scanned=161647
# found=9
# cleaned=0
# scan_time=5783
C:\Users\Tarzan\AppData\Local\Temp\jar_cache3697651584228352064.tmp	Java/Exploit.CVE-2012-0507.R trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#D1F0.tmp	a variant of Win32/Kryptik.ADRP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#E062.tmp	Win32/PSW.Delf.OBN trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#F1F0.tmp	a variant of Win32/Kryptik.ADRP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\Local\Temp\~!#FFC6.tmp	a variant of Win32/Kryptik.ADOT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\38f7fccf-6d0ab490	Java/Exploit.Agent.NAT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2d6580d1-2a48713e	Java/TrojanDownloader.Agent.AD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\54f3d472-4bbbb37b	Java/Exploit.Agent.NBC trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\441ff13c-62901014	Java/Exploit.Agent.NAW trojan (unable to clean)	00000000000000000000000000000000	I

Code:

ATTFilter

C:\Users\Tarzan\AppData\Local\Temp\jar_cache3697651584228352064.tmp	Java/Exploit.CVE-2012-0507.R trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#D1F0.tmp	a variant of Win32/Kryptik.ADRP trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#E062.tmp	Win32/PSW.Delf.OBN trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#F1F0.tmp	a variant of Win32/Kryptik.ADRP trojan
C:\Users\Tarzan\AppData\Local\Temp\~!#FFC6.tmp	a variant of Win32/Kryptik.ADOT trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\38f7fccf-6d0ab490	Java/Exploit.Agent.NAT trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2d6580d1-2a48713e	Java/TrojanDownloader.Agent.AD trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\54f3d472-4bbbb37b	Java/Exploit.Agent.NBC trojan
C:\Users\Tarzan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\441ff13c-62901014	Java/Exploit.Agent.NAW trojan

hätte ich Firefox auch als Admin starten müssen?

cosinus · 23.04.2012, 21:20

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Coldpep · 23.04.2012, 21:30

Nein Malewarebytes lief das erste mal seit der Windowsinstallation.
Ich hatte mal versucht mich selbst mit einem Java Exploit auf Firefox anzugreifen die ESET funde könnten daher stammen aber der UpdateChecker/Pandavirus wurde nicht gefunden :-(.

Wenn zum Beispiel die Datei explorer.exe manipuliert wurde besteht dann noch die Möglichkeit sie zu überschreiben oder reparieren oder hilft mir in diesem Fall nur noch eine Neuinstallation?

cosinus · 23.04.2012, 21:34

Man hat verschiedene Möglichkeiten eine manipulierte Systemdatei durch eine saubere/originale wieder zu ersetzen, aber da will ich jetzt nicht so tief drauf eingehen weil wir für sowas bei dir keine Hinweise haben

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Coldpep · 23.04.2012, 23:36

Zitat:

1.) Geht der normale Modus uneingeschränkt?

Ich hab bis auf die Datei und den Verweis in der Registry nichts von dem Virus gemerkt.

Zitat:

2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Leerer Ordner unter 'Alle Programme' ist nur einer 'EditPlus 2' was ich mal installiert und wieder deinstalliert hab. Ansonsten kann ich keine veränderungen im Startmenü feststellen bis auf die von mir durchgeführten.

EDIT: muss mich wegen vorhin berichtigen. Ich habe UpdateChecker geschrieben die Datei heißt UpgradeChecker.exe.
Ich hab mal ein Bild vom Icon drangehängt.

Hab paar neue Infos.
Die Datei wurde laut CCleaner bei mir bisher folgendermaßen erstellt.

Code:

ATTFilter

Ja	HKCU:Run	Upgrade	C:\Users\Tarzan\AppData\Roaming\Opera\{B0EF1955-EB4F-4B8F-B4E2-38917B8958BC}\Upgrade.exe
Nein	HKCU:Run	Upgrade	C:\Users\Tarzan\AppData\Roaming\Dropbox\{25528A03-9CC8-4A32-9C5B-46173D9C6C6C}\Upgrade.exe
Nein	HKCU:Run	UpgradeChecker	C:\Users\Tarzan\AppData\Roaming\Google Inc.\{C7B065AD-8325-4420-A088-7BC0CF67095A}\UpgradeChecker.exe
Nein	HKCU:Run	UpgradeHelper	C:\Users\Tarzan\AppData\Roaming\TeamViewer\{469DFBE8-AF33-4660-ACA0-C6DC73E6F8D7}\UpgradeHelper.exe
Nein	HKCU:Run	Validator	C:\Users\Tarzan\AppData\Roaming\TeamViewer\{1316FABA-4722-4FAB-B0E3-F4D5119A2362}\Validator.exe

Das Ja/Nein steht dafür ob es beim Systemstart starten soll oder nicht.
Wobei das warscheinlich nur eine Ablenkung ist denn der Virus startet ja auch im abgesicherten Modus! O.O

#######################################

Ich habe ein Interresantes Tool durch Google gefunden es heißt Process Monitor.

Damit konnte ich herausfinden welcher Prozess genau diese Datei erstellt O.O als erstes war es Steam.exe(ein standard Programm was ich täglich benutze) als ich dann Steam.exe beendet hab, den Autostart Eintrag erneut gelöscht hab wurde die Datei von DUC30.exe erstellt was auch ein von mir bekanntes und benutztes Programm ist o.o.

Irgendwo muss sich der Virus doch eingenistet haben, von wo aus er den Registryschlüssel kontrollieren kann.

Kennt jemand vielleicht eine effektive Möglichkeit herauszufinden von wo aus die Prozesse manipuliert oder vielleicht auch vorgetäuscht werden?

Ich bin für jede Hilfe dankbar.

cosinus · 24.04.2012, 12:17

Die UpgradeChecker hatte ich ich hier schonmal.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Coldpep · 24.04.2012, 13:34

Ich habe den Prozess 'DUC30.exe' eine zeit lang beobachtet er durchsucht ständig andere Prozesse wie z.B. notepad.exe, firefox, skype und so gut wie alle anderen nach folgendem Schema:
Offset 60, Lenght 2
Offset xx, Lenght 248

Wobei das 'xx' für meistens unterschiedliche Dezimalzahl steht.
Ich Denke, dass er sich von Prozess zu Prozess bzw. Datei zu Datei reinfrisst :/ wen das so ist bleibt mir wohl nichts anderes übritg als komplette Festplatte zu formatieren da ich nicht mal seinen bereits infizierten Ausmaß überprüfen kann :/

Cosinus kannst du mir möglicherweise sagen ob der Offset 60 irgendetwas mit dem PE Header zutun hat?

OLT LOG:

Code:

ATTFilter

OTL logfile created on: 24.04.2012 14:09:14 - Run 1
OTL by OldTimer - Version 3.2.41.0     Folder = C:\Users\Tarzan\Downloads
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,75 Gb Total Physical Memory | 2,60 Gb Available Physical Memory | 69,39% Memory free
7,50 Gb Paging File | 6,07 Gb Available in Paging File | 80,97% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 68,88 Gb Total Space | 28,73 Gb Free Space | 41,71% Space Free | Partition Type: NTFS
Drive D: | 58,62 Gb Total Space | 11,15 Gb Free Space | 19,02% Space Free | Partition Type: NTFS
Drive E: | 442,32 Gb Total Space | 332,75 Gb Free Space | 75,23% Space Free | Partition Type: NTFS
Drive G: | 137,11 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: TARZAN-PC | User Name: Tarzan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.04.24 14:04:14 | 000,594,944 | ---- | M] (OldTimer Tools) -- C:\Users\Tarzan\Downloads\OTL.exe
PRC - [2012.04.11 01:59:14 | 000,542,552 | ---- | M] () -- C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe
PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.04.02 20:46:58 | 000,329,544 | ---- | M] () -- C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe
PRC - [2012.03.13 14:18:42 | 000,075,136 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2012.02.21 20:38:42 | 002,630,800 | ---- | M] (Mister Group) -- E:\Programme\System Explorer\SystemExplorer.exe
PRC - [2011.11.15 20:26:48 | 000,363,336 | ---- | M] (AnchorFree Inc.) -- C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2012.03.17 12:46:16 | 000,235,520 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2012.02.14 23:16:40 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.04.20 09:33:00 | 000,489,256 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.04.14 19:48:20 | 000,253,088 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.04.11 02:06:10 | 000,077,520 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\Hotspot Shield\bin\HssTrayService.EXE -- (HssTrayService)
SRV - [2012.04.11 01:59:14 | 000,542,552 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Hotspot Shield\bin\openvpnas.exe -- (hshld)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.04.02 20:46:58 | 000,329,544 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe -- (HssWd)
SRV - [2012.03.13 14:18:42 | 000,075,136 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2012.01.31 16:09:34 | 000,158,856 | R--- | M] (Skype Technologies) [Disabled | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.12.09 15:39:52 | 000,135,584 | ---- | M] (Futuremark Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe -- (Futuremark SystemInfo Service)
SRV - [2011.11.15 20:26:48 | 000,363,336 | ---- | M] (AnchorFree Inc.) [Auto | Running] -- C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)
SRV - [2010.06.25 19:07:20 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\WinPcap\rpcapd.exe -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - [2010.03.18 14:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.12.07 14:49:24 | 000,040,960 | ---- | M] (Realtek) [Disabled | Stopped] -- C:\Program Files (x86)\REALTEK\RTL8187 Wireless LAN Utility\RtlService.exe -- (Realtek87B)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.04.04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2012.03.18 15:58:41 | 000,314,016 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)
DRV:64bit: - [2012.03.18 15:58:40 | 000,043,680 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt)
DRV:64bit: - [2012.03.17 12:47:47 | 010,856,960 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2012.03.17 12:47:47 | 010,856,960 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2012.03.17 12:44:41 | 000,327,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2012.02.18 03:00:52 | 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV:64bit: - [2012.01.05 01:01:58 | 000,056,832 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HssDrv.sys -- (HssDrv)
DRV:64bit: - [2012.01.05 01:01:54 | 000,037,888 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\taphss.sys -- (taphss)
DRV:64bit: - [2011.12.19 14:45:22 | 000,146,736 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)
DRV:64bit: - [2011.06.10 08:34:52 | 000,539,240 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010.10.13 13:10:22 | 000,039,472 | ---- | M] (HHD Software Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\hhdspmc64.sys -- (hhdspmc64)
DRV:64bit: - [2010.06.25 19:07:26 | 000,035,344 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\npf.sys -- (NPF)
DRV:64bit: - [2010.02.18 10:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64)
DRV:64bit: - [2010.01.07 12:20:22 | 000,448,512 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\rtl8187.sys -- (RTL8187)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2008.12.26 13:56:04 | 000,021,504 | ---- | M] (Avnex) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\vcsvad.sys -- (VCSVADHWSer) Avnex Virtual Audio Device (WDM)
DRV:64bit: - [2007.08.08 18:54:12 | 000,035,624 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ATITool64.sys -- (ATITool)
DRV:64bit: - [2007.04.23 14:15:48 | 000,031,016 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\RtlProt.sys -- (RtlProt)
DRV:64bit: - [2006.09.30 11:36:14 | 000,013,008 | ---- | M] () [Kernel | System | Running] -- C:\Windows\SysNative\drivers\pstrip64.sys -- (PStrip64)
DRV - [2012.04.06 20:41:46 | 000,031,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Users\Tarzan\AppData\Local\Temp\GPUTool.sys -- (GPUTool)
DRV - [2012.01.03 23:22:54 | 000,055,936 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Stopped] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.1)
DRV - [2012.01.03 23:22:54 | 000,055,936 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
DRV - [1998.05.07 01:00:00 | 000,000,111 | ---- | M] () [Adapter | On_Demand | Unknown] -- C:\Windows\SysWow64\WINSOCK.SRG -- (Winsock)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=4.0007002"
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=4.0007002"
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.hotspotshield.com/g/?c=h
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 56 D9 86 5D C3 EF CC 01  [binary data]
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
IE - HKCU\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = http://search.hotspotshield.com/g/results.php?c=s&q={searchTerms}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=4.0007002"
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Hotspot Shield Private Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "google.com"
FF - prefs.js..keyword.URL: "http://search.hotspotshield.com/g/results.php?c=s&q="
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_233.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Nightly 14.0a1\extensions\\Components: C:\PROGRAM FILES\NIGHTLY\COMPONENTS [2012.04.24 00:24:55 | 000,000,000 | ---D | M]
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Nightly 14.0a1\extensions\\Plugins: C:\PROGRAM FILES\NIGHTLY\PLUGINS
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.04.11 01:53:41 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
 
[2012.02.11 11:08:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tarzan\AppData\Roaming\mozilla\Extensions
[2012.04.11 19:19:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tarzan\AppData\Roaming\mozilla\Firefox\Profiles\e9ltzz4r.default\extensions
[2012.03.29 23:49:30 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Tarzan\AppData\Roaming\mozilla\Firefox\Profiles\e9ltzz4r.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.03.01 04:27:28 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Users\Tarzan\AppData\Roaming\mozilla\Firefox\Profiles\e9ltzz4r.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2012.03.16 17:58:51 | 000,001,635 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\Mozilla\Firefox\Profiles\e9ltzz4r.default\searchplugins\firefox-add-ons.xml
[2012.03.04 01:50:06 | 000,003,930 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\Mozilla\Firefox\Profiles\e9ltzz4r.default\searchplugins\sweetim.xml
[2012.04.11 19:23:31 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.04.11 19:23:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
[2012.03.15 06:32:18 | 000,000,000 | ---D | M] (Hotspot Shield Helper (Please allow this installation)) -- C:\Program Files (x86)\mozilla firefox\extensions\afurladvisor@anchorfree.com
() (No name found) -- C:\USERS\TARZAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E9LTZZ4R.DEFAULT\EXTENSIONS\{C666C018-6409-4479-AFA3-68E4129E7EFF}.XPI
() (No name found) -- C:\USERS\TARZAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E9LTZZ4R.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\USERS\TARZAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E9LTZZ4R.DEFAULT\EXTENSIONS\FIREBUG@SOFTWARE.JOEHEWITT.COM.XPI
() (No name found) -- C:\USERS\TARZAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\E9LTZZ4R.DEFAULT\EXTENSIONS\FIRECOOKIE@JANODVARKO.CZ.XPI
[2012.04.11 01:53:41 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.02.16 12:42:53 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.01.05 01:02:04 | 000,001,847 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\privatesearch.xml
[2012.02.16 12:42:53 | 000,002,040 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\twitter.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (SteadyVideoBHO Class) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - C:\Programme\AMD\SteadyVideo\SteadyVideo.dll (Advanced Micro Devices)
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll (AnchorFree Inc.)
O2 - BHO: (SteadyVideoBHO Class) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - C:\Program Files (x86)\amd\SteadyVideo\SteadyVideo.dll (Advanced Micro Devices)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE.dll (AnchorFree Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKCU..\Run: [UpgradeHelper] C:\Users\Tarzan\AppData\Roaming\TeamViewer\{4729AE30-40E7-41D7-8953-36A5DB1F7D26}\UpgradeHelper.exe (WestByte)
O4 - Startup: C:\Users\Tarzan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemExplorerDisabled [2012.03.25 02:09:31 | 000,000,000 | -H-D | M]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.95.97.222 212.95.97.111
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{38F998B4-AA99-4536-B103-4319D06105A6}: DhcpNameServer = 212.95.97.222 212.95.97.111
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{65B34A4F-C24A-4A88-A5E6-E9E58398A5FC}: NameServer = 10.36.96.1
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\video/mp4 {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Programme\AMD\SteadyVideo\VideoMIMEFilter.dll (Advanced Micro Devices)
O18:64bit: - Protocol\Filter\video/x-flv {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Programme\AMD\SteadyVideo\VideoMIMEFilter.dll (Advanced Micro Devices)
O18 - Protocol\Filter\video/mp4 {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll (Advanced Micro Devices)
O18 - Protocol\Filter\video/x-flv {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\amd\SteadyVideo\VideoMIMEFilter.dll (Advanced Micro Devices)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (C:\Windows\SYSTEM32\RtlGina\RtlGina.DLL) -  File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O27:64bit: - HKLM IFEO\taskmgr.exe: Debugger - E:\Programme\System Explorer\SystemExplorer.exe (Mister Group)
O27 - HKLM IFEO\taskmgr.exe: Debugger - E:\Programme\System Explorer\SystemExplorer.exe (Mister Group)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.11.17 12:00:00 | 000,000,025 | R--- | M] () - G:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{44822385-594b-11e1-9a21-8c89a56a3eea}\Shell - "" = AutoRun
O33 - MountPoints2\{44822385-594b-11e1-9a21-8c89a56a3eea}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{4eec36d2-67be-11e1-bbce-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4eec36d2-67be-11e1-bbce-806e6f6e6963}\Shell\AutoRun\command - "" = G:\vpcd4.exe -- [2008.11.17 12:00:00 | 000,344,064 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
 
MsConfig:64bit - State: "services" - Reg Error: Key error.
MsConfig:64bit - State: "startup" - Reg Error: Key error.
 
SafeBootMin:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SafeBootMin:64bit: Base - Driver Group
SafeBootMin:64bit: Boot Bus Extender - Driver Group
SafeBootMin:64bit: Boot file system - Driver Group
SafeBootMin:64bit: File system - Driver Group
SafeBootMin:64bit: Filter - Driver Group
SafeBootMin:64bit: HelpSvc - Service
SafeBootMin:64bit: PCI Configuration - Driver Group
SafeBootMin:64bit: PNP Filter - Driver Group
SafeBootMin:64bit: Primary disk - Driver Group
SafeBootMin:64bit: sacsvr - Service
SafeBootMin:64bit: SCSI Class - Driver Group
SafeBootMin:64bit: System Bus Extender - Driver Group
SafeBootMin:64bit: vmms - Service
SafeBootMin:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vmms - Service
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet:64bit: AppMgmt - C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SafeBootNet:64bit: Base - Driver Group
SafeBootNet:64bit: Boot Bus Extender - Driver Group
SafeBootNet:64bit: Boot file system - Driver Group
SafeBootNet:64bit: File system - Driver Group
SafeBootNet:64bit: Filter - Driver Group
SafeBootNet:64bit: HelpSvc - Service
SafeBootNet:64bit: Messenger - Service
SafeBootNet:64bit: NDIS Wrapper - Driver Group
SafeBootNet:64bit: NetBIOSGroup - Driver Group
SafeBootNet:64bit: NetDDEGroup - Driver Group
SafeBootNet:64bit: Network - Driver Group
SafeBootNet:64bit: NetworkProvider - Driver Group
SafeBootNet:64bit: PCI Configuration - Driver Group
SafeBootNet:64bit: PNP Filter - Driver Group
SafeBootNet:64bit: PNP_TDI - Driver Group
SafeBootNet:64bit: Primary disk - Driver Group
SafeBootNet:64bit: rdsessmgr - Service
SafeBootNet:64bit: sacsvr - Service
SafeBootNet:64bit: SCSI Class - Driver Group
SafeBootNet:64bit: Streams Drivers - Driver Group
SafeBootNet:64bit: System Bus Extender - Driver Group
SafeBootNet:64bit: TDI - Driver Group
SafeBootNet:64bit: vmms - Service
SafeBootNet:64bit: WudfUsbccidDriver - Driver
SafeBootNet:64bit: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet:64bit: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet:64bit: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet:64bit: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet:64bit: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet:64bit: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet:64bit: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet:64bit: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet:64bit: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet:64bit: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet:64bit: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet:64bit: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet:64bit: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet:64bit: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet:64bit: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet:64bit: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet:64bit: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet:64bit: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet:64bit: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet:64bit: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet:64bit: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet:64bit: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vmms - Service
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX:64bit: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX:64bit: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX:64bit: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX:64bit: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX:64bit: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX:64bit: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX:64bit: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX:64bit: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX:64bit: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX:64bit: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX:64bit: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX:64bit: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX:64bit: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX:64bit: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX:64bit: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX:64bit: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX:64bit: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX:64bit: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX:64bit: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX:64bit: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX:64bit: {FEBEF00C-046D-438D-8A88-BF94A6C9E703} - .NET Framework
ActiveX:64bit: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX:64bit: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX:64bit: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles(x86)%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\SysWOW64\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4} - .NET Framework
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\SysWOW64\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\SysWOW64\rundll32.exe" "C:\Windows\SysWOW64\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32:64bit: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.l3acm - C:\Windows\SysWOW64\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: vidc.cvid - C:\Windows\SysWow64\iccvid.dll (Radius Inc.)
Drivers32: vidc.XVID - C:\Windows\SysWow64\xvidvfw.dll ()
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.24 13:46:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hex-Editor MX
[2012.04.24 13:46:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hex-Editor MX
[2012.04.24 13:20:05 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Local\SvchostViewer
[2012.04.24 12:38:55 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Google Inc
[2012.04.24 05:44:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SIW
[2012.04.24 05:44:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SIW
[2012.04.24 05:44:34 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\OpenCandy
[2012.04.23 16:58:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.04.23 16:56:51 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Malwarebytes
[2012.04.23 16:56:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.04.23 16:56:41 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.04.23 16:56:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.04.22 15:06:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Algodoo Phun Edition
[2012.04.21 01:19:32 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\ICQ
[2012.04.21 01:17:03 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Dropbox
[2012.04.21 01:09:28 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Windows Desktop Search
[2012.04.21 00:27:36 | 000,000,000 | ---D | C] -- C:\Windows\pss
[2012.04.21 00:27:36 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Opera
[2012.04.20 17:49:26 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Documents\Bewerbungen
[2012.04.14 20:34:28 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Sun
[2012.04.14 02:56:10 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Desktop\test
[2012.04.11 19:48:57 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Help
[2012.04.11 19:24:48 | 000,000,000 | ---D | C] -- C:\ProgramData\hssff
[2012.04.10 18:08:03 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Documents\SimCity Societies
[2012.04.10 18:08:03 | 000,000,000 | ---D | C] -- C:\ProgramData\SimCity Societies
[2012.04.10 17:59:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts
[2012.04.10 02:23:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SurfMusik 3.1
[2012.04.10 02:23:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SurfMusik 3.1
[2012.04.08 21:49:31 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NVIDIA Corporation
[2012.04.08 21:48:41 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Local\2K Games
[2012.04.08 21:47:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games
[2012.04.06 22:42:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Hotspot Shield
[2012.04.06 20:57:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PowerStrip
[2012.04.06 20:42:36 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MSI Afterburner
[2012.04.06 20:16:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ATITool
[2012.04.06 20:16:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ATITool
[2012.04.06 19:52:05 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Documents\Square Enix
[2012.04.06 19:50:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX - Eidos Interactive
[2012.04.04 11:42:20 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Desktop\mw2liberation
[2012.04.04 07:32:42 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.04.03 01:57:35 | 000,250,368 | ---- | C] (WestByte) -- C:\Users\Tarzan\Desktop\UpgradeChecker.exe
[2012.03.31 02:03:21 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Local\Vitalwerks
[2012.03.31 02:03:17 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\No-IP DUC
[2012.03.31 02:02:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\No-IP
[2012.03.30 20:12:29 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Desktop\Server
[2012.03.30 20:12:22 | 000,000,000 | ---D | C] -- C:\Users\Tarzan\Desktop\Client
[2012.03.27 11:41:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Network Stumbler
[2012.03.25 17:41:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\eSpeak
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.24 13:48:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.04.24 13:47:11 | 000,001,957 | ---- | M] () -- C:\Users\Tarzan\Desktop\Hex-Editor MX.lnk
[2012.04.24 10:27:38 | 000,001,894 | ---- | M] () -- C:\Users\Tarzan\Desktop\vbs.vbs
[2012.04.24 09:51:35 | 000,029,728 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.04.24 09:51:35 | 000,029,728 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.04.24 09:50:23 | 001,527,314 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.04.24 09:50:23 | 000,664,396 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.04.24 09:50:23 | 000,624,578 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.04.24 09:50:23 | 000,134,564 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.04.24 09:50:23 | 000,110,216 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.04.24 09:44:17 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.04.24 09:44:13 | 3019,251,712 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.24 05:44:34 | 000,000,937 | ---- | M] () -- C:\Users\Tarzan\Desktop\SIW.lnk
[2012.04.23 16:56:42 | 000,001,111 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.22 15:06:12 | 000,000,981 | ---- | M] () -- C:\Users\Public\Desktop\Phun.lnk
[2012.04.21 04:39:35 | 000,010,213 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.ini
[2012.04.21 00:42:59 | 000,010,233 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bak
[2012.04.21 00:37:06 | 000,010,233 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bk!
[2012.04.21 00:34:24 | 000,010,233 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bko
[2012.04.20 05:44:11 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\Desktop\UpgradeChecker.exe
[2012.04.10 02:23:37 | 000,000,977 | ---- | M] () -- C:\Users\Tarzan\Desktop\SurfMusik 3.1a.lnk
[2012.04.07 06:52:49 | 000,035,103 | ---- | M] () -- C:\Users\Tarzan\Desktop\empfänger2.jpg
[2012.04.06 20:58:14 | 000,000,063 | ---- | M] () -- C:\Windows\wininit.ini
[2012.04.06 20:58:09 | 000,000,943 | ---- | M] () -- C:\Users\Tarzan\Desktop\PowerStrip.lnk
[2012.04.06 02:05:19 | 000,025,600 | ---- | M] () -- C:\Windows\SysWow64\mscomm32.oca
[2012.04.04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.03.29 18:46:53 | 000,240,128 | ---- | M] () -- C:\Windows\SysWow64\COMCTL32.oca
[2012.03.29 18:46:53 | 000,235,520 | ---- | M] () -- C:\Windows\SysWow64\wmp.oca
[2012.03.29 18:46:53 | 000,043,008 | ---- | M] () -- C:\Windows\SysWow64\TABCTL32.oca
[2012.03.29 18:46:53 | 000,018,944 | ---- | M] () -- C:\Windows\SysWow64\PICCLP32.oca
[2012.03.27 11:41:10 | 000,001,080 | ---- | M] () -- C:\Users\Tarzan\Desktop\Network Stumbler.lnk
[2012.03.25 14:44:32 | 000,022,016 | ---- | M] () -- C:\Windows\SysWow64\mswinsck.oca
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.04.24 13:47:11 | 000,001,957 | ---- | C] () -- C:\Users\Tarzan\Desktop\Hex-Editor MX.lnk
[2012.04.24 13:19:59 | 000,120,832 | ---- | C] () -- C:\Users\Tarzan\Desktop\Svchost Viewer.exe
[2012.04.24 05:44:34 | 000,000,937 | ---- | C] () -- C:\Users\Tarzan\Desktop\SIW.lnk
[2012.04.23 17:10:27 | 000,001,894 | ---- | C] () -- C:\Users\Tarzan\Desktop\vbs.vbs
[2012.04.23 16:56:42 | 000,001,111 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.22 15:06:12 | 000,000,981 | ---- | C] () -- C:\Users\Public\Desktop\Phun.lnk
[2012.04.21 00:32:54 | 000,002,049 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AML Device Install.lnk
[2012.04.10 02:23:37 | 000,006,114 | ---- | C] () -- C:\Windows\SysWow64\SHELLLNK.TLB
[2012.04.10 02:23:37 | 000,000,977 | ---- | C] () -- C:\Users\Tarzan\Desktop\SurfMusik 3.1a.lnk
[2012.04.10 00:34:07 | 000,001,042 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call Graph.lnk
[2012.04.08 11:07:42 | 000,010,233 | ---- | C] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bko
[2012.04.07 14:14:56 | 000,010,233 | ---- | C] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bk!
[2012.04.07 14:14:40 | 000,010,233 | ---- | C] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.bak
[2012.04.07 03:47:58 | 000,035,103 | ---- | C] () -- C:\Users\Tarzan\Desktop\empfänger2.jpg
[2012.04.06 21:00:02 | 000,010,213 | ---- | C] () -- C:\Users\Tarzan\AppData\Roaming\PStrip.ini
[2012.04.06 20:58:14 | 000,000,063 | ---- | C] () -- C:\Windows\wininit.ini
[2012.04.06 20:58:09 | 000,000,943 | ---- | C] () -- C:\Users\Tarzan\Desktop\PowerStrip.lnk
[2012.04.06 20:57:42 | 000,013,008 | ---- | C] () -- C:\Windows\SysNative\drivers\pstrip64.sys
[2012.04.06 20:42:41 | 000,110,592 | ---- | C] () -- C:\Windows\SysNative\rtvcvfw32.dll
[2012.04.04 07:31:06 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.03.29 18:46:53 | 000,240,128 | ---- | C] () -- C:\Windows\SysWow64\COMCTL32.oca
[2012.03.29 18:46:53 | 000,235,520 | ---- | C] () -- C:\Windows\SysWow64\wmp.oca
[2012.03.29 18:46:53 | 000,043,008 | ---- | C] () -- C:\Windows\SysWow64\TABCTL32.oca
[2012.03.29 18:46:53 | 000,018,944 | ---- | C] () -- C:\Windows\SysWow64\PICCLP32.oca
[2012.03.27 11:41:10 | 000,001,080 | ---- | C] () -- C:\Users\Tarzan\Desktop\Network Stumbler.lnk
[2012.03.17 12:47:06 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2012.03.17 12:45:56 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2012.03.13 14:18:43 | 000,234,768 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.03.13 14:18:42 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.03.13 06:09:44 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2012.02.18 17:55:55 | 000,000,000 | ---- | C] () -- C:\Users\Tarzan\AppData\Roaming\chrtmp
[2012.02.14 23:05:16 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll
[2012.02.13 14:21:13 | 000,006,550 | ---- | C] () -- C:\Windows\jautoexp.dat
[2012.02.12 11:47:09 | 000,000,017 | ---- | C] () -- C:\Users\Tarzan\AppData\Local\resmon.resmoncfg
[2012.02.11 13:51:30 | 000,451,072 | ---- | C] () -- C:\Windows\SysWow64\ISSRemoveSP.exe
[2012.02.11 12:46:42 | 001,526,730 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.02.11 10:33:05 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.01.31 07:00:24 | 000,016,896 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll
[2011.12.05 07:16:48 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\MPMapTrace.dll
[2011.12.05 06:39:12 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\mpPathan.dll
[2011.03.28 05:50:18 | 000,240,640 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2011.03.28 05:49:42 | 000,649,728 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2010.06.25 19:03:12 | 000,053,299 | ---- | C] () -- C:\Windows\SysWow64\pthreadVC.dll
 
========== LOP Check ==========
 
[2012.03.09 01:03:17 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\.mplab_ide
[2012.03.19 00:06:14 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Avanquest
[2012.03.17 22:26:18 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Avnex
[2012.04.13 07:14:30 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Azureus
[2012.03.04 03:06:27 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\DAEMON Tools Lite
[2012.03.06 21:13:13 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\DeepBurner
[2012.02.26 04:51:26 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Dev-Cpp
[2012.04.21 01:17:03 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Dropbox
[2012.03.17 10:36:00 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Evaer
[2012.04.21 01:19:33 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\ICQ
[2012.04.19 07:12:21 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Microchip
[2012.04.24 05:44:34 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\OpenCandy
[2012.02.25 15:07:34 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\OpenOffice.org
[2012.04.24 13:28:41 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Opera
[2012.03.18 16:08:07 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Prison Break
[2012.04.24 13:38:17 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\TeamViewer
[2012.02.11 11:26:27 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Teeworlds
[2012.03.24 05:52:02 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\TS3Client
[2012.03.21 23:54:08 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\ts3overlay
[2012.04.24 13:36:57 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Windows Desktop Search
[2012.02.12 15:55:53 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Wireshark
[2009.07.14 07:08:49 | 000,031,626 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.03.09 01:03:17 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\.mplab_ide
[2012.03.10 03:00:28 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Adobe
[2012.03.13 06:13:21 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\ATI
[2012.03.19 00:06:14 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Avanquest
[2012.03.17 22:26:18 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Avnex
[2012.04.13 07:14:30 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Azureus
[2012.03.04 03:06:27 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\DAEMON Tools Lite
[2012.03.06 21:13:13 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\DeepBurner
[2012.02.26 04:51:26 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Dev-Cpp
[2012.04.21 01:17:03 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Dropbox
[2012.03.17 10:36:00 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Evaer
[2012.04.24 13:27:36 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Google Inc
[2012.04.11 19:48:57 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Help
[2012.04.21 01:19:33 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\ICQ
[2012.04.24 13:02:47 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Identities
[2012.02.11 14:01:48 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Macromedia
[2012.04.23 16:56:51 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Malwarebytes
[2009.07.14 20:18:34 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Media Center Programs
[2012.04.19 07:12:21 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Microchip
[2012.04.24 13:22:35 | 000,000,000 | --SD | M] -- C:\Users\Tarzan\AppData\Roaming\Microsoft
[2012.03.08 19:33:11 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Mozilla
[2012.04.24 05:44:34 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\OpenCandy
[2012.02.25 15:07:34 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\OpenOffice.org
[2012.04.24 13:28:41 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Opera
[2012.03.18 16:08:07 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Prison Break
[2012.04.22 11:35:13 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Skype
[2012.04.24 13:31:13 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Sun
[2012.04.24 13:38:17 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\TeamViewer
[2012.02.11 11:26:27 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Teeworlds
[2012.03.24 05:52:02 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\TS3Client
[2012.03.21 23:54:08 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\ts3overlay
[2012.04.24 05:28:26 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\vlc
[2012.04.24 13:36:57 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Windows Desktop Search
[2012.02.11 11:13:13 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\WinRAR
[2012.02.12 15:55:53 | 000,000,000 | ---D | M] -- C:\Users\Tarzan\AppData\Roaming\Wireshark
 
< %APPDATA%\*.exe /s >
[2012.02.12 16:33:09 | 000,310,208 | ---- | M] (Georgia Institute of Technology) -- C:\Users\Tarzan\AppData\Roaming\Azureus\plugins\mlab\ShaperProbeC.exe
[2012.04.21 01:17:03 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Dropbox\{25528A03-9CC8-4A32-9C5B-46173D9C6C6C}\Upgrade.exe
[2012.04.24 12:38:55 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Google Inc\{3587EF53-7E22-4DC8-BAE3-7B772BBBA979}\UpgradeChecker.exe
[2012.04.24 13:27:36 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Google Inc\{FCE8F775-EEA8-48E0-9EFA-218431ED3E8E}\UpgradeChecker.exe
[2012.04.22 22:50:52 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\ICQ\{3BF321AC-ECD9-400F-B469-EFB2ECB14A89}\Upgrade.exe
[2012.04.21 00:57:09 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Identities\{0C9D37C8-CE81-4C76-B411-2EFC1002F0C9}\LicenseValidator.exe
[2012.04.21 00:05:29 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Identities\{99D45992-CAE4-440E-8198-2BF29EA1D571}\LicenseValidator.exe
[2012.04.24 12:37:19 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Identities\{B2EF9B90-9197-4264-AC0B-B44A03B0108F}\LicenseValidator.exe
[2012.04.24 13:02:47 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Identities\{DE418BC5-B532-4692-B473-0238939FD9F2}\LicenseValidator.exe
[2012.04.13 10:38:12 | 002,473,592 | ---- | M] (Sysinternals - www.sysinternals.com) -- C:\Users\Tarzan\AppData\Roaming\Identities\{DE418BC5-B532-4692-B473-0238939FD9F2}\Procmon.exe
[2012.03.17 12:57:43 | 000,010,134 | R--- | M] () -- C:\Users\Tarzan\AppData\Roaming\Microsoft\Installer\{DA2737A4-B639-96F4-1CC2-30D2919EE1FB}\ARPPRODUCTICON.exe
[2012.04.24 05:44:44 | 002,976,150 | ---- | M] () -- C:\Users\Tarzan\AppData\Roaming\OpenCandy\A697E2C874FD4EB0A5113119941FA503\AVG923_p1v3.exe
[2012.04.24 13:27:49 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Opera\{40A6B5D3-B48F-4D82-A768-0410C3F58188}\Upgrade.exe
[2012.04.21 01:15:32 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Skype\{F4222B5F-66DC-49FF-ADE3-00FA2B6968F5}\LicenseValidator.exe
[2012.04.21 00:27:55 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Sun\{03B295BF-CE50-45FF-82E9-46EE57C4E802}\Validator.exe
[2012.04.24 13:31:13 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Sun\{124DA82C-4A61-4694-9E57-9ED81D16369F}\Validator.exe
[2012.04.24 13:00:33 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Sun\{2C452BDC-E8E2-4BEF-9C45-29404F0243D2}\Validator.exe
[2012.04.21 01:09:09 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Sun\{557C2AF1-3860-46D1-A68D-B1C636030DDE}\Validator.exe
[2012.04.21 01:15:48 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{1316FABA-4722-4FAB-B0E3-F4D5119A2362}\Validator.exe
[2012.04.21 01:12:57 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{469DFBE8-AF33-4660-ACA0-C6DC73E6F8D7}\UpgradeHelper.exe
[2012.04.24 13:38:17 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{4729AE30-40E7-41D7-8953-36A5DB1F7D26}\UpgradeHelper.exe
[2012.04.24 12:38:02 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{67E2FC05-D0B8-4E07-9007-EC7DF6CED8AA}\UpgradeChecker.exe
[2012.04.24 13:23:40 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{948FD3F9-A132-414C-8FBE-08305151D558}\UpgradeChecker.exe
[2012.04.21 00:10:02 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{BC354061-6515-4C64-AFAF-42EF0CB8DC0F}\UpgradeChecker.exe
[2012.04.21 00:57:43 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\TeamViewer\{E7C3BE3C-E4EC-47F9-97AE-20B7BE2B9CDA}\UpgradeChecker.exe
[2012.04.21 01:09:28 | 000,250,368 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Windows Desktop Search\{3BBD7E3F-3902-42C9-A45A-041B5DAC2D92}\LicenseValidator.exe
[2012.04.24 13:36:57 | 000,250,720 | ---- | M] (WestByte) -- C:\Users\Tarzan\AppData\Roaming\Windows Desktop Search\{76EB246E-39F4-4146-A1FA-AFDD54DEAEF7}\LicenseValidator.exe
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\drivers\AGP440.sys
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\SysNative\DriverStore\FileRepository\machine.inf_amd64_neutral_a2f120466549d68b\AGP440.sys
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_1607dee2d861e021\AGP440.sys
[2009.07.14 03:52:21 | 000,061,008 | ---- | M] (Microsoft Corporation) MD5=608C14DBA7299D8CB6ED035A68A15799 -- C:\Windows\winsxs\amd64_machine.inf_31bf3856ad364e35_6.1.7601.17514_none_1838f2aad55063bb\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\drivers\atapi.sys
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\SysNative\DriverStore\FileRepository\mshdc.inf_amd64_neutral_aad30bdeec04ea5e\atapi.sys
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys
[2009.07.14 03:52:21 | 000,024,128 | ---- | M] (Microsoft Corporation) MD5=02062C0B390B7729EDC9E69C680A6F3C -- C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7601.17514_none_3b5e2d89382958dd\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\SysWOW64\cngaudit.dll
[2009.07.14 03:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll
[2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\SysNative\cngaudit.dll
[2009.07.14 03:40:20 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=86FE1B1F8FD42CD0DB641AB1CDB13093 -- C:\Windows\winsxs\amd64_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_4458dccc49458461\cngaudit.dll
 
< MD5 for: IASTORV.SYS  >
[2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_668286aa35d55928\iaStorV.sys
[2010.11.20 15:33:38 | 000,410,496 | ---- | M] (Intel Corporation) MD5=3DF4395A7CF8B7A72A5F4606366B8C2D -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17514_none_0d3757e79e6784d0\iaStorV.sys
[2011.03.11 08:19:16 | 000,410,496 | ---- | M] (Intel Corporation) MD5=5B3DE7208E5000D5B451B9D290D2579C -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.21680_none_0d714416b7c182d5\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\drivers\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\SysNative\DriverStore\FileRepository\iastorv.inf_amd64_neutral_0bcee2057afcc090\iaStorV.sys
[2011.03.11 08:41:26 | 000,410,496 | ---- | M] (Intel Corporation) MD5=AAAF44DB3BD0B9D1FB6969B23ECC8366 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7601.17577_none_0cf9793d9e95787b\iaStorV.sys
[2011.03.11 08:23:00 | 000,410,496 | ---- | M] (Intel Corporation) MD5=B75E45C564E944A2657167D197AB29DA -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iaStorV.sys
[2011.03.11 08:25:49 | 000,410,496 | ---- | M] (Intel Corporation) MD5=BFDC9D75698800CFE4D1698BF2750EA2 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.20921_none_0bccc8c8ba6985c1\iaStorV.sys
[2009.07.14 03:48:04 | 000,410,688 | ---- | M] (Intel Corporation) MD5=D83EFB6FD45DF9D55E9A1AFC63640D50 -- C:\Windows\winsxs\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2009.07.14 03:41:52 | 000,692,736 | ---- | M] (Microsoft Corporation) MD5=956D030D375F207B22FB111E06EF9C35 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_59aca8ea51aaeefe\netlogon.dll
[2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\SysNative\netlogon.dll
[2010.11.20 15:27:22 | 000,695,808 | ---- | M] (Microsoft Corporation) MD5=AA339DD8BB128EF66660DFBBB59043D3 -- C:\Windows\winsxs\amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_5bddbcb24e997298\netlogon.dll
[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\SysWOW64\netlogon.dll
[2010.11.20 14:20:28 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=C1809B9907ADEDAF16F50C894100883B -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.17514_none_6632670482fa3493\netlogon.dll
[2009.07.14 03:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_6401533c860bb0f9\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2009.07.14 03:45:45 | 000,167,488 | ---- | M] (NVIDIA Corporation) MD5=477DC4D6DEB99BE37084C9AC6D013DA1 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvstor.sys
[2011.03.11 08:23:06 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=6C1D5F70E7A6A3FD1C90D840EDC048B9 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16778_none_95dd8d30d8a4cfbe\nvstor.sys
[2011.03.11 08:25:53 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=AE274836BA56518E279087363A781214 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.20921_none_96963977f1a02f99\nvstor.sys
[2011.03.11 08:19:21 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=D23C7E8566DA2B8A7C0DBBB761D54888 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.21680_none_983ab4c5eef82cad\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\drivers\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_0276fc3b3ea60d41\nvstor.sys
[2011.03.11 08:41:34 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=DAB0E87525C10052BF65F06152F37E4A -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17577_none_97c2e9ecd5cc2253\nvstor.sys
[2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\SysNative\DriverStore\FileRepository\nvraid.inf_amd64_neutral_dd659ed032d28a14\nvstor.sys
[2010.11.20 15:33:48 | 000,166,272 | ---- | M] (NVIDIA Corporation) MD5=F7CD50FE7139F07E77DA8AC8033D1832 -- C:\Windows\winsxs\amd64_nvraid.inf_31bf3856ad364e35_6.1.7601.17514_none_9800c896d59e2ea8\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2009.07.14 03:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9e577e55272d37b4\scecli.dll
[2009.07.14 03:41:53 | 000,232,448 | ---- | M] (Microsoft Corporation) MD5=398712DDDAEFB85EDF61DF6A07B65C79 -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_9402d402f2cc75b9\scecli.dll
[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\SysWOW64\scecli.dll
[2010.11.20 14:21:04 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=8124944EC89D6A1815E4E53F5B96AAF4 -- C:\Windows\winsxs\wow64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_a088921d241bbb4e\scecli.dll
[2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\SysNative\scecli.dll
[2010.11.20 15:27:25 | 000,232,960 | ---- | M] (Microsoft Corporation) MD5=ED78427259134C63ED69804D2132B86C -- C:\Windows\winsxs\amd64_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7601.17514_none_9633e7caefbaf953\scecli.dll
 
< MD5 for: USER32.DLL  >
[2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll
[2010.11.20 14:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
[2009.07.14 03:41:56 | 001,008,640 | ---- | M] (Microsoft Corporation) MD5=72D7B3EA16946E8F0CF7458150031CC6 -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_292d5de8870d85d9\user32.dll
[2009.07.14 03:11:24 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=E8B0FFC209E504CB7E79FC24E6C085F0 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll
[2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\SysNative\user32.dll
[2010.11.20 15:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\SysWOW64\userinit.exe
[2010.11.20 14:17:48 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=61AC3EFDFACFDD3F0F11DD4FD4044223 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
[2009.07.14 03:39:48 | 000,030,208 | ---- | M] (Microsoft Corporation) MD5=6F8F1376A13114CC10C0E69274F5A4DE -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_381dabbceb60feb2\userinit.exe
[2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\SysNative\userinit.exe
[2010.11.20 15:25:24 | 000,030,720 | ---- | M] (Microsoft Corporation) MD5=BAFE84E637BF7388C96EF48D4D3FDD53 -- C:\Windows\winsxs\amd64_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_3a4ebf84e84f824c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\SysNative\wininit.exe
[2009.07.14 03:39:52 | 000,129,024 | ---- | M] (Microsoft Corporation) MD5=94355C28C1970635A31B3FE52EB7CEBA -- C:\Windows\winsxs\amd64_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_8ce7aa761e01ad49\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\SysWOW64\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\SysNative\winlogon.exe
[2010.11.20 15:25:30 | 000,390,656 | ---- | M] (Microsoft Corporation) MD5=1151B1BAA6F350B1DB6598E0FEA7C457 -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7601.17514_none_cde90685eb910636\winlogon.exe
[2009.07.14 03:39:52 | 000,389,120 | ---- | M] (Microsoft Corporation) MD5=132328DF455B0028F13BF0ABEE51A63A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_cbb7f2bdeea2829c\winlogon.exe
[2009.10.28 09:01:57 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=A93D41A4D4B0D91C072D11DD8AF266DE -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_cc522fd507b468f8\winlogon.exe
[2009.10.28 08:24:40 | 000,389,632 | ---- | M] (Microsoft Corporation) MD5=DA3E2A6FA9660CC75B471530CE88453A -- C:\Windows\winsxs\amd64_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_cbe534e7ee8042ad\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\SysNative\drivers\ws2ifsl.sys
[2009.07.14 02:10:33 | 000,021,504 | ---- | M] (Microsoft Corporation) MD5=6BCC1D7D2FD2453957C5479A32364E52 -- C:\Windows\winsxs\amd64_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_ab7b927be17eace8\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
<           >

< End of report >

cosinus · 24.04.2012, 13:44

Bevor du dir über offsets Gedenken machst und anfängst Gespenster zu sehen, solltest du mal den "Urheber" eines Prozesses erstmal rausfinden

Zitat:

O4 - Startup: No-IP DUC.lnk = C:\Program Files (x86)\No-IP\DUC30.exe

No-IP sagt dir mit Sicherhiet etwas

Coldpep · 24.04.2012, 14:02

Wie ich bereits beschrieben hab hat ursprünglich Steam.exe den Virus wieder ersrellt wenn ich ihn von Autostart nahm als ich als ich es beendete hat No-Ip damit angefangen.
Mir ist bekannt das No-Ip auf der Autostart ist weil ich keine Lust hab es jedes mal Manuel zu starten. Steam ist ebenfalls auf der Autostart Liste aber ich kann mir trotztdem nicht erklären, warum, wenn meine Theorie nicht stimmt No-Ip Prozesse wie notepad, Steam, Skype, firefox, etc, etc durchsuchen sollte?
Meiner Theorie nach würde No-Ip sowieso infiziert sein und Steam ebenfalls da ich aber Steam beendete hat der Service oder wo auch immer das hauptquartier ist eben einfach die Nächste infizierte Datei/Prozess aktiviert in diesem Fall No-IP Duc und No-Ip durchsucht nun andere Prozesse ob die bereits infiziert sind, falls nicht infiziert es das einfach.
Schließlich hat der Virus Adminrechte.

Warum sollte das hauptquartier nicht einfach selbst die dateien infizieren?
1. hätte ich es bereits gefunden
2. währe das irgendwie sinnlos!

kannst du mir denn was anderes vorschlagen ^^? also was ich tun/überprüfen könnte?

PS: die offsets die es durchsucht hat waren folgende:

Offset 60, Lenght 2
Offset xx, Lenght 248

248KB ist zufällig die exakte größe des UpgradeChecker.exe guck!

D

cosinus · 24.04.2012, 14:32

Ich glaube du siehst ja Gespenster bzw. versuchst durch Zufälligkeiten einen Zusammenhang herbeizureden

1.) lenght = 248 => woher weißt du in welcher Einheit das gegeben ist? Sind das Byte, KiloByte, KibiByte oder gar was Größeres?

2.) Woher willst du wissen, dass die 248 KB (ja das sind Kibibyte) wirklich was mit der Upgradechecker zu tun haben? Das ist mE nach reiner Zufall. Zudem hast du dir da die 248 kiB rausgesucht, die den Platz auf dem Datenträger wiederspiegeln, diesen Platz belegt die Datei auf der Platte, genauer gesagt im Dateisystem (hat was mit den Dateisystemblöcken (im MS-Jargon Dateisystemcluster) zu tun )

Die tatsächliche Größe der Upgradechecker.exe beträgt 250.368 Bytes!
Das sind haargenau 244,5 kiB oder 250,368 kB

Ich seh mir jetzt mal dein OTL-Log an

Coldpep · 24.04.2012, 14:42

Zitat:

2.) Woher willst du wissen, dass die 248 KB (ja das sind Kibibyte) wirklich was mit der Upgradechecker zu tun haben? Das ist mE nach reiner Zufall. Zudem hast du dir da die 248 kiB rausgesucht, die den Platz auf dem Datenträger wiederspiegeln, diesen Platz belegt die Datei auf der Platte, genauer gesagt im Dateisystem (hat was mit den Dateisystemblöcken (im MS-Jargon Dateisystemcluster) zu tun )

Ja das weiß ich! xD
Wollte nur deine Antworte drauf kennen! ^^

Zitat:

1.) lenght = 248 => woher weißt du in welcher Einheit das gegeben ist? Sind das Byte, KiloByte, KibiByte oder gar was Größeres?

Das werden Bytes sein.

Zitat:

Ich seh mir jetzt mal dein OTL-Log an

Ich danke Dir vielmals!

23.04.2012, 21:20	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Panda Virus Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. __________________ --> Panda Virus

Panda Virus

Plagegeister aller Art und deren Bekämpfung: Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Panda Virus

Ähnliche Themen: Panda Virus