Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner + Wasser (webcam?)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.07.2012, 10:36   #1
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



Guten Morgen,
Ich hab ihn mir wohl auch eingefangen.
Heute morgen behauptete mein Firefox, dass ich es nicht richtig geschlossen hätte und der Verlauf war bis zu einem gewissem Datum offensichtlich gelöscht. Ich weiß nicht, ob es damit zusammenhängt aber ich wollte es erwähnen.
Habe dann noch eine Weile surfen können und dann kam plötzlich das nette GVU-Fenster mit der Sperrung meines PCs (Text ist ja denke ich bekannt).
Habe den Tipp übernommen, dass es ohne Internet noch läuft und das stimmt. Hab ihn dann ohne Probleme nutzen können.
Anti-Vir hat nichts gefunden.
Wäre für schnelle HIlfe sehr dankbar, da ich dringend den PC mit Internet benötige.

defogger_disable
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 10:50 on 04/07/2012 (Rondreg)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCUAEMON Tools Pro Agent -> Removed

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
OTL
Zitat:
OTL logfile created on: 7/4/2012 11:09:14 AM - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\Rondreg\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.80 Gb Total Physical Memory | 2.22 Gb Available Physical Memory | 58.26% Memory free
7.60 Gb Paging File | 5.71 Gb Available in Paging File | 75.16% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 657.54 Gb Total Space | 504.03 Gb Free Space | 76.65% Space Free | Partition Type: NTFS
Drive D: | 38.00 Gb Total Space | 15.45 Gb Free Space | 40.66% Space Free | Partition Type: NTFS

Computer Name: RONDREGIAN | User Name: Rondreg | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012/07/04 10:44:32 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\Rondreg\Desktop\OTL.exe
PRC - [2012/05/08 19:26:02 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012/05/08 19:26:02 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2012/05/08 19:26:02 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2012/02/02 17:16:56 | 002,671,936 | ---- | M] (DT Soft Ltd) -- C:\Program Files (x86)\DAEMON Tools Pro\DTShellHlp.exe
PRC - [2011/08/12 07:45:18 | 002,433,024 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe
PRC - [2011/07/29 01:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
PRC - [2011/06/06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011/01/26 21:42:54 | 000,443,688 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe
PRC - [2010/12/24 09:26:00 | 001,997,416 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2010/12/24 04:48:02 | 000,378,984 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2010/12/20 21:31:16 | 000,113,288 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2010/12/16 01:23:02 | 000,207,400 | ---- | M] (Wistron) -- C:\Program Files (x86)\Launch Manager\HotkeyApp.exe
PRC - [2010/09/30 14:00:28 | 000,253,264 | ---- | M] () -- C:\Program Files (x86)\1&1 Surf-Stick\AssistantServices.exe
PRC - [2010/09/30 14:00:28 | 000,139,088 | ---- | M] () -- C:\Program Files (x86)\1&1 Surf-Stick\UIExec.exe
PRC - [2010/06/21 23:53:44 | 000,436,264 | ---- | M] (Wistron Corp.) -- C:\Program Files (x86)\Launch Manager\WButton.exe
PRC - [2010/03/04 06:16:06 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
PRC - [2009/12/12 01:18:16 | 000,348,960 | ---- | M] (Wistron Corp.) -- C:\Program Files (x86)\Launch Manager\OSD.exe
PRC - [2009/12/10 09:48:26 | 002,320,920 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
PRC - [2009/12/10 09:48:24 | 000,268,824 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
PRC - [2009/11/07 13:46:52 | 000,020,480 | ---- | M] (X10) -- C:\PROGRA~2\COMMON~1\X10\Common\x10nets.exe
PRC - [2009/11/03 00:21:26 | 000,103,720 | ---- | M] (CyberLink) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
PRC - [2009/10/23 03:05:40 | 000,118,560 | ---- | M] (Wistron Corp.) -- C:\Program Files (x86)\Launch Manager\WisLMSvc.exe
PRC - [2009/01/08 15:44:06 | 000,070,936 | ---- | M] (Octoshape ApS) -- C:\Users\Rondreg\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
PRC - [2007/07/24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe


========== Modules (No Company Name) ==========

MOD - [2012/07/04 10:13:23 | 000,178,336 | ---- | M] () -- C:\Users\Rondreg\AppData\Local\Temp\roper0dun.exe
MOD - [2011/08/12 07:45:26 | 000,198,144 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\plugins\iCalendarPlugin.dll
MOD - [2011/08/12 07:45:18 | 002,433,024 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe
MOD - [2011/07/29 01:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011/07/29 01:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
MOD - [2010/12/24 09:26:00 | 000,004,096 | ---- | M] () -- C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll
MOD - [2010/12/12 12:58:14 | 000,502,784 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxmsw28u_xrc_vc_rny.dll
MOD - [2010/12/12 12:58:00 | 000,131,584 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxbase28u_xml_vc_rny.dll
MOD - [2010/12/12 12:57:56 | 000,485,376 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxmsw28u_html_vc_rny.dll
MOD - [2010/12/12 12:57:44 | 000,707,584 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxmsw28u_adv_vc_rny.dll
MOD - [2010/12/12 12:57:36 | 002,633,216 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxmsw28u_core_vc_rny.dll
MOD - [2010/12/12 12:56:46 | 001,205,760 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\wxbase28u_vc_rny.dll
MOD - [2010/09/30 14:00:28 | 000,139,088 | ---- | M] () -- C:\Program Files (x86)\1&1 Surf-Stick\UIExec.exe
MOD - [2010/05/23 20:20:08 | 000,012,288 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\lfs.dll
MOD - [2010/05/23 20:20:04 | 000,126,976 | ---- | M] () -- C:\Program Files (x86)\Rainlendar2\lua51.dll
MOD - [2009/11/03 00:23:36 | 000,013,096 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvcPS.dll
MOD - [2009/11/03 00:20:10 | 000,619,816 | ---- | M] () -- C:\Program Files (x86)\CyberLink\Power2Go\CLMediaLibrary.dll


========== Win32 Services (SafeList) ==========

SRV:64bit: - [2010/09/23 04:10:10 | 000,057,184 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc)
SRV:64bit: - [2009/10/03 04:39:44 | 000,873,248 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV:64bit: - [2009/07/14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV:64bit: - [2007/02/23 12:28:24 | 000,566,192 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxcfcoms.exe -- (lxcf_device)
SRV - [2012/06/25 09:40:14 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/06/20 20:07:28 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/06/05 15:17:44 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/05/08 19:26:02 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/05/08 19:26:02 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/01/31 12:24:02 | 000,070,144 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\watchmi\TvdService.exe -- (watchmi)
SRV - [2011/06/06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2010/12/24 09:26:00 | 001,997,416 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2010/12/24 04:48:02 | 000,378,984 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2010/09/30 14:00:28 | 000,253,264 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\1&1 Surf-Stick\AssistantServices.exe -- (UI Assistant Service)
SRV - [2010/03/18 23:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010/03/04 06:16:06 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R)
SRV - [2009/12/10 09:48:26 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R)
SRV - [2009/12/10 09:48:24 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R)
SRV - [2009/11/07 13:46:52 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\PROGRA~2\COMMON~1\X10\Common\x10nets.exe -- (x10nets)
SRV - [2009/10/23 03:05:40 | 000,118,560 | ---- | M] (Wistron Corp.) [On_Demand | Running] -- C:\Program Files (x86)\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2009/06/10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2007/07/24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007/02/23 12:27:50 | 000,537,520 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWOW64\lxcfcoms.exe -- (lxcf_device)


========== Driver Services (SafeList) ==========

DRV:64bit: - [2012/05/08 19:26:02 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012/05/08 19:26:02 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012/03/01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2012/01/10 23:28:18 | 012,311,904 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx)
DRV:64bit: - [2011/10/11 15:00:01 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2011/03/11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011/03/11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010/12/24 09:26:00 | 000,025,960 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\nvpciflt.sys -- (nvpciflt)
DRV:64bit: - [2010/12/21 10:08:48 | 008,505,856 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NETwNs64.sys -- (NETwNs64) ___ Intel(R)
DRV:64bit: - [2010/12/20 21:31:18 | 000,181,248 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2010/12/20 21:31:16 | 000,080,384 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2010/11/20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010/11/20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010/10/29 06:07:44 | 000,031,088 | ---- | M] (CyberLink Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\clwvd.sys -- (clwvd)
DRV:64bit: - [2010/10/15 10:28:17 | 000,317,440 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\IntcDAud.sys -- (IntcDAud) Intel(R)
DRV:64bit: - [2010/09/23 23:03:06 | 000,129,008 | ---- | M] (CyberLink) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\wsvd.sys -- (wsvd)
DRV:64bit: - [2010/05/24 16:46:36 | 000,246,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV:64bit: - [2010/03/04 18:53:02 | 000,075,816 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\L1C62x64.sys -- (L1C)
DRV:64bit: - [2010/03/04 05:51:40 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor)
DRV:64bit: - [2010/02/27 01:32:12 | 000,158,976 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Impcd.sys -- (Impcd)
DRV:64bit: - [2009/12/10 20:25:10 | 000,301,104 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SynTP.sys -- (SynTP)
DRV:64bit: - [2009/10/29 19:28:24 | 000,119,680 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV:64bit: - [2009/10/29 19:28:24 | 000,119,680 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV:64bit: - [2009/10/29 19:28:24 | 000,119,680 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV:64bit: - [2009/10/29 19:28:24 | 000,011,776 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\massfilter.sys -- (massfilter)
DRV:64bit: - [2009/10/02 09:47:38 | 000,098,344 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\btwaudio.sys -- (btwaudio)
DRV:64bit: - [2009/09/18 05:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Intel(R)
DRV:64bit: - [2009/08/28 20:15:32 | 000,132,648 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\btwavdt.sys -- (btwavdt)
DRV:64bit: - [2009/08/28 20:15:26 | 000,021,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\btwrchid.sys -- (btwrchid)
DRV:64bit: - [2009/08/13 09:39:42 | 000,909,408 | ---- | M] (DiBcom SA) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\mod77-64.sys -- (mod7764)
DRV:64bit: - [2009/07/14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009/07/14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009/07/14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009/07/01 13:46:58 | 000,052,264 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\btusbflt.sys -- (btusbflt)
DRV:64bit: - [2009/06/10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009/06/10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009/06/10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009/06/10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009/05/13 22:47:44 | 000,032,792 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\x10ufx2.sys -- (XUIF)
DRV:64bit: - [2009/05/13 22:26:14 | 000,015,896 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\x10hid.sys -- (X10Hid)
DRV:64bit: - [2009/04/07 16:33:08 | 000,035,104 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\btwl2cap.sys -- (btwl2cap)
DRV - [2009/07/14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\..\SearchScopes,DefaultScope = {CDFC1E16-F469-4563-818B-F3067FD995F2}
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\..\SearchScopes\{CDFC1E16-F469-4563-818B-F3067FD995F2}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNC_enDE393
IE - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "https://freemailng0702.web.de/msg/checkmail.htm?user=Rondreg&goto=posteingang"
FF - user.js - File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Rondreg\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011/12/24 14:04:42 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012/06/20 20:07:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011/06/18 15:01:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012/06/20 20:07:28 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011/06/18 15:01:14 | 000,000,000 | ---D | M]

[2011/04/15 15:02:04 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Rondreg\AppData\Roaming\mozilla\Extensions
[2012/05/20 15:43:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Rondreg\AppData\Roaming\mozilla\Firefox\Profiles\085rjk57.default\extensions
[2012/04/08 11:32:15 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Users\Rondreg\AppData\Roaming\mozilla\Firefox\Profiles\085rjk57.default\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2}
[2012/05/20 15:43:37 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Users\Rondreg\AppData\Roaming\mozilla\Firefox\Profiles\085rjk57.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2012/03/18 00:59:00 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012/04/27 09:46:52 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files (x86)\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2011/04/15 16:20:52 | 000,000,000 | ---D | M] (Anti-Banner) -- C:\Program Files (x86)\mozilla firefox\extensions\KavAntiBanner@kaspersky.ru_bak
[2011/04/15 16:20:50 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Program Files (x86)\mozilla firefox\extensions\linkfilter@kaspersky.ru_bak
[2011/12/24 14:04:42 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 <video&gt -- C:\PROGRAM FILES (X86)\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\DIVXHTML5
[2011/05/13 20:58:18 | 000,550,833 | ---- | M] () (No name found) -- C:\USERS\RONDREG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\085RJK57.DEFAULT\EXTENSIONS\DIVXWEBPLAYER@DIVX.COM.XPI
[2011/07/23 03:10:42 | 000,008,001 | ---- | M] () (No name found) -- C:\USERS\RONDREG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\085RJK57.DEFAULT\EXTENSIONS\TINEYE@IDEEINC.COM.XPI
[2012/06/20 20:07:28 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012/03/13 09:09:33 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2012/06/20 20:07:26 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/06/20 20:07:26 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012/06/20 20:07:26 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012/06/20 20:07:26 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/06/20 20:07:26 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/06/20 20:07:26 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009/06/10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (CmjBrowserHelperObject Object) - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Program Files (x86)\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [LXCFCATS] C:\Windows\SysNative\spool\DRIVERS\x64\3\LXCFtime.DLL ()
O4:64bit: - HKLM..\Run: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink)
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files (x86)\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LMgrOSD] "C:\Program Files (x86)\Launch Manager\OSDCtrl.exe" File not found
O4 - HKLM..\Run: [LMgrVolOSD] C:\Program Files (x86)\Launch Manager\OSD.exe (Wistron Corp.)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [UIExec] C:\Program Files (x86)\1&1 Surf-Stick\UIExec.exe ()
O4 - HKLM..\Run: [Wbutton] C:\Program Files (x86)\Launch Manager\Wbutton.exe (Wistron Corp.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1001..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [ICQ] C:\Program Files (x86)\ICQ7.7\ICQ.exe (ICQ, LLC.)
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [LicenseValidator] C:\Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe (Sea3Soft)
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [Octoshape Streaming Services] C:\Users\Rondreg\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [Rainlendar2] C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe ()
O4:64bit: - HKLM..\RunOnce: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe (CyberLink)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1001..\RunOnce: [MEDION] C:\Windows\Web\Wallpaper\MEDION\start.vbs File not found
O4 - Startup: C:\Users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Versandhelfer.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8:64bit: - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9:64bit: - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9:64bit: - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra Button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Program Files (x86)\Mindjet\MindManager 9\Mm8InternetExplorer.dll (Mindjet)
O9 - Extra Button: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7.7\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7.7\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: Send To Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Send to &Bluetooth Device... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{37E079B8-E125-4E5C-BE34-34DA8A20E353}: DhcpNameServer = 61.177.7.1 218.104.32.106 168.95.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3DDF2C5F-8C06-42E7-96A4-06ECFA0F2421}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B3167743-A7DB-4E9F-BC60-D412A1E710EE}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - AppInit_DLLs: (C:\Windows\system32\nvinitx.dll) - C:\Windows\SysNative\nvinitx.dll (NVIDIA Corporation)
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\nvinit.dll) - C:\Windows\SysWOW64\nvinit.dll (NVIDIA Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{4b385752-44cf-11e1-a672-78929c00ad9a}\Shell - "" = AutoRun
O33 - MountPoints2\{4b385752-44cf-11e1-a672-78929c00ad9a}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

========== Files/Folders - Created Within 30 Days ==========

[2012/07/04 10:50:40 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Users\Rondreg\Desktop\OTL.exe
[2012/07/03 15:20:11 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Roaming\Help
[2012/07/03 15:15:03 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Roaming\WinRAR
[2012/07/03 15:15:02 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Roaming\TeamViewer
[2012/06/19 08:40:51 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\Desktop\K-J-Telefon
[2012/06/12 21:02:34 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Local\Macromedia
[2012/06/12 12:15:05 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\Desktop\Falldokus
[2012/06/10 19:39:33 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Roaming\vlc
[2012/06/08 09:18:29 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Live Add-in
[2012/06/08 09:18:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft
[2012/06/07 23:29:10 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Local\{AD0DE970-5DC2-432E-82DD-A460AD1479D4}
[2012/06/07 23:28:59 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Local\{CD840819-4750-4CE8-9DA9-E7D79587C735}
[2012/06/07 22:33:52 | 000,000,000 | ---D | C] -- C:\Users\Rondreg\AppData\Local\{7894A09E-0234-4ECA-9543-A48C66600963}
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012/07/04 11:06:41 | 000,009,920 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/07/04 11:06:41 | 000,009,920 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/07/04 10:58:48 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/07/04 10:58:42 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/07/04 10:58:39 | 3061,903,360 | -HS- | M] () -- C:\hiberfil.sys
[2012/07/04 10:53:11 | 001,507,342 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012/07/04 10:53:11 | 000,657,910 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012/07/04 10:53:11 | 000,619,146 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012/07/04 10:53:11 | 000,131,250 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012/07/04 10:53:11 | 000,107,466 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012/07/04 10:50:59 | 000,000,198 | ---- | M] () -- C:\Users\Rondreg\defogger_reenable
[2012/07/04 10:44:32 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\Rondreg\Desktop\OTL.exe
[2012/07/04 10:44:20 | 000,050,477 | ---- | M] () -- C:\Users\Rondreg\Desktop\Defogger.exe
[2012/07/04 10:39:09 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/07/04 10:31:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/07/04 10:28:53 | 004,503,728 | ---- | M] () -- C:\ProgramData\nud0repor.pad
[2012/07/04 10:13:24 | 000,001,895 | ---- | M] () -- C:\Users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012/06/22 11:31:26 | 000,001,621 | ---- | M] () -- C:\Users\Rondreg\Desktop\DivX Movies.lnk
[2012/06/15 09:12:59 | 000,453,640 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012/07/04 10:50:59 | 000,000,198 | ---- | C] () -- C:\Users\Rondreg\defogger_reenable
[2012/07/04 10:48:10 | 000,050,477 | ---- | C] () -- C:\Users\Rondreg\Desktop\Defogger.exe
[2012/07/04 10:13:24 | 004,503,728 | ---- | C] () -- C:\ProgramData\nud0repor.pad
[2012/07/04 10:13:24 | 000,001,895 | ---- | C] () -- C:\Users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012/06/22 11:31:26 | 000,001,621 | ---- | C] () -- C:\Users\Rondreg\Desktop\DivX Movies.lnk
[2012/01/10 22:29:54 | 013,904,384 | ---- | C] () -- C:\Windows\SysWow64\ig4icd32.dll
[2011/09/08 23:13:24 | 000,069,632 | R--- | C] () -- C:\Windows\SysWow64\xmltok.dll
[2011/09/08 23:13:24 | 000,036,864 | R--- | C] () -- C:\Windows\SysWow64\xmlparse.dll
[2011/08/31 19:51:16 | 000,867,020 | ---- | C] () -- C:\Windows\SysWow64\igkrng575.bin
[2011/08/31 19:51:16 | 000,128,204 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng575.bin
[2011/08/31 19:51:16 | 000,105,608 | ---- | C] () -- C:\Windows\SysWow64\igfcg575m.bin
[2011/06/29 14:41:08 | 001,526,948 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2011/04/18 22:12:15 | 000,007,668 | ---- | C] () -- C:\Users\Rondreg\AppData\Local\resmon.resmoncfg
[2011/04/15 18:00:54 | 001,224,704 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfserv.dll
[2011/04/15 18:00:54 | 000,991,232 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfusb1.dll
[2011/04/15 18:00:54 | 000,696,320 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfhbn3.dll
[2011/04/15 18:00:54 | 000,684,032 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfcomc.dll
[2011/04/15 18:00:54 | 000,643,072 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfpmui.dll
[2011/04/15 18:00:54 | 000,585,728 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcflmpm.dll
[2011/04/15 18:00:54 | 000,537,520 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfcoms.exe
[2011/04/15 18:00:54 | 000,421,888 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfcomm.dll
[2011/04/15 18:00:54 | 000,413,696 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfinpa.dll
[2011/04/15 18:00:54 | 000,397,312 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfiesc.dll
[2011/04/15 18:00:54 | 000,385,968 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfih.exe
[2011/04/15 18:00:54 | 000,385,024 | ---- | C] () -- C:\Windows\SysWow64\lxcfcomx.dll
[2011/04/15 18:00:54 | 000,381,872 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfcfg.exe
[2011/04/15 18:00:54 | 000,274,432 | ---- | C] () -- C:\Windows\SysWow64\lxcfinst.dll
[2011/04/15 18:00:54 | 000,181,168 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfppls.exe
[2011/04/15 18:00:54 | 000,163,840 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfprox.dll
[2011/04/15 18:00:54 | 000,094,208 | ---- | C] ( ) -- C:\Windows\SysWow64\lxcfpplc.dll
[2011/04/15 16:38:21 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2011/02/03 23:13:48 | 000,127,184 | ---- | C] () -- C:\Windows\Unwise.exe
[2011/02/03 23:13:47 | 000,149,504 | ---- | C] () -- C:\Windows\unwise32_setup.exe

========== LOP Check ==========

[2012/04/21 15:03:20 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\Ashampoo
[2011/04/18 21:44:52 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\COWON
[2012/02/28 14:31:32 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\DAEMON Tools Pro
[2011/04/15 15:04:50 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\dpdhl.versandhelfer.medionlap.CDA82DC3FEDD13302C6424313D9A2999F162D21A.1
[2012/02/10 00:32:39 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\ICQ
[2011/05/14 19:55:51 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\Octoshape
[2012/04/23 20:14:00 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\SparVoip
[2012/07/03 15:15:02 | 000,000,000 | ---D | M] -- C:\Users\Rondreg\AppData\Roaming\TeamViewer
[2012/05/22 17:45:03 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



< End of report >
Extras
Zitat:
OTL Extras logfile created on: 7/4/2012 11:09:14 AM - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\Rondreg\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.80 Gb Total Physical Memory | 2.22 Gb Available Physical Memory | 58.26% Memory free
7.60 Gb Paging File | 5.71 Gb Available in Paging File | 75.16% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 657.54 Gb Total Space | 504.03 Gb Free Space | 76.65% Space Free | Partition Type: NTFS
Drive D: | 38.00 Gb Total Space | 15.45 Gb Free Space | 40.66% Space Free | Partition Type: NTFS

Computer Name: RONDREGIAN | User Name: Rondreg | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_USERS\.DEFAULT\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

[HKEY_USERS\S-1-5-18\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

[HKEY_USERS\S-1-5-21-2357255787-2126538115-1484856188-1002\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0EFCCEC7-A875-46C2-8A59-F15398DBF3C3}" = lport=445 | protocol=6 | dir=in | app=system |
"{0F459951-9CB8-4ECE-9370-44839A926571}" = lport=139 | protocol=6 | dir=in | app=system |
"{25056821-0794-46D4-8D52-303E255AAFE9}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{3545AE83-E6A1-47A2-938F-B8A6F71E2424}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{45598154-CCA2-40D3-94F1-DB4CC8EF727B}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{459262BB-2809-4483-B904-1BF0030E3F9D}" = lport=138 | protocol=17 | dir=in | app=system |
"{4E492932-EBC9-4FAD-94F3-7439A08E1912}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{5528D220-4A5F-49FD-B256-384239DF025E}" = lport=137 | protocol=17 | dir=in | app=system |
"{579BB7D4-704A-4D68-9439-ED2218C9D9BB}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{5D342B8D-5C40-4946-9370-CE4528B0251F}" = rport=445 | protocol=6 | dir=out | app=system |
"{683EDB21-B08D-4716-9632-8DCF01F53825}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{87133703-2FF1-465A-ACC9-2E7813BECF7F}" = rport=139 | protocol=6 | dir=out | app=system |
"{874E13AB-3C29-44AE-9C77-8AD4FE06126F}" = rport=10243 | protocol=6 | dir=out | app=system |
"{950ED617-563E-4491-AD05-07C9D3F88E90}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{958A5DFA-DBF7-4D56-8554-0A49A293F461}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{958C661E-0C35-4F38-84C3-3C88004A9FE3}" = rport=137 | protocol=17 | dir=out | app=system |
"{9807C13B-73B4-4C19-8D9D-C50AE0631909}" = rport=138 | protocol=17 | dir=out | app=system |
"{ADFE665B-A361-4F58-B0FB-677873946272}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{AFEBAD61-8E95-4672-9C0C-6BDB2FFC9823}" = lport=2869 | protocol=6 | dir=in | app=system |
"{B195A2C5-8F2D-4DAF-90FB-64F3FC4C7327}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{B7BA7C34-E2A6-4BCC-86EF-D088FDC005C7}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{B9DE7728-5276-4E9B-8961-59B2152308ED}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{D1DA74ED-3986-427D-8D12-4BA7EDA15318}" = lport=10243 | protocol=6 | dir=in | app=system |
"{DF003921-0D9F-4AF2-8723-6A8E0699D7EF}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{F0816B61-63DC-43A0-B032-C7E251E8FE43}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\outlook.exe |
"{FD438AC9-20CC-4301-8058-AAC7D3DC05B1}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0AEF9030-1012-4EEC-A572-64E25357B6DF}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe |
"{0AF99280-BEAC-4BEA-8CBD-CE63FF4164C0}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{11D0A20E-9816-40A4-B60D-F9FE261F8DA9}" = protocol=17 | dir=in | app=c:\program files (x86)\icq7.7\icq.exe |
"{11ECB6ED-98E5-4DC6-9570-C79604AD34FA}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{1284C05F-3148-44B3-AC1A-DDE2342F3707}" = protocol=6 | dir=in | app=c:\windows\syswow64\lxcfcoms.exe |
"{17639275-BD74-4D3E-9F43-162528BA5121}" = protocol=6 | dir=in | app=c:\program files (x86)\icq7.7\icq.exe |
"{1F1B851C-10FA-485B-9E2C-09038CCC63B8}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{2222CF0F-61F1-4A93-8FA7-138088B67D2C}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{247315D3-B1D3-4340-9ED6-26191A9EE9C8}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{289CD1FE-F1EC-4B94-A63C-FB2ACB065009}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxcfpswx.exe |
"{28F48896-4AEA-4461-A621-90D9C7EFCF36}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{394BFBBD-CFE5-41E3-A4B6-FF7FB443AC9E}" = protocol=6 | dir=out | app=system |
"{3AD72F26-3353-40DD-B265-28FBC7627626}" = protocol=6 | dir=in | app=c:\program files (x86)\sparvoip.de\sparvoip\sparvoip.exe |
"{402C8017-5708-4525-B438-A6A90485CFC0}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{51B78BC4-2134-4ECC-BD81-A9A1911A3D85}" = protocol=17 | dir=in | app=c:\windows\system32\lxcfcoms.exe |
"{56955A17-2344-4505-AA4E-1C4647A20D7D}" = protocol=6 | dir=in | app=c:\windows\system32\lxcfcoms.exe |
"{617F46BB-2586-4C48-920F-E07B1C305B72}" = protocol=6 | dir=in | app=c:\program files (x86)\sparvoip.de\sparvoip\sparvoip.exe |
"{71F32F72-A558-4D64-8139-BEEC4760D182}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{73B4211E-E3BE-4789-9882-3B1522E051CB}" = dir=in | app=c:\program files (x86)\cyberlink\powerdirector\pdr8.exe |
"{73DC7C39-1F97-4BFE-91BF-EA137F945B2F}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{79A52FEA-E979-4997-AFE9-8E4C0A31F9F9}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{835E8D8E-C0E3-4888-B903-6F7774586698}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{8A8D81E0-06EA-46C9-B342-AE7A00703178}" = protocol=17 | dir=in | app=c:\program files (x86)\icq7.7\icq.exe |
"{90553793-7B6C-4DA0-8A5A-E9FDAACB6C65}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd10\powerdvd cinema\powerdvdcinema10.exe |
"{99EF888A-3621-41EB-91BC-A32880A0BA57}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxcfpswx.exe |
"{AD8A13D7-B46F-4CA5-B33A-D9726564925C}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{B1DF2EFF-801D-4952-A7E2-4262B6327B80}" = protocol=17 | dir=in | app=c:\program files (x86)\sparvoip.de\sparvoip\sparvoip.exe |
"{B291F4D2-C2EC-413C-8330-2EF46A8941E3}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C5B7AE8B-FAE4-495D-843F-7E1A71FA9EC4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{C615C609-628B-4735-9C71-6CD8BB40B989}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{C949D041-2FB4-498B-B807-F3FEA8600EC8}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{CA43D82A-DBCD-4E3A-A650-C024DF2942C8}" = dir=in | app=c:\program files (x86)\windows live\contacts\wlcomm.exe |
"{CC12A9A8-5065-46F0-BE57-B65354BE7538}" = protocol=17 | dir=in | app=c:\program files (x86)\sparvoip.de\sparvoip\sparvoip.exe |
"{CF8C6EB5-7153-4E5E-88F5-899542CC784B}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd10\powerdvd9.exe |
"{D5B2D97D-C474-41CE-8AA1-C452BC5A5025}" = dir=in | app=c:\program files (x86)\windows live\mesh\moe.exe |
"{D5E04142-E32B-4ADC-AA46-33513E53A866}" = protocol=17 | dir=in | app=c:\windows\syswow64\lxcfcoms.exe |
"{E2355EA5-A5B4-4EE5-9238-CFB2C46F6BDC}" = protocol=6 | dir=in | app=c:\program files (x86)\icq7.7\icq.exe |
"{E4837F4A-D707-4AD3-85E5-C56CBC4C9BEA}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{ED411F7E-605A-44B9-BDD5-8E4E3A753A16}" = dir=in | app=c:\program files (x86)\windows live\messenger\msnmsgr.exe |
"{F2405AC1-3D0A-4CF5-8E50-060E86714110}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"TCP Query User{4F875C00-CE35-426E-9C68-C001E9F3C83C}C:\program files (x86)\age of wonders shadow magic\aowsm.exe" = protocol=6 | dir=in | app=c:\program files (x86)\age of wonders shadow magic\aowsm.exe |
"TCP Query User{628E52F3-2B49-47AB-A9FD-0CD301BC9129}C:\program files (x86)\die gilde 2 - gold edition\guildii.exe" = protocol=6 | dir=in | app=c:\program files (x86)\die gilde 2 - gold edition\guildii.exe |
"TCP Query User{6563E863-E629-49F4-878D-E4D2B39B4101}C:\windows\syswow64\dpnsvr.exe" = protocol=6 | dir=in | app=c:\windows\syswow64\dpnsvr.exe |
"TCP Query User{7D0751AA-E908-4817-9B98-94732F231F9B}C:\bluebyte\die siedler iv\exe\s4_main.exe" = protocol=6 | dir=in | app=c:\bluebyte\die siedler iv\exe\s4_main.exe |
"TCP Query User{DE55E54F-5249-4BD2-835D-D64BA4569369}C:\program files (x86)\ubisoft\blue byte\die siedler - das erbe der könige\bin\settlershok.exe" = protocol=6 | dir=in | app=c:\program files (x86)\ubisoft\blue byte\die siedler - das erbe der könige\bin\settlershok.exe |
"TCP Query User{E60A810C-8C78-43E7-AE15-1A7BDB047361}C:\program files (x86)\icq7.5\icq.exe" = protocol=6 | dir=in | app=c:\program files (x86)\icq7.5\icq.exe |
"UDP Query User{28B76294-F054-4FBA-A085-D950B3F935E4}C:\program files (x86)\age of wonders shadow magic\aowsm.exe" = protocol=17 | dir=in | app=c:\program files (x86)\age of wonders shadow magic\aowsm.exe |
"UDP Query User{3D472895-9C5E-41B1-B3C8-D5064469F1AD}C:\program files (x86)\ubisoft\blue byte\die siedler - das erbe der könige\bin\settlershok.exe" = protocol=17 | dir=in | app=c:\program files (x86)\ubisoft\blue byte\die siedler - das erbe der könige\bin\settlershok.exe |
"UDP Query User{54DF8421-70BA-4A95-9F36-AF3464DFE046}C:\program files (x86)\die gilde 2 - gold edition\guildii.exe" = protocol=17 | dir=in | app=c:\program files (x86)\die gilde 2 - gold edition\guildii.exe |
"UDP Query User{5D849656-2580-4DE2-886A-83FEB601E89D}C:\program files (x86)\icq7.5\icq.exe" = protocol=17 | dir=in | app=c:\program files (x86)\icq7.5\icq.exe |
"UDP Query User{7D991205-55A0-4AC2-A86D-DFBEF47DEE6A}C:\bluebyte\die siedler iv\exe\s4_main.exe" = protocol=17 | dir=in | app=c:\bluebyte\die siedler iv\exe\s4_main.exe |
"UDP Query User{8CBBAC8D-CA8B-4037-9DA1-B58305795F45}C:\windows\syswow64\dpnsvr.exe" = protocol=17 | dir=in | app=c:\windows\syswow64\dpnsvr.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1685AE50-97ED-485B-80F6-145071EE14B0}" = Windows Live Remote Service Resources
"{180C8888-50F1-426B-A9DC-AB83A1989C65}" = Windows Live Language Selector
"{19DCDC0D-9D87-46DB-A4B0-08B35AA333A3}" = Corel Shell Extension - 64Bit
"{1ACC8FFB-9D84-4C05-A4DE-D28A9BC91698}" = Windows Live ID Sign-in Assistant
"{2C1A6191-9804-4FDC-AB01-6F9183C91A13}" = Windows Live Remote Client Resources
"{4C2E49C0-9276-4324-841D-774CCCE5DB48}" = Windows Live Remote Client Resources
"{57F2BD1C-14A3-4785-8E48-2075B96EB2DF}" = Windows Live Remote Service Resources
"{5E2CD4FB-4538-4831-8176-05D653C3E6D4}" = Windows Live Remote Service Resources
"{656DEEDE-F6AC-47CA-A568-A1B4E34B5760}" = Windows Live Remote Service Resources
"{6ACC4CD3-4BE8-4508-9C26-1DCE3EA867C8}" = AmbionWizard
"{6CBFDC3C-CF21-4C02-A6DC-A5A2707FAF55}" = Windows Live Remote Service Resources
"{7AEC844D-448A-455E-A34E-E1032196BBCD}" = Windows Live Remote Service Resources
"{847B0532-55E3-4AAF-8D7B-E3A1A7CD17E5}" = Windows Live Remote Client Resources
"{850B8072-2EA7-4EDC-B930-7FE569495E76}" = Windows Live Remote Client Resources
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = WIDCOMM Bluetooth Software
"{A060182D-CDBE-4AD6-B9B4-860B435D6CBD}" = Windows Live Remote Client Resources
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Driver 266.39
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Control Panel 266.39
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Graphics Driver 266.39
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Optimus" = NVIDIA Optimus 1.0.11
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B750FA38-7AB0-42CB-ACBB-E7DBE9FF603F}" = Windows Live Remote Client Resources
"{BCA9334F-B6C9-4F65-9A73-AC5A329A4D04}" = PlayReady PC Runtime amd64
"{C9F05151-95A9-4B9B-B534-1760E2D014A5}" = Windows Live Remote Client Resources
"{D5876F0A-B2E9-4376-B9F5-CD47B7B8D820}" = Windows Live Remote Client Resources
"{D930AF5C-5193-4616-887D-B974CEFC4970}" = Windows Live Remote Service Resources
"{DA54F80E-261C-41A2-A855-549A144F2F59}" = Windows Live MIME IFilter
"{DF6D988A-EEA0-4277-AAB8-158E086E439B}" = Windows Live Remote Client
"{E02A6548-6FDE-40E2-8ED9-119D7D7E641F}" = Windows Live Remote Service
"{EC1369CF-15BD-4FAF-BA84-65E4788C682E}" = AMI VR-pulse OS Switcher
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{F6CB2C5F-B2C1-4DF1-BF44-39D0DC06FE6F}" = Windows Live Remote Service Resources
"3932CA781A7894D20116FDF60F878301800EA8AB" = Windows Driver Package - Broadcom Bluetooth (09/11/2009 6.2.0.9407)
"3BA80AB4C7E9F8497C115C844953A3D4BEB84D21" = Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
"B24074592222CFC1B8ABF520F9089E49FB1763D7" = Windows Driver Package - Broadcom Bluetooth (05/27/2009 6.1.7100.0)
"Lexmark 730 Series" = Lexmark 730 Series
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"PDF-XChange 3_is1" = PDF-XChange 3
"SynTPDeinstKey" = Synaptics Pointing Device Driver

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"_{C0237AA4-1BFB-46EA-860D-7B0EB365CA13}" = CorelDRAW Essentials 4
"_{CF0ADC18-6D8F-4353-8EAA-DF45456B7853}" = CorelDRAW Essentials 4 - Windows Shell Extension
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{00884F14-05BD-4D8E-90E5-1ABF78948CA4}" = Windows Live Mesh
"{0125DB4D-98A0-4DBF-B68A-23BF08FFA6A3}" = Windows Live Messenger
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{04FE949D-172D-45B4-ACE6-6BCFAB5EC563}" = Mindjet MindManager 9
"{05E379CC-F626-4E7D-8354-463865B303BF}" = Windows Live UX Platform Language Pack
"{07B62101-7EBD-434A-94B1-B38063BE5516}" = CorelDRAW Essentials 4 - PHOTO-PAINT
"{09B7C7EB-3140-4B5E-842F-9C79A7137139}" = Windows Live Mesh ActiveX-kontroll for eksterne tilkoblinger
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0C975FCC-A06E-4CB6-8F54-A9B52CF37781}" = Windows Liven sähköposti
"{0ED4216F-3540-4D6B-8199-1C8DDEA3924B}" = CorelDRAW Essentials 4 - Lang DE
"{10186F1A-6A14-43DF-A404-F0105D09BB07}" = Windows Live Mail
"{110668B7-54C6-47C9-BAC4-1CE77F156AF5}" = Windows Live Mesh
"{11417707-1F72-4279-95A3-01E0B898BBF5}" = Windows Live Mesh
"{133D9D67-D475-4407-AC3C-D558087B2453}" = Windows Live Movie Maker
"{14B441B7-774D-4170-98EA-A13667AE6218}" = Windows Live Writer Resources
"{19AC095C-3520-4999-AA15-93B6D0248A50}" = CorelDRAW Essentials 4 - Content
"{19BA08F7-C728-469C-8A35-BFBD3633BE08}" = Windows Live Movie Maker
"{1A72337E-D126-4BAF-AC89-E6122DB71866}" = Windows Liven valokuvavalikoima
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Medion Home Cinema
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{220C7F8C-929D-4F71-9DC7-F7A6823B38E4}" = Windows Live UX Platform Language Pack
"{24DF33E0-F924-4D0D-9B96-11F28F0D602D}" = Windows Live UX Platform Language Pack
"{25CD4B12-8CC5-433E-B723-C9CB41FA8C5A}" = Windows Live Writer
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{28B9D2D8-4304-483F-AD71-51890A063A74}" = Windows Live Photo Common
"{2902F983-B4C1-44BA-B85D-5C6D52E2C441}" = Windows Live Mesh ActiveX Control for Remote Connections
"{2A07C35B-8384-4DA4-9A95-442B6C89A073}" = Windows Live Essentials
"{2A3FC24C-6EC0-4519-A52B-FDA4EA9B2D24}" = Windows Live Messenger
"{2E50E321-4747-4EB5-9ECB-BBC6C3AC0F31}" = Windows Live Writer Resources
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{34319F1F-7CF2-4CC9-B357-1AE7D2FF3AC5}" = Windows Live
"{34A9406E-1994-4C20-AC72-04CFA2B24545}" = CorelDRAW Essentials 4 - Lang EN
"{34F4D9A4-42C2-4348-BEF4-E553C84549E7}" = Windows Live Photo Gallery
"{3576C335-958D-4D60-A812-F68F9A2796AF}" = CorelDRAW Essentials 4 - Lang IT
"{376D59B1-42D9-4FA2-B6CC-E346B6BE14F5}" = ActiveX-kontroll för fjärranslutningar för Windows Live Mesh
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{39F95B0B-A0B7-4FA7-BB6C-197DA2546468}" = Windows Live Mesh
"{3B9A92DA-6374-4872-B646-253F18624D5F}" = Windows Live Writer
"{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology
"{3F4143A1-9C21-4011-8679-3BC1014C6886}" = Windows Live Mesh
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{429DF1A0-3610-4E9E-8ACE-3C8AC1BA8FCA}" = Windows Live Photo Gallery
"{44B2A0AB-412E-4F8C-B058-D1E8AECCDFF5}" = CyberLink PowerRecover
"{48294D95-EE9A-4377-8213-44FC4265FB27}" = Windows Live Messenger
"{488F0347-C4A7-4374-91A7-30818BEDA710}" = Galerie de photos Windows Live
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A04DB63-8F81-4EF4-9D09-61A2057EF419}" = Windows Live Essentials
"{4B744C85-DBB1-4038-B989-4721EB22C582}" = Windows Live Messenger
"{4CF6F287-5121-483C-A5A2-07BDE19D8B4E}" = Windows Live Meshin etäyhteyksien ActiveX-komponentti
"{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"{5500BB35-1C21-4328-9F16-F894B860FADE}" = CorelDRAW Essentials 4 - Lang NL
"{55D003F4-9599-44BF-BA9E-95D060730DD3}" = Contrôle ActiveX Windows Live Mesh pour connexions à distance
"{57220148-3B2B-412A-A2E0-82B9DF423696}" = Windows Live Mesh ActiveX-objekt til fjernforbindelser
"{579684A4-DDD5-4CA3-9EA8-7BE7D9593DB4}" = Windows Live UX Platform Language Pack
"{5C2F5C1B-9732-4F81-8FBF-6711627DC508}" = Windows Live Fotogalleri
"{62687B11-58B5-4A18-9BC3-9DF4CE03F194}" = Windows Live Writer Resources
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{69CAC24D-B1DC-4B97-A1BE-FE21843108FE}" = Windows Live Writer Resources
"{6A67578E-095B-4661-88F7-0B199CEC3371}" = Windows Live Messenger
"{6DEC8BD5-7574-47FA-B080-492BBBE2FEA3}" = Windows Live Movie Maker
"{6EF2BE2C-3121-48B7-B7A6-C56046B3A588}" = Windows Live Movie Maker
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{734104DE-C2BF-412F-BB97-FCCE1EC94229}" = Windows Live Writer Resources
"{76E852ED-1B06-4BC8-9D6A-625DB95FB7E5}" = CorelDRAW Essentials 4 - IPM - No VBA
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE}" = ICQ7.7
"{7ADFA72D-2A9F-4DEC-80A5-2FAA27E23F0F}" = Windows Live Photo Common
"{7E017923-16F8-4E32-94EF-0A150BD196FE}" = Windows Live Writer
"{80E158EA-7181-40FE-A701-301CE6BE64AB}" = CyberLink MediaShow
"{827D3E4A-0186-48B7-9801-7D1E9DD40C07}" = Windows Live Essentials
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{841F1FB4-FDF8-461C-A496-3E1CFD84C0B5}" = Windows Live Mesh
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{885F1BCD-C344-4758-85BD-09640CF449A5}" = Windows Live Photo Gallery
"{8909CFA8-97BF-4077-AC0F-6925243FFE08}" = Windows Liven asennustyökalu
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8CF5D47D-27B7-49D6-A14F-10550B92749D}" = Windows Live UX Platform Language Pack
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8FDC1610-3FB5-4EF2-A0D0-CEDC3A525A25}" = DIE SIEDLER - Das Erbe der Könige
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002A-0000-1000-0000000FF1CE}_ENTERPRISE_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9043B9A0-9505-405B-8202-E7167A38A89C}" = CorelDRAW Essentials 4
"{924B4D82-1B97-48EB-8F1E-55C4353C22DB}" = Windows Live Mail
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BD262D0-B788-4546-A0A5-F4F56EC3834B}" = Windows Live Photo Common
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{9FAE6E8D-E686-49F5-A574-0A58DFD9580C}" = Windows Live Mail
"{A0C91188-C88F-4E86-93E6-CD7C9A266649}" = Windows Live Mesh
"{A60B3BF0-954B-42AF-B8D8-2C1D34B613AA}" = Windows Live Photo Gallery
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}" = 1&1 Surf-Stick
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AAF454FC-82CA-4F29-AB31-6A109485E76E}" = Windows Live Writer
"{AB61A2E9-37D3-485D-9085-19FBDF8CEF4A}" = Windows Live Messenger
"{ABD8B955-1C69-4AF3-949B-13CD587C175F}" = CorelDRAW Essentials 4 - Lang BR
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.0) MUI
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{AFF7E080-1974-45BF-9310-10DE1A1F5ED0}" = Adobe AIR
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"{B9FA9F15-A1F3-4DB1-AD49-0B9351843FAA}" = CorelDRAW Essentials 4 - Draw
"{BA9319FE-BCEF-4C99-8039-F464648D046E}" = CorelDRAW Essentials 4 - Lang FR
"{BFC47A0B-D487-4DF0-889E-D6D392DF31E0}" = Windows Live Messenger
"{C0237AA4-1BFB-46EA-860D-7B0EB365CA13}" = CorelDRAW Essentials 4 - ICA
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C32CE55C-12BA-4951-8797-0967FDEF556F}" = Windows Live Mesh - ActiveX-besturingselement voor externe verbindingen
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"{C66824E4-CBB3-4851-BB3F-E8CFD6350923}" = Windows Live Mail
"{C682F3F0-00A6-4379-B083-4F3273624D7B}" = CorelDRAW Essentials 4 - Lang ES
"{C893D8C0-1BA0-4517-B11C-E89B65E72F70}" = Windows Live Photo Common
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"{CB7224D9-6DCA-43F1-8F83-6B1E39A00F92}" = Windows Live Movie Maker
"{CD442136-9115-4236-9C14-278F6A9DCB3F}" = Windows Live Movie Maker
"{CD7CB1E6-267A-408F-877D-B532AD2C882E}" = Windows Live Photo Common
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{CF0ADC18-6D8F-4353-8EAA-DF45456B7853}" = CorelDRAW Essentials 4 - Windows Shell Extension
"{CF671BFE-6BA3-44E7-98C1-500D9C51D947}" = Windows Live Photo Gallery
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager
"{D0B44725-3666-492D-BEF6-587A14BD9BD9}" = MSVCRT_amd64
"{D31169F2-CD71-4337-B783-3E53F29F4CAD}" = Windows Live Mail
"{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"{D436F577-1695-4D2F-8B44-AC76C99E0002}" = Windows Live Photo Common
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{D588365A-AE39-4F27-BDAE-B4E72C8E900C}" = Windows Live Mail
"{D6F25CF9-4E87-43EB-B324-C12BE9CDD668}" = Windows Live UX Platform Language Pack
"{DA29F644-2420-4448-8128-1331BE588999}" = Windows Live Writer
"{DB1208F4-B2FE-44E9-BFE6-8824DBD7891B}" = Windows Live Movie Maker
"{DCAB6BA7-6533-44BF-9235-E5BF33B7431C}" = Windows Live Writer
"{DDC8BDEE-DCAC-404D-8257-3E8D4B782467}" = Windows Live Writer Resources
"{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}" = CyberLink PowerDVD 10
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{DF8195AF-8E6F-4487-A0EE-196F7E3F4B8A}" = jetAudio Basic VX
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = CyberLink MediaShow Espresso
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = CyberLink PowerDVD Copy
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{E5DD4723-FE0B-436E-A815-DC23CF902A0B}" = Windows Live UX Platform Language Pack
"{E8524B28-3BBB-4763-AC83-0E83FE31C350}" = Windows Live Writer
"{E9D98402-21AB-4E9F-BF6B-47AF36EF7E97}" = Windows Live Writer Resources
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"{F0559C5E-7912-4391-B1A0-6B975F0E5064}" = watchmi
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Processor Graphics
"{F0F9505B-3ACF-4158-9311-D0285136AA00}" = Windows Live Essentials
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F16841F6-5F0F-4DBE-B318-63CEB916F21D}" = CorelDRAW Essentials 4 - Filters
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FE044230-9CA5-43F7-9B58-5AC5A28A1F33}" = Windows Live Essentials
"7-Zip" = 7-Zip 9.20
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Age of Wonders II" = Age of Wonders II
"Age of Wonders Shadow Magic" = Age of Wonders Shadow Magic
"Ashampoo Burning Studio_is1" = Ashampoo Burning Studio
"Ashampoo Photo Commander_is1" = Ashampoo Photo Commander
"Ashampoo Photo Optimizer_is1" = Ashampoo Photo Optimizer
"Ashampoo Snap_is1" = Ashampoo Snap
"Avira AntiVir Desktop" = Avira Free Antivirus
"DAEMON Tools Pro" = DAEMON Tools Pro
"Die Gilde 2 - Gold Edition" = Die Gilde 2 - Gold Edition
"Disciples 2 Collector's Edition" = Disciples 2 Collector's Edition
"DivX Setup" = DivX-Setup
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HaaliMkx" = Haali Media Splitter
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Medion Home Cinema
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{44B2A0AB-412E-4F8C-B058-D1E8AECCDFF5}" = CyberLink PowerRecover
"InstallShield_{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"InstallShield_{80E158EA-7181-40FE-A701-301CE6BE64AB}" = CyberLink MediaShow
"InstallShield_{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = CyberLink PowerProducer
"InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector
"InstallShield_{D36DD326-7280-11D8-97C8-000129760CBE}" = CyberLink PhotoNow
"InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}" = CyberLink PowerDVD 10
"InstallShield_{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = CyberLink MediaShow Espresso
"InstallShield_{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = CyberLink PowerDVD Copy
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Rainlendar2" = Rainlendar2 (remove only)
"S4Uninst" = Die Siedler IV
"SparVoip_is1" = SparVoip
"StandardTime" = Standard Time
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"WinLiveSuite" = Windows Live Essentials
"X10Hardware" = X10 Hardware(TM)
"Zoo Tycoon 1.0" = Zoo Tycoon: Complete Collection

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-2357255787-2126538115-1484856188-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 3/17/2012 1:56:22 PM | Computer Name = Rondregian | Source = SideBySide | ID = 16842827
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
(x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe". Fehler in Manifest-
oder Richtliniendatei "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe"
in Zeile 2. Mehrere requestedPrivileges-Elemente sind nicht im Manifest zulässig.

Error - 3/18/2012 6:42:42 AM | Computer Name = Rondregian | Source = Windows Search Service | ID = 7040
Description =

Error - 3/18/2012 6:42:42 AM | Computer Name = Rondregian | Source = Windows Search Service | ID = 7042
Description =

Error - 3/18/2012 6:46:13 AM | Computer Name = Rondregian | Source = Outlook | ID = 34
Description = Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x80070015.

Error - 3/18/2012 6:46:13 AM | Computer Name = Rondregian | Source = Outlook | ID = 34
Description = Fehler beim Abrufen des Crawlbereichs-Managers. Fehler=0x80070015.

Error - 3/18/2012 6:14:41 PM | Computer Name = Rondregian | Source = SideBySide | ID = 16842827
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
(x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe". Fehler in Manifest-
oder Richtliniendatei "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe"
in Zeile 2. Mehrere requestedPrivileges-Elemente sind nicht im Manifest zulässig.

Error - 3/21/2012 9:18:51 AM | Computer Name = Rondregian | Source = SideBySide | ID = 16842832
Description = Fehler beim Generieren des Aktivierungskontexts für "C:\Users\Rondreg\Downloads\SoftonicDownloader_fuer_camstudio.exe".
Fehler in Manifest- oder Richtliniendatei "" in Zeile . Eine für die Anwendung erforderliche
Komponentenversion steht in Konflikt mit einer anderen, bereits aktiven Komponentenversion.
In
Konflikt stehende Komponenten:. Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.
Komponente
2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.

Error - 3/21/2012 11:28:46 AM | Computer Name = Rondregian | Source = SideBySide | ID = 16842827
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
(x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe". Fehler in Manifest-
oder Richtliniendatei "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe"
in Zeile 2. Mehrere requestedPrivileges-Elemente sind nicht im Manifest zulässig.

Error - 3/21/2012 1:04:01 PM | Computer Name = Rondregian | Source = SideBySide | ID = 16842827
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files
(x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe". Fehler in Manifest-
oder Richtliniendatei "C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe"
in Zeile 2. Mehrere requestedPrivileges-Elemente sind nicht im Manifest zulässig.

Error - 3/21/2012 1:14:07 PM | Computer Name = Rondregian | Source = Microsoft-Windows-Defrag | ID = 257
Description =

[ Media Center Events ]
Error - 1/21/2012 4:06:51 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 09:05:45 - Fehler beim Herstellen der Internetverbindung. 09:05:45
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 5:06:59 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 10:06:59 - Fehler beim Herstellen der Internetverbindung. 10:06:59
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 5:07:23 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 10:07:04 - Fehler beim Herstellen der Internetverbindung. 10:07:04
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 6:07:28 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 11:07:28 - Fehler beim Herstellen der Internetverbindung. 11:07:28
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 6:07:36 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 11:07:33 - Fehler beim Herstellen der Internetverbindung. 11:07:33
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 7:07:41 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 12:07:41 - Fehler beim Herstellen der Internetverbindung. 12:07:41
- Serververbindung konnte nicht hergestellt werden..

Error - 1/21/2012 7:07:49 AM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 12:07:46 - Fehler beim Herstellen der Internetverbindung. 12:07:46
- Serververbindung konnte nicht hergestellt werden..

Error - 4/28/2012 7:49:35 PM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 01:49:35 - Fehler beim Herstellen der Internetverbindung. 01:49:35
- Serververbindung konnte nicht hergestellt werden..

Error - 4/28/2012 7:50:11 PM | Computer Name = Rondregian | Source = MCUpdate | ID = 0
Description = 01:49:40 - Fehler beim Herstellen der Internetverbindung. 01:49:40
- Serververbindung konnte nicht hergestellt werden..

Error - 6/7/2012 1:57:09 AM | Computer Name = Rondregian | Source = ehRecvr | ID = 3
Description = Auf dem TV-Tuner ist ein Fehler aufgetreten. (0x80070001) BDA Digital
Tuner (Dev1 Path0)

[ OSession Events ]
Error - 1/8/2012 4:52:15 PM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6562.5003, Microsoft Office Version: 12.0.6425.1000. This session lasted 1
seconds with 0 seconds of active time. This session ended with a crash.

Error - 2/16/2012 7:07:52 PM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6607.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 7
seconds with 0 seconds of active time. This session ended with a crash.

Error - 4/18/2012 8:18:06 AM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 6, Application Name: Microsoft Office Outlook, Application Version:
12.0.6607.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 3
seconds with 0 seconds of active time. This session ended with a crash.

Error - 5/2/2012 7:34:36 AM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 51
seconds with 0 seconds of active time. This session ended with a crash.

Error - 5/2/2012 7:34:36 AM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 32
seconds with 0 seconds of active time. This session ended with a crash.

Error - 5/6/2012 7:39:41 AM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 82
seconds with 0 seconds of active time. This session ended with a crash.

Error - 5/6/2012 7:39:41 AM | Computer Name = Rondregian | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 62
seconds with 0 seconds of active time. This session ended with a crash.

[ System Events ]
Error - 6/26/2012 4:22:51 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:22:51 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:22:51 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:22:51 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:28:29 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:28:32 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:29:18 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:29:18 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:29:18 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.

Error - 6/26/2012 4:29:18 PM | Computer Name = Rondregian | Source = Schannel | ID = 36888
Description = Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus
lautet: 10.


< End of report >

Danke für eure Antworten

Alt 04.07.2012, 14:01   #2
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKU\S-1-5-21-2357255787-2126538115-1484856188-1002..\Run: [LicenseValidator] C:\Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe
(Sea3Soft)
[2012/07/04 10:13:24 | 000,001,895 | ---- | C] () -- C:\Users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
 :Files
C:\Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}
:Commands
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 04.07.2012, 16:06   #3
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



Ich hatte zwei Desktop.ini die vorher nicht da waren
in dem ersten:

Zitat:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
zweiter:
Zitat:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183
Ich nehme alles zurück und entschuldige mich hat gefunzt

hochladen hat doch funktioniert, hab danach aber schnell wieder das internet sicherheitshalber dort ausgemacht.
er scheint eine lücke im inet explorer zu nutzen, obwohl ich den explorer selber nicht nutze. er hatte mich heute morgen nach einer aktualisierung des explorers gefragt die ich nicht vorgenommen habe (da ich ihn wie gesagt nicht nutze) und nach dem OTL kam, dass der explorer geschlossen werden müsste
__________________

Geändert von Rondreg (04.07.2012 um 16:25 Uhr)

Alt 04.07.2012, 18:56   #4
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



die inis löschen bitte
natürlich muss der internet explorer, wie jedes andere programm aktualisiert werden, selbst firefox greift auf teile des ies zu.
alle programme auf dem pc müssen immer aktuell sein.
dazu später
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.07.2012, 19:13   #5
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



kann es nicht komprimieren da sich dann plötzlich av meldet:

Bericht lässt sich gerade warum auch immer nicht kopieren deswegen tippe ich es ab:

Objekt:
22251c2d-202f2687
Fund:
EXP/CVE-2012-0507.BR

AV will es gerne in die Quarantäne verschieben, soll ich das tun?

Habs jetzt in Quarantäne verschoben, danach hats dann mitm komprimieren geklappt, lade es gerade hoch...
danke für deine hilfe! wüsste nicht was ich ohne dich/euch tun würde

Nach weiteren durchläufen beginnt er dinge zu finden:

Objekt:
rundll32.exe
roper0dun.exe

Fund jeweils:
TR/Rogue.kdv.665364.1

AV-Bericht:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 20:11

Es wird nach 3828475 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.34.202 2048 Bytes 02.07.2012 09:03:50
VBASE016.VDF : 7.11.34.203 2048 Bytes 02.07.2012 09:03:50
VBASE017.VDF : 7.11.34.204 2048 Bytes 02.07.2012 09:03:50
VBASE018.VDF : 7.11.34.205 2048 Bytes 02.07.2012 09:03:50
VBASE019.VDF : 7.11.34.206 2048 Bytes 02.07.2012 09:03:50
VBASE020.VDF : 7.11.34.207 2048 Bytes 02.07.2012 09:03:50
VBASE021.VDF : 7.11.34.208 2048 Bytes 02.07.2012 09:03:50
VBASE022.VDF : 7.11.34.209 2048 Bytes 02.07.2012 09:03:50
VBASE023.VDF : 7.11.34.210 2048 Bytes 02.07.2012 09:03:51
VBASE024.VDF : 7.11.34.211 2048 Bytes 02.07.2012 09:03:51
VBASE025.VDF : 7.11.34.212 2048 Bytes 02.07.2012 09:03:51
VBASE026.VDF : 7.11.34.213 2048 Bytes 02.07.2012 09:03:51
VBASE027.VDF : 7.11.34.214 2048 Bytes 02.07.2012 09:03:51
VBASE028.VDF : 7.11.34.215 2048 Bytes 02.07.2012 09:03:51
VBASE029.VDF : 7.11.34.216 2048 Bytes 02.07.2012 09:03:51
VBASE030.VDF : 7.11.34.217 2048 Bytes 02.07.2012 09:03:51
VBASE031.VDF : 7.11.34.234 27136 Bytes 03.07.2012 09:03:51
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48
AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff45a1d\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 20:11

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687'
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687
[0] Archivtyp: ZIP
--> tupa/tupc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BU
--> tupa/tupb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> tupa/tupa.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BR

Beginne mit der Desinfektion:
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\22251c2d-202f2687
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.BR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '564f03e0.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 4. Juli 2012 22:00
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
42 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
39 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.


Task Manager funktioniert wieder
allerdings hat sich AV eben automatisch geschlossen habs nochmal neugestartet...

zwischendurch durfte ich mal wieder Internetexplorer schliessen
hab ihn mal deaktiviert
web.de hat sich übrigens auch zwischendurch gemeldet, dass meine passwörter ausgespäht werden würden von hermes_01


ergo fassen wir mal zusammen hier passiert ganz viel und ich habe keine Ahnung was


upload hat hoffentlich geklappt?

neuer AV-Bericht:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 4. Juli 2012 22:12

Es wird nach 3836369 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Rondreg
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32
VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 20:05:32
VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 20:05:32
VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 20:05:32
VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 20:05:32
VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 20:05:32
VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 20:05:32
VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 20:05:32
VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 20:05:32
VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 20:05:33
VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 20:05:33
VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 20:05:33
VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 20:05:33
VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 20:05:33
VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 20:05:33
VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 20:05:33
VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 20:05:33
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48
AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 4. Juli 2012 22:12

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3211' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files (x86)\JetAudio\jetUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Rondreg\AppData\Local\Mozilla\Firefox\Profiles\085rjk57.default\Cache\D\0F\4B20Bd01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.alw
C:\Users\Rondreg\AppData\Local\Temp\mor.exe
[FUND] Ist das Trojanische Pferd TR/Gataka.D.57
C:\Users\Rondreg\AppData\Local\Temp\roper0dun.exe
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.665364.1
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0.zip
[0] Archivtyp: ZIP
--> 6.0/1/1507e0c1-3d146d1e
[1] Archivtyp: ZIP
--> r7ba/r7ba.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
--> 6.0/17/33862e11-53a0270d
[1] Archivtyp: ZIP
--> sIda/sIda.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
--> sIda/sIdb.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV
--> sIda/sIdc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF
--> sIda/sIdd.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
--> 6.0/3/4d5a7d03-7810142a
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
--> CL3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\1507e0c1-3d146d1e
[0] Archivtyp: ZIP
--> r7ba/r7ba.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\33862e11-53a0270d
[0] Archivtyp: ZIP
--> sIda/sIda.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
--> sIda/sIdb.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV
--> sIda/sIdc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF
--> sIda/sIdd.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4d5a7d03-7810142a
[0] Archivtyp: ZIP
--> CL3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Beginne mit der Suche in 'D:\' <Recover>
D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4d5a7d03-7810142a
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55ec67e5.qua' verschoben!
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\33862e11-53a0270d
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7e49b1.qua' verschoben!
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\1507e0c1-3d146d1e
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f29135b.qua' verschoben!
C:\Users\Rondreg\AppData\LocalLow\Sun\Java\Deployment\cache\6.0.zip
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '791e5c9e.qua' verschoben!
C:\Users\Rondreg\AppData\Local\Temp\roper0dun.exe
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.665364.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3cda7070.qua' verschoben!
C:\Users\Rondreg\AppData\Local\Temp\mor.exe
[FUND] Ist das Trojanische Pferd TR/Gataka.D.57
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43c34211.qua' verschoben!
C:\Users\Rondreg\AppData\Local\Mozilla\Firefox\Profiles\085rjk57.default\Cache\D\0F\4B20Bd01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.alw
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f3b6e68.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 5. Juli 2012 00:33
Benötigte Zeit: 2:19:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

40764 Verzeichnisse wurden überprüft
1487289 Dateien wurden geprüft
17 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1487272 Dateien ohne Befall
8809 Archive wurden durchsucht
9 Warnungen
7 Hinweise

Verlauf etc alles wieder da...
hab trotzdem schiss das der trojaner noch vor ort ist oder irgendwas anderes...

und nochmal neu:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 5. Juli 2012 10:10

Es wird nach 3836369 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Rondreg
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32
VBASE016.VDF : 7.11.35.20 2048 Bytes 04.07.2012 20:05:32
VBASE017.VDF : 7.11.35.21 2048 Bytes 04.07.2012 20:05:32
VBASE018.VDF : 7.11.35.22 2048 Bytes 04.07.2012 20:05:32
VBASE019.VDF : 7.11.35.23 2048 Bytes 04.07.2012 20:05:32
VBASE020.VDF : 7.11.35.24 2048 Bytes 04.07.2012 20:05:32
VBASE021.VDF : 7.11.35.25 2048 Bytes 04.07.2012 20:05:32
VBASE022.VDF : 7.11.35.26 2048 Bytes 04.07.2012 20:05:32
VBASE023.VDF : 7.11.35.27 2048 Bytes 04.07.2012 20:05:32
VBASE024.VDF : 7.11.35.28 2048 Bytes 04.07.2012 20:05:33
VBASE025.VDF : 7.11.35.29 2048 Bytes 04.07.2012 20:05:33
VBASE026.VDF : 7.11.35.30 2048 Bytes 04.07.2012 20:05:33
VBASE027.VDF : 7.11.35.31 2048 Bytes 04.07.2012 20:05:33
VBASE028.VDF : 7.11.35.32 2048 Bytes 04.07.2012 20:05:33
VBASE029.VDF : 7.11.35.33 2048 Bytes 04.07.2012 20:05:33
VBASE030.VDF : 7.11.35.34 2048 Bytes 04.07.2012 20:05:33
VBASE031.VDF : 7.11.35.46 22016 Bytes 04.07.2012 20:05:33
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 16:24:41
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 19:49:03
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.30 422261 Bytes 15.06.2012 08:49:48
AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 19:49:04
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 5. Juli 2012 10:10

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'STTime.scr' - '283' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3203' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\$RECYCLE.BIN\S-1-5-21-2357255787-2126538115-1484856188-1002\$RIVCDU9.zip
[0] Archivtyp: ZIP
--> 6.0/1/1507e0c1-3d146d1e
[1] Archivtyp: ZIP
--> r7ba/r7ba.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
--> 6.0/17/33862e11-53a0270d
[1] Archivtyp: ZIP
--> sIda/sIda.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CE
--> sIda/sIdb.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Treams.BV
--> sIda/sIdc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.CF
--> sIda/sIdd.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
--> 6.0/3/4d5a7d03-7810142a
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
--> CL3.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files (x86)\JetAudio\jetUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Beginne mit der Suche in 'D:\' <Recover>
D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\$RECYCLE.BIN\S-1-5-21-2357255787-2126538115-1484856188-1002\$RIVCDU9.zip
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570620f9.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 5. Juli 2012 14:04
Benötigte Zeit: 2:41:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

40783 Verzeichnisse wurden überprüft
1487268 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1487261 Dateien ohne Befall
8817 Archive wurden durchsucht
9 Warnungen
1 Hinweise
737075 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Verlauf ist wieder weg


Alt 05.07.2012, 19:16   #6
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



dann deaktiviere avira, packe das archiv und aktiviere avira wieder
__________________
--> GVU-Trojaner + Wasser (webcam?)

Alt 05.07.2012, 19:19   #7
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



das packen (mit winrar) hat danach ohne probleme funktioniert und habe es versucht hochzuladen, wenn das nicht funktioniert hat... hm...
ist wahrscheinlich noch zu groß...
hast du eine Idee was ich tun kann damit du es kriegen kannst?

danke für deine Hilfe

Alt 06.07.2012, 21:34   #8
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



ok
archiv löschen:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.07.2012, 00:36   #9
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



Hey,
Hier die Combofix datei...
ging leider nur noch im abgesicherten Modus, da ein zweiter weißer Screen auftauchte und dieser auch nicht wegging wenn ich den PC ohne Internet hochfuhr...
konnte dadurch antivir whr auch nicht hundertprozentig ausschalten.
jetzt bin ich wieder im normalen modus wer weiß wielange das gut geht...

bitte um schnelle weitere HIlfe bevor hier alles den Bach runtergeht =/

hier die combofix datei:Combofix Logfile:
Code:
ATTFilter
ComboFix 12-07-06.02 - Rondreg 07.07.2012   1:18.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3893.2740 [GMT 2:00]
ausgeführt von:: c:\users\Rondreg\Downloads\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hvgquokw.exe
c:\programdata\uscnfsqstsqtdgm
c:\users\Rondreg\0.5310171176724943.exe
c:\users\Rondreg\AppData\Roaming\Help\coredb\storage
c:\users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-06 bis 2012-07-06  ))))))))))))))))))))))))))))))
.
.
2012-07-06 23:26 . 2012-07-06 23:26	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2012-07-06 23:26 . 2012-07-06 23:26	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-07-06 22:54 . 2012-07-06 22:54	--------	d-----w-	c:\programdata\occcestbleeorwy
2012-07-06 22:31 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F6B3654E-9C5A-4FE2-BF17-E603F393CC98}\mpengine.dll
2012-07-04 14:56 . 2012-07-04 15:27	--------	d-----w-	C:\_OTL
2012-07-03 13:15 . 2012-07-03 13:15	--------	d-----w-	c:\users\Rondreg\AppData\Roaming\TeamViewer
2012-06-20 18:07 . 2012-06-20 18:07	421200	----a-w-	c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-06-20 18:07 . 2012-06-20 18:07	770384	----a-w-	c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-06-19 06:16 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-19 06:16 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-19 06:16 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-19 06:16 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-19 06:16 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-19 06:16 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-19 06:16 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-19 06:15 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-19 06:15 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 09:12 . 2012-04-26 05:41	77312	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-14 09:12 . 2012-04-26 05:41	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-14 09:12 . 2012-04-26 05:34	9216	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-14 09:12 . 2012-05-04 11:06	5559664	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-06-14 09:12 . 2012-05-04 10:03	3968368	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-06-14 09:12 . 2012-05-04 10:03	3913072	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-06-14 09:12 . 2012-05-15 01:32	3146752	----a-w-	c:\windows\system32\win32k.sys
2012-06-14 09:11 . 2012-04-28 03:55	210944	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-12 19:02 . 2012-06-12 19:02	--------	d-----w-	c:\users\Rondreg\AppData\Local\Macromedia
2012-06-10 17:39 . 2012-07-05 12:55	--------	d-----w-	c:\users\Rondreg\AppData\Roaming\vlc
2012-06-08 07:18 . 2012-06-08 07:18	--------	d-----w-	c:\program files (x86)\Microsoft
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-25 07:40 . 2012-03-31 13:03	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-06-25 07:40 . 2011-05-15 09:40	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-08 17:26 . 2011-10-20 05:21	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 17:26 . 2011-10-20 05:21	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-04-29 13:01 . 2011-05-26 09:33	2300696	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-04-29 13:01 . 2011-05-26 09:33	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
"Octoshape Streaming Services"="c:\users\Rondreg\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Rainlendar2"="c:\program files (x86)\Rainlendar2\Rainlendar2.exe" [2011-08-12 2433024]
"ICQ"="c:\program files (x86)\ICQ7.7\ICQ.exe" [2012-02-03 127040]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-06-05 17344176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files (x86)\Launch Manager\HotkeyApp.exe" [2010-12-15 207400]
"LMgrVolOSD"="c:\program files (x86)\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files (x86)\Launch Manager\Wbutton.exe" [2010-06-21 436264]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-12-20 113288]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-06-06 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"UIExec"="c:\program files (x86)\1&1 Surf-Stick\UIExec.exe" [2010-09-30 139088]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Rondreg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Versandhelfer.lnk - c:\program files (x86)\Versandhelfer\Versandhelfer.exe [N/A]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-10-3 1082144]
watchmi tray.lnk - c:\windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064}\SHCT_TRAY_STARTUP_F1540F35F9254DF584F2487D88448402.exe [2012-2-7 300928]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 27760]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 136176]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2010-12-24 1997416]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-05 160944]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-12-24 378984]
R2 UI Assistant Service;UI Assistant Service;c:\program files (x86)\1&1 Surf-Stick\AssistantServices.exe [2010-09-30 253264]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
R2 watchmi;watchmi service;c:\program files (x86)\watchmi\TvdService.exe [2012-01-31 70144]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-25 250056]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 52264]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 35104]
R3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [2010-10-29 31088]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 136176]
R3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 158976]
R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-15 317440]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2010-03-04 75816]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2009-10-29 11776]
R3 mod7764;TV Tuner device;c:\windows\system32\DRIVERS\mod77-64.sys [2009-08-13 909408]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-20 113120]
R3 NETwNs64;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETwNs64.sys [2010-12-21 8505856]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2010-05-24 246304]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2011-05-02 1255736]
R3 WisLMSvc;WisLMSvc;c:\program files (x86)\Launch Manager\WisLMSvc.exe [2009-10-23 118560]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [2010-09-23 129008]
R4 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-12-24 25960]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-18 56344]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-12-20 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-12-20 181248]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 15896]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 07:40]
.
2012-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 12:42]
.
2012-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-15 12:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-11-03 11548264]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-11-03 2181224]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-01-26 443688]
"LXCFCATS"="c:\windows\system32\spool\DRIVERS\x64\3\LXCFtime.dll" [2005-09-14 29184]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-01-10 167704]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-01-10 392984]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-01-10 417560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-01-26 443688]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.aldi.com
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
IE: {{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - c:\program files (x86)\ICQ7.7\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Rondreg\AppData\Roaming\Mozilla\Firefox\Profiles\085rjk57.default\
FF - prefs.js: browser.startup.homepage - hxxps://freemailng0702.web.de/msg/checkmail.htm?user=Rondreg&goto=posteingang
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-LicenseValidator - c:\users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe
Wow6432Node-HKCU-Run-hvgquokwqjldhry - c:\programdata\hvgquokw.exe
Wow6432Node-HKLM-Run-LMgrOSD - c:\program files (x86)\Launch Manager\OSDCtrl.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-S4Uninst - c:\windows\IsUn0407.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-07-07  01:29:31
ComboFix-quarantined-files.txt  2012-07-06 23:29
.
Vor Suchlauf: 12 Verzeichnis(se), 541.579.460.608 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 541.756.604.416 Bytes frei
.
- - End Of File - - 26AC1CF1337335D500E408F73B5E0464
         
--- --- ---

PS: Seid dem hat Windows Probleme mit spoolsv.exe als interaktiver Dienst

Alt 09.07.2012, 16:52   #10
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



spoolsv.exe funzt wieder (war nur beim ersten Start) der Trojaner hat sich auch nicht mehr gemeldet...

AV hat nochmal was gefunden:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012 19:41

Es wird nach 3845887 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15
VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15
VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16
VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18
VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18
VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18
VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18
VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18
VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18
VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18
VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18
VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18
VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18
VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18
VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18
VBASE031.VDF : 7.11.35.120 18944 Bytes 07.07.2012 22:26:30
Engineversion : 8.2.10.106
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19
AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ff99ef2\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 8. Juli 2012 19:41

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\_OTL\MovedFiles.zip'
C:\_OTL\MovedFiles.zip
[0] Archivtyp: ZIP
--> MovedFiles/07042012_165621/C_Users/Rondreg/AppData/Roaming/WinRAR/{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}/LicenseValidator.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570161a3.qua' verschoben!


Ende des Suchlaufs: Sonntag, 8. Juli 2012 19:48
Benötigte Zeit: 07:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
38 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
37 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise
58825 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012 20:03

Es wird nach 3845887 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Rondreg
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15
VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15
VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16
VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18
VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18
VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18
VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18
VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18
VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18
VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18
VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18
VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18
VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18
VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18
VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18
VBASE031.VDF : 7.11.35.120 18944 Bytes 07.07.2012 22:26:30
Engineversion : 8.2.10.106
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19
AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 8. Juli 2012 20:03

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '128' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3220' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files (x86)\JetAudio\jetUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo
C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo
Beginne mit der Suche in 'D:\' <Recover>
D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\07042012_165621\C_Users\Rondreg\AppData\Roaming\WinRAR\{0BE5DB2C-E982-4C52-8FA4-00526BC05E88}\LicenseValidator.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fhlo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5755a6af.qua' verschoben!


Ende des Suchlaufs: Montag, 9. Juli 2012 00:19
Benötigte Zeit: 4:04:20 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

75435 Verzeichnisse wurden überprüft
2765873 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2765871 Dateien ohne Befall
13741 Archive wurden durchsucht
11 Warnungen
1 Hinweise
738206 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

und nochmal:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 9. Juli 2012 17:28

Es wird nach 3849144 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Rondreg
Computername : RONDREGIAN

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:26:02
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:26:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:26:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:26:02
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 17:24:58
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:54:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:08:22
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:38:24
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 19:49:05
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 19:49:05
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 19:49:05
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 19:49:05
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 19:49:05
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 19:49:05
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 19:49:05
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 19:49:05
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 19:49:05
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:03:50
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 20:05:32
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 22:27:15
VBASE017.VDF : 7.11.35.88 2048 Bytes 06.07.2012 22:27:15
VBASE018.VDF : 7.11.35.89 2048 Bytes 06.07.2012 22:27:16
VBASE019.VDF : 7.11.35.90 2048 Bytes 06.07.2012 22:27:18
VBASE020.VDF : 7.11.35.91 2048 Bytes 06.07.2012 22:27:18
VBASE021.VDF : 7.11.35.92 2048 Bytes 06.07.2012 22:27:18
VBASE022.VDF : 7.11.35.93 2048 Bytes 06.07.2012 22:27:18
VBASE023.VDF : 7.11.35.94 2048 Bytes 06.07.2012 22:27:18
VBASE024.VDF : 7.11.35.95 2048 Bytes 06.07.2012 22:27:18
VBASE025.VDF : 7.11.35.96 2048 Bytes 06.07.2012 22:27:18
VBASE026.VDF : 7.11.35.97 2048 Bytes 06.07.2012 22:27:18
VBASE027.VDF : 7.11.35.98 2048 Bytes 06.07.2012 22:27:18
VBASE028.VDF : 7.11.35.99 2048 Bytes 06.07.2012 22:27:18
VBASE029.VDF : 7.11.35.100 2048 Bytes 06.07.2012 22:27:18
VBASE030.VDF : 7.11.35.101 2048 Bytes 06.07.2012 22:27:18
VBASE031.VDF : 7.11.35.128 64000 Bytes 08.07.2012 22:26:30
Engineversion : 8.2.10.106
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 21:49:47
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 22:27:22
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 13:16:25
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 08:50:23
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 16:24:40
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 19:49:04
AEHEUR.DLL : 8.1.4.64 5009782 Bytes 06.07.2012 22:27:22
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 19:48:43
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 22:27:19
AEEXP.DLL : 8.1.0.60 86388 Bytes 06.07.2012 22:27:22
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 19:20:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:26:01
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:26:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:26:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:26:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:26:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:26:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:26:02
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:26:02
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:26:02
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:26:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 9. Juli 2012 17:28

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reminder.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3220' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Program Files (x86)\DOSBox-0.74\uninstall.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files (x86)\JetAudio\jetUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir
[FUND] Ist das Trojanische Pferd TR/Graftor.36431
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir
[FUND] Ist das Trojanische Pferd TR/Graftor.36431
C:\Users\Rondreg\AppData\Local\Microsoft\WLSetup\wltED07.tmp
[0] Archivtyp: CAB (Microsoft)
--> WriterProdLang.7z
[1] Archivtyp: 7-Zip
--> WriterProdLang.cab
[2] Archivtyp: CAB (Microsoft)
--> writerprodlang.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Rondreg\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\Rondreg\Music\Hörbücher\Romane\Cody Mcfadyen\Cody Mc Fadyen - Ausgeloescht\Cody_Mcfadyen_-_Ausgeloescht-6CD-DE-Audiobook-2010-kooba-CannaPower.part3.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Beginne mit der Suche in 'D:\' <Recover>
D:\TOOLS\Corel Draw Essentials4\AutoPlay\autorun.cdd
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\Users\Rondreg\AppData\Roaming\Identities\{852D6B0D-75E9-44A9-9F13-E9E7B2F7ECAF}\LicenseValidator.exe.vir
[FUND] Ist das Trojanische Pferd TR/Graftor.36431
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56b19c92.qua' verschoben!
C:\Qoobox\Quarantine\C\Users\Rondreg\0.5310171176724943.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e48b372.qua' verschoben!
C:\Qoobox\Quarantine\C\ProgramData\hvgquokw.exe.vir
[FUND] Ist das Trojanische Pferd TR/Weelsof.C.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c45e9d2.qua' verschoben!


Ende des Suchlaufs: Montag, 9. Juli 2012 21:35
Benötigte Zeit: 4:06:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

76505 Verzeichnisse wurden überprüft
2767004 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2766998 Dateien ohne Befall
13857 Archive wurden durchsucht
11 Warnungen
3 Hinweise
738269 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 10.07.2012, 12:33   #11
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.07.2012, 23:12   #12
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.11.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Rondreg :: RONDREGIAN [Administrator]

11.07.2012 20:44:22
mbam-log-2012-07-11 (20-44-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 455562
Laufzeit: 1 Stunde(n), 58 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Rondreg\Desktop\Programme\Programme\Mindjet Mindmanager 9\Mindjet.MindManager.9-keygen\mm9keygenl.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Rondreg\Downloads\SoftonicDownloader_fuer_camstudio.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Alt 14.07.2012, 12:02   #13
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



C:\Users\Rondreg\Desktop\Programme\Programme\Mindjet Mindmanager 9\Mindjet.MindManager.9-keygen\mm9keygenl.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht
und in Quarantäne gestellt.

keygens sind illegal, dies unterstützen wir nicht, deswegen gibts nur hilfe beim daten sichern, pc neu aufsetzen und absichern.
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.07.2012, 22:24   #14
Rondreg
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



Den keygen hatte ich mir damals geholt, da ich Mindjet damals wieder deinstalliert hatte aber ne Seminararbeit ausbessern musste und den Key nicht mehr gefunden hatte...
Habs danach auch nicht mehr benutzt (das zeug braucht man meiner Meinung echt nich aber Profs... nja...)
Ist auch meines Wissens das einzige nicht wirklich legale auf meinem PC bis auf den Trojaner

Muss ich jetzt wirklich doch noch den PC neu aufsetzen? hatte gehofft da drumrum zu kommen... AV und Malwarebytes finden nichts mehr...
wär dir super dankbar wenn du mir dennoch noch helfen könntest trotz meines Foppas mit dem Keygen...

Alt 15.07.2012, 16:08   #15
markusg
/// Malware-holic
 
GVU-Trojaner + Wasser (webcam?) - Standard

GVU-Trojaner + Wasser (webcam?)



jepp, wie gesagt, die regeln bei keygen fund sind im forum angepinnt und klar :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GVU-Trojaner + Wasser (webcam?)
7-zip, antivir, autorun, avira, bho, dringend, error, fehler, firefox, firefox 13.0.1, flash player, helper, home, hängt, install.exe, internet, launch, logfile, microsoft office word, mozilla, nvidia update, nvpciflt.sys, office 2007, ohne internet, plug-in, realtek, registry, required, richtlinie, scan, searchscopes, security, software, svchost.exe, usb, usb 2.0, usb 3.0, warnung, windows




Ähnliche Themen: GVU-Trojaner + Wasser (webcam?)


  1. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 02.08.2013 (16)
  2. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  3. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 30.11.2012 (9)
  4. GVU-Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (3)
  5. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 13.11.2012 (7)
  6. GVU Trojaner mit Wasser-Cam, Internet gesperrt. Windows XP
    Log-Analyse und Auswertung - 13.10.2012 (8)
  7. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 11.09.2012 (13)
  8. Gvu Trojaner mit webcam
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (13)
  9. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 20.07.2012 (5)
  10. GVU TROJANER mit Webcam
    Log-Analyse und Auswertung - 19.07.2012 (8)
  11. GVU-Trojaner mit Wasser Aufnahme ähnlich 2.04
    Log-Analyse und Auswertung - 14.07.2012 (9)
  12. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  13. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 06.07.2012 (3)
  14. GVU Trojaner Webcam bzw. Wasser (WinXP)
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (1)
  15. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (2)
  16. Hacking at Random: Informationen sind wie Wasser, und frei
    Nachrichten - 14.08.2009 (0)
  17. Webcam trojaner?
    Mülltonne - 12.02.2008 (0)

Zum Thema GVU-Trojaner + Wasser (webcam?) - Guten Morgen, Ich hab ihn mir wohl auch eingefangen. Heute morgen behauptete mein Firefox, dass ich es nicht richtig geschlossen hätte und der Verlauf war bis zu einem gewissem Datum - GVU-Trojaner + Wasser (webcam?)...
Archiv
Du betrachtest: GVU-Trojaner + Wasser (webcam?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.