Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: deo0_sar.exe bei jedem Neustart (Win Vista x64)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.08.2012, 12:37   #1
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hallo zusammen,

auch bei mir hat sich heute die Bundespolizei gemeldet, der Geld überwiesen werden soll, allerdings ist die Meldung nach ca. 1 Sekunde wieder verschwunden und gesperrt war nur der Task-Manager.
Kurze Zeit später hat mein Avira Free Antivirus den Fund der deo0_sar.exe gemeldet, die ich sogleich manuell gelöscht habe.
Seitdem erscheint auch bei mir bei jedem Neustart die Meldung "Modul für RunDll deo0_sar.exe nicht gefunden"

Nach hilfe suchend bin ich schließlich auf Eure Seite gestoßen.

Im Anhang befinden sich die notwendige Dateien für die ersten Schritte.
Im Vorraus schon mal vielen Dank für die Hilfe!

Alt 17.08.2012, 14:42   #2
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)





Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Hallo und
Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting (Posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

starte den Rechner einfach neu. Dies sollte das Problem beheben.


Schritt 2


Hast du diesen Proxy absichtlich erstellt?


Bitte poste in deiner nächsten Antwort
  • Combofix-Log
  • Antwort auf meine Frage
__________________

__________________

Alt 18.08.2012, 16:01   #3
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hallo Christoph,

ich heiße Sascha und finde es klasse, dass Du mir hilfst, egal wieviel Geduld und Aufwand das meinerseits erfordert! ;-)

Beim Ausführen der Combofix.exe ist mir ein kleine Unachtsamkeit unterlaufen, ich habe das Programm einfach per Doppelklick gestartet (nicht mit Rechtsklick "als Admin ausführen). Ich hoffe das ist kein Problem (abgesehen davon bin ich Admin und auch während ComboFix ausgeführt wurde stand oben am Fenster "Administrator), das Programm ist nämlich trotzdem sauber durchgelaufen, hat eine Log-Datei geschrieben und auch beim anschließenden Neustart des Rechners sind keinerlei Probleme aufgetreten. Ganz im Gegenteil, die Meldung "Modul für RunDll deo0_sar.exe nicht gefunden" ist nämlich schon jetzt nicht mehr erschienen!!! :-)

Hier der Combofix-Log:Combofix Logfile:
Code:
ATTFilter
ComboFix 12-08-17.03 - Sascha 18.08.2012  16:08:33.1.2 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.4094.2289 [GMT 2:00]
ausgeführt von:: c:\users\Sascha\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\update.exe
c:\users\Sascha\AppData\Roaming\AcroIEHelpe.txt
c:\users\Sascha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
c:\users\Sascha\AppData\Roaming\srvblck5.tmp
c:\windows\iun6002.exe
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-18 bis 2012-08-18  ))))))))))))))))))))))))))))))
.
.
2012-08-18 14:15 . 2012-08-18 14:15	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2012-08-18 14:15 . 2012-08-18 14:15	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-18 08:02 . 2012-08-18 08:02	--------	d-----w-	c:\program files (x86)\Hercules
2012-08-18 08:01 . 2012-08-18 08:01	--------	d-----w-	c:\windows\OvtCam
2012-08-18 08:00 . 2007-08-29 13:56	139264	----a-w-	c:\windows\system32\drivers\camfilt2.sys
2012-08-18 08:00 . 2007-07-13 09:45	18944	----a-w-	c:\windows\SysWow64\msext534.ax
2012-08-18 08:00 . 2007-07-13 09:45	172928	----a-w-	c:\windows\system32\drivers\ov530vx.sys
2012-08-17 09:43 . 2012-08-17 09:43	--------	d-----w-	c:\users\Sascha\AppData\Roaming\Malwarebytes
2012-08-17 09:42 . 2012-08-17 09:42	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-17 09:40 . 2012-08-17 09:40	--------	d-----w-	C:\_OTL
2012-08-17 09:07 . 2009-10-19 15:39	29480	----a-w-	c:\windows\SysWow64\libcmmn.dll
2012-08-17 09:07 . 2009-10-19 15:39	718632	----a-w-	c:\windows\SysWow64\WebCamPropertyWindow.dll
2012-08-17 09:07 . 2009-10-19 15:39	37672	----a-w-	c:\windows\SysWow64\WebCamKSProxyPlugin.ax
2012-08-17 09:07 . 2003-02-28 16:26	947472	----a-w-	c:\windows\SysWow64\msjava.dll
2012-08-17 08:54 . 2012-05-11 16:34	788480	----a-w-	c:\windows\system32\localspl.dll
2012-08-17 08:54 . 2012-05-11 15:57	623616	----a-w-	c:\windows\SysWow64\localspl.dll
2012-08-17 08:54 . 2012-06-29 16:20	648192	----a-w-	c:\windows\system32\netapi32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-17 09:05 . 2006-11-02 12:35	62134624	----a-w-	c:\windows\system32\mrt.exe
2012-07-31 14:40 . 2012-04-02 16:38	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-31 14:40 . 2012-01-15 10:52	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-06-29 10:04 . 2012-08-17 08:51	9133488	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2BBB13C3-4E77-4154-85FA-B63E25963A4E}\mpengine.dll
2012-06-12 19:35 . 2012-06-12 19:35	268744	----a-w-	c:\windows\system32\javaws.exe
2012-06-12 19:35 . 2012-06-12 19:35	189384	----a-w-	c:\windows\system32\javaw.exe
2012-06-12 19:35 . 2012-06-12 19:35	188872	----a-w-	c:\windows\system32\java.exe
2012-06-12 19:35 . 2012-03-08 18:35	955848	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-06-12 19:35 . 2012-03-08 18:35	839112	----a-w-	c:\windows\system32\deployJava1.dll
2012-06-08 17:59 . 2012-07-12 17:05	12899840	----a-w-	c:\windows\system32\shell32.dll
2012-06-06 06:49 . 2012-06-06 06:49	1070152	----a-w-	c:\windows\SysWow64\MSCOMCTL.OCX
2012-06-05 16:47 . 2012-07-12 17:05	1401856	----a-w-	c:\windows\SysWow64\msxml6.dll
2012-06-05 16:47 . 2012-07-12 17:05	1248768	----a-w-	c:\windows\SysWow64\msxml3.dll
2012-06-05 16:22 . 2012-07-12 17:05	1797120	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 16:22 . 2012-07-12 17:05	1869824	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 15:29 . 2012-07-12 17:05	516480	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-06-02 22:19 . 2012-06-27 15:59	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-27 15:59	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-27 15:59	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-27 15:59	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-27 15:59	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-02 22:19 . 2012-06-27 15:59	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-27 15:59	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-02 22:15 . 2012-06-27 15:59	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-27 15:59	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 22:12 . 2012-06-27 15:59	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-02 13:19 . 2012-06-27 15:59	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:19 . 2012-06-27 15:59	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-02 13:15 . 2012-06-27 15:59	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 13:12 . 2012-06-27 15:59	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-06-02 00:22 . 2012-07-12 17:05	347136	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 00:22 . 2012-07-12 17:05	254464	----a-w-	c:\windows\system32\ncrypt.dll
2012-06-02 00:05 . 2012-07-12 17:05	77312	----a-w-	c:\windows\SysWow64\secur32.dll
2012-06-02 00:04 . 2012-07-12 17:05	278528	----a-w-	c:\windows\SysWow64\schannel.dll
2012-06-02 00:03 . 2012-07-12 17:05	204288	----a-w-	c:\windows\SysWow64\ncrypt.dll
2012-05-31 10:25 . 2009-10-03 07:41	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-05-26 20:07 . 2012-05-26 20:07	53248	----a-r-	c:\users\Sascha\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-05-26 20:07 . 2012-05-26 20:07	18960	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2008-02-14 13:23 . 2008-02-14 13:23	231944	----a-w-	c:\program files (x86)\gwflash.exe
2007-09-21 18:42 . 2007-09-21 18:42	19008	----a-w-	c:\program files (x86)\markfun.a64
2007-08-21 18:49 . 2007-08-21 18:49	125504	----a-w-	c:\program files (x86)\MarkFunDrv.dll
2007-08-21 18:49 . 2007-08-21 18:49	17912	----a-w-	c:\program files (x86)\markfun.w32
2007-04-04 17:35 . 2007-04-04 17:35	207680	----a-w-	c:\program files (x86)\updateutility.exe
2007-03-02 03:48 . 2007-03-02 03:48	240448	----a-w-	c:\program files (x86)\gwf32.exe
2006-11-23 22:47 . 2006-11-23 22:47	207680	----a-w-	c:\program files (x86)\BIOS_Run.exe
2006-11-23 22:40 . 2006-11-23 22:40	60224	----a-w-	c:\program files (x86)\HUADRV.DLL
2005-04-27 18:40 . 2005-04-27 18:40	6800	----a-w-	c:\program files (x86)\W95_HUA.vxd
2006-05-03 10:06	163328	--sh--r-	c:\windows\SysWOW64\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\SysWOW64\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\SysWOW64\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1555968]
"RocketDock"="c:\program files (x86)\RocketDock\RocketDock.exe" [2007-09-02 495616]
"MobileDocuments"="c:\program files (x86)\Common Files\Apple\Internet Services\ubd.exe" [2012-02-23 59240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-17 348664]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-disabled]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-17 c:\windows\Tasks\GlaryInitialize.job
- c:\program files (x86)\Glary Utilities\initialize.exe [2012-03-17 22:31]
.
2009-03-25 c:\windows\Tasks\Google Software Updater.job
- c:\program files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-14 16:07]
.
2012-07-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd67dc47ebcca1.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-03-14 17:22]
.
2009-11-04 c:\windows\Tasks\User_Feed_Synchronization-{F7B86A45-B953-42D1-8726-9A47DF9A15BD}.job
- c:\windows\system32\msfeedssync.exe [2011-05-20 17:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acronis Scheduler2 Service"="c:\program files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdc.exe" [2007-02-23 573832]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1744152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.maxdome.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = fritz.box;<local>;*.local
uInternet Settings,ProxyServer = <local>
IE: An OneNote s&enden - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\Sascha\AppData\Roaming\Mozilla\Firefox\Profiles\x85din64.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-Adobe Shockwave Player - c:\windows\System32\Macromed\SHOCKW~1\UNWISE.EXE
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1688558387-1665654493-2114607248-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3A77F4D4-C20F-58A0-55F0-2BFE14660499}*]
"iabpkiojhjhlflbago"=hex:6b,61,65,6c,6c,68,68,6f,66,63,6f,67,6a,62,6d,63,64,63,
   6b,69,6a,6c,00,00
"jadogpkdjadnihnkjhpi"=hex:6b,61,66,6c,64,66,68,65,63,6d,63,68,61,68,62,68,6c,
   65,66,66,68,67,00,00
"hapailfkfjpbgocm"=hex:65,62,6c,6f,61,6a,6f,66,6d,6f,69,6d,69,65,6d,68,68,65,
   6f,68,6b,61,61,66,66,61,6b,64,64,6a,6d,6b,6b,68,6f,6f,62,61,6e,62,6e,70,00,\
"hapailfkanijbkdm"=hex:6b,62,65,65,69,68,62,6e,70,6b,6d,6c,6a,70,6e,70,65,65,
   70,6a,6a,70,6c,6d,63,6f,6e,6a,6c,6c,6d,6f,65,70,68,6f,66,6e,66,66,61,6b,67,\
.
[HKEY_USERS\S-1-5-21-1688558387-1665654493-2114607248-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:52,8e,48,fd,5c,83,c5,9c,d6,16,22,7d,91,93,53,48,d2,d8,cb,9c,f8,9f,4f,
   ae,2a,12,dd,e5,18,40,a9,f0,8d,ff,14,c8,43,ca,17,2c,dd,60,e7,2b,64,f3,62,4b,\
"??"=hex:65,34,23,f1,ac,3e,ae,99,14,20,f8,2a,53,ca,02,2f
.
[HKEY_USERS\S-1-5-21-1688558387-1665654493-2114607248-1000\Software\SecuROM\License information*]
"datasecu"=hex:63,84,4e,86,23,50,5c,20,8c,c7,52,cb,23,cd,03,35,14,02,3e,5e,91,
   85,23,81,da,22,19,95,b0,5a,54,6d,92,38,19,40,9b,40,4f,9a,cf,c0,d6,36,0c,0f,\
"rkeysecu"=hex:ca,83,47,9d,66,9d,74,eb,42,f5,e2,7e,34,61,23,70
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_268_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_268_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_268.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ò7*]
"7040211900063D11C8EF10054038389C"="C?\\Windows\\SysWOW64\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\avmwlanstick\WlanNetService.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\program files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe
c:\program files (x86)\Google\Update\1.3.21.115\GoogleCrashHandler.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-18  16:25:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-18 14:25
.
Vor Suchlauf: 14 Verzeichnis(se), 96.360.534.016 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 96.407.519.232 Bytes frei
.
- - End Of File - - B3CD2004D7E8C07ABAEB940C59DD76BA
         
--- --- ---
Bzgl. Deiner Frage zum Proxy:
Ich bin mir nicht sicher, es kann sein, dass ein Programm namens "ghostscrip" (welches ich früher verwendet habe) damals einen Proxy erstellt hat. Auf jeden Fall brauch ich diesen nicht - ich hoffe das hilft Dir weiter.

Ich warte auf weitere Anweisungen/Schritte... :-)
__________________

Alt 18.08.2012, 17:07   #4
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hallo Sascha

Das hört sich doch gut an!

Wir sollten es aber nochmal kontrollieren.


Schritt 1

Malwarebytes
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter dem Reiter "Log Dateien" finden.


Schritt 2


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Bitte poste in deiner nächsten Antwort
  • Malwarebytes-Log
  • Eset-Log
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 19.08.2012, 12:21   #5
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Christop!

Gute Nachrichten, keiner der beiden Scanner konnte einen Fund verzeichnen

Malwarebytes-Log:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.19.03

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Sascha :: SASCHA [Administrator]

19.08.2012 11:11:00
mbam-log-2012-08-19 (11-11-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 220074
Laufzeit: 2 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Eset-Log:
Das Programm hat nach beendetem Suchlauf keine "List of found threats" erstellt (vermutlich weil es keine Funde gab), deshalb im Anhang meines Posts ein screenshot der Scanergebnisse


Miniaturansicht angehängter Grafiken
deo0_sar.exe bei jedem Neustart (Win Vista x64)-eset-online-scanner.jpg  

Alt 19.08.2012, 21:23   #6
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Sascha

Das hört sich doch gut an


Schritt 1

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Schritt 2

Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner & Glary Utilities.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.
  • Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
  • Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
  • Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.


Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.


Bitte poste in deiner nächsten Antwort
  • OTL.txt & Extras.txt
__________________
--> deo0_sar.exe bei jedem Neustart (Win Vista x64)

Alt 20.08.2012, 20:46   #7
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Christop :-)

Die von Dir beschriebenen Java-Operationen habe ich alle durchgeführt, es gab mittlerweile sogar schon die Version 7 Update 6, die ich dann natürlich verwendet habe.

Den CCleaner habe ich tatsächlich regelmäßig im Einsatz, bislang glücklicherweise ohne Probleme - dachte, wie Du schon erklärt hast, dass ich meine Registry mit Hilfe dieses Programms schlank halten und somit auch die Arbeitsgeschwindigkeit meines Rechners verbessern könnte (wie es beispielsweise auch auf Chip angepriesen wird). Werte aber Deinem Rat folgen und den CCleaner deinstallieren.

Glary Utilities verwende ich im Grund nur um die Autostarts meines Rechners zu kontrollieren bzw. anzupassen. Werde aber auch dieses Programm, Deiner Empfehlung entsprechend, deinstallieren und dafür den AutoStart-Manager 6.1 verwenden - ich hoffe dieser ist ok? (siehe: hxxp://www.chip.de/downloads/AutoStart-Manager_27158608.html)

Gibt es eigentlich Alternativen zu oben genannten Programmen, um den PC "sauber" zu halten bzw. vom Datenmüll zu befreien?

OTL.txt:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 20.08.2012 21:15:37 - Run 2
OTL by OldTimer - Version 3.2.58.1     Folder = C:\Users\Sascha\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,58 Gb Available Physical Memory | 64,58% Memory free
8,22 Gb Paging File | 6,49 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 232,88 Gb Total Space | 90,06 Gb Free Space | 38,67% Space Free | Partition Type: NTFS
 
Computer Name: SASCHA | User Name: Sascha | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.08.20 21:12:49 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Sascha\Desktop\OTL.exe
PRC - [2012.08.17 10:49:03 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.30 13:58:15 | 001,536,712 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_3_300_268.exe
PRC - [2012.07.22 09:33:12 | 000,186,832 | ---- | M] (Google Inc.) -- C:\Program Files (x86)\Google\Update\1.3.21.115\GoogleCrashHandler.exe
PRC - [2012.07.17 21:27:47 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
PRC - [2012.05.15 02:21:40 | 000,382,272 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.05.13 18:27:47 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.13 18:27:47 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2012.02.23 13:30:40 | 000,059,240 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
PRC - [2010.10.22 03:00:00 | 002,105,344 | R--- | M] (AVM Berlin) -- C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
PRC - [2010.10.22 03:00:00 | 000,376,832 | R--- | M] (AVM Berlin) -- C:\Program Files (x86)\avmwlanstick\WLanNetService.exe
PRC - [2008.07.30 18:35:43 | 000,066,872 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2007.12.03 11:26:02 | 000,498,792 | ---- | M] () -- C:\Program Files (x86)\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
PRC - [2007.12.03 11:06:38 | 000,140,568 | ---- | M] (Acronis) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
PRC - [2007.09.02 14:58:52 | 000,495,616 | ---- | M] () -- C:\Program Files (x86)\RocketDock\RocketDock.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.07.30 13:58:15 | 009,465,032 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll
MOD - [2012.07.17 21:27:47 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
MOD - [2012.05.15 02:21:26 | 000,368,448 | ---- | M] () -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll
MOD - [2011.06.24 22:56:36 | 000,087,328 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.06.24 22:56:14 | 001,241,888 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.03.17 01:11:16 | 004,297,568 | ---- | M] () -- C:\Program Files (x86)\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF
MOD - [2007.09.02 14:58:52 | 000,495,616 | ---- | M] () -- C:\Program Files (x86)\RocketDock\RocketDock.exe
MOD - [2007.09.02 14:57:36 | 000,069,632 | ---- | M] () -- C:\Program Files (x86)\RocketDock\RocketDock.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2011.09.27 21:04:08 | 000,359,192 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV:64bit: - [2011.01.12 13:10:12 | 003,049,800 | ---- | M] (O&O Software GmbH) [Auto | Running] -- C:\Program Files\OO Software\Defrag\oodag.exe -- (OODefragAgent)
SRV:64bit: - [2008.08.21 04:12:13 | 000,904,704 | ---- | M] (ATI Technologies Inc.) [Auto | Running] -- C:\Windows\SysNative\Ati2evxx.exe -- (Ati External Event Utility)
SRV:64bit: - [2008.01.19 10:06:50 | 000,383,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV:64bit: - [2007.04.26 17:38:59 | 000,876,976 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxdicoms.exe -- (lxdi_device)
SRV:64bit: - [2007.04.26 17:38:48 | 000,033,712 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\spool\DRIVERS\x64\3\\lxdiserv.exe -- (lxdiCATSCustConnectService)
SRV - [2012.07.17 21:27:47 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.07.01 17:53:49 | 000,529,232 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.05.15 12:48:00 | 001,262,400 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012.05.15 02:21:40 | 000,382,272 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2012.05.13 18:27:47 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.13 18:27:47 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.10.22 03:00:00 | 000,376,832 | R--- | M] (AVM Berlin) [Auto | Running] -- C:\Program Files (x86)\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2010.03.18 14:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.03.30 06:42:14 | 000,066,368 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2008.07.30 18:35:43 | 000,066,872 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2007.12.03 11:26:02 | 000,498,792 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe -- (TryAndDecideService)
SRV - [2007.12.03 11:06:42 | 000,599,320 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007.04.26 17:38:48 | 000,033,712 | ---- | M] () [Auto | Stopped] -- C:\Windows\system32\spool\DRIVERS\x64\3\\lxdiserv.exe -- (lxdiCATSCustConnectService)
SRV - [2007.04.26 17:38:38 | 000,517,040 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWOW64\lxdicoms.exe -- (lxdi_device)
SRV - [2007.02.23 13:06:54 | 000,438,152 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2007.02.23 13:06:46 | 000,215,944 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.05.13 18:27:47 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.05.13 18:27:47 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012.04.18 19:08:03 | 000,188,736 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA)
DRV:64bit: - [2012.02.29 15:52:46 | 000,016,384 | ---- | M] (Microsoft Corporation) [Recognizer | System | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2012.02.15 12:01:50 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\usbaapl64.sys -- (USBAAPL64)
DRV:64bit: - [2011.09.16 17:08:07 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\DRIVERS\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2011.09.02 08:30:46 | 000,042,776 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\Drivers\LUsbFilt.Sys -- (LUsbFilt)
DRV:64bit: - [2011.09.02 08:30:36 | 000,060,696 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\LMouFilt.Sys -- (LMouFilt)
DRV:64bit: - [2011.09.02 08:30:24 | 000,066,840 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\LHidFilt.Sys -- (LHidFilt)
DRV:64bit: - [2010.10.22 03:00:00 | 000,714,368 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\fwlanusbn.sys -- (fwlanusbn)
DRV:64bit: - [2010.06.23 09:21:34 | 000,318,568 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\Rtlh64.sys -- (RTL8169)
DRV:64bit: - [2009.10.01 02:51:42 | 000,046,592 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\wpdusb.sys -- (WpdUsb)
DRV:64bit: - [2009.07.11 18:54:40 | 000,871,408 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)
DRV:64bit: - [2009.05.18 14:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2009.04.11 07:43:06 | 000,019,456 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\usb8023x.sys -- (usb_rndisx)
DRV:64bit: - [2009.01.05 08:47:54 | 000,518,272 | ---- | M] (AVerMedia TECHNOLOGIES, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\AVerAF15DMBTH64.sys -- (AVerAF15DMBTH64)
DRV:64bit: - [2008.08.29 18:32:34 | 000,711,712 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\timntr.sys -- (timounter)
DRV:64bit: - [2008.08.29 18:32:34 | 000,081,952 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\Windows\SysNative\DRIVERS\tifsfilt.sys -- (tifsfilter)
DRV:64bit: - [2008.08.29 18:32:32 | 000,229,408 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\snapman.sys -- (snapman)
DRV:64bit: - [2008.08.29 18:32:30 | 000,593,952 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\tdrpman.sys -- (tdrpman)
DRV:64bit: - [2008.08.21 06:54:35 | 004,707,840 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2008.08.21 06:54:35 | 004,707,840 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2007.09.13 21:40:34 | 000,060,184 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\WmXlCore.sys -- (WmXlCore)
DRV:64bit: - [2007.09.13 21:40:26 | 000,015,768 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WmVirHid.sys -- (WmVirHid)
DRV:64bit: - [2007.09.13 21:40:08 | 000,034,456 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WmFilter.sys -- (WmFilter)
DRV:64bit: - [2007.09.13 21:40:00 | 000,022,040 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\WmBEnum.sys -- (WmBEnum)
DRV:64bit: - [2007.08.29 15:56:50 | 000,139,264 | ---- | M] (Guillemot Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\camfilt2.sys -- (camfilt2)
DRV:64bit: - [2007.07.13 11:45:24 | 000,172,928 | ---- | M] (OmniVision Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\Drivers\ov530vx.sys -- (OM0530)
DRV:64bit: - [2007.06.29 15:48:06 | 000,039,424 | ---- | M] (AMD, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\DRIVERS\AmdLLD64.sys -- (AmdLLD64)
DRV:64bit: - [2007.06.13 17:47:02 | 000,070,144 | ---- | M] (JMicron Technology Corp.) [Kernel | Boot | Running] -- C:\Windows\SysNative\DRIVERS\jraid.sys -- (JRAID)
DRV:64bit: - [2007.01.26 11:15:48 | 000,891,904 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ath2425x.sys -- (athr)
DRV - [2011.11.26 12:36:09 | 000,030,528 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\GVTDrv64.sys -- (GVTDrv64)
DRV - [2011.04.05 19:28:59 | 000,022,336 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - [2008.02.16 11:57:59 | 000,088,448 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\Windows\SysWOW64\drivers\snapman.sys -- (snapman)
DRV - [2006.12.12 16:07:34 | 000,024,896 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\Windows\ET5Drv.sys -- (ET5Drv)
DRV - [2006.07.21 14:50:52 | 000,005,632 | ---- | M] () [File_System | System | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen)
DRV - [2006.07.19 13:25:10 | 000,012,048 | R--- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Program Files (x86)\Gigabyte\ET5Pro\atidgllk.sys -- (atidgllk)
DRV - [1999.09.10 14:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | Auto | Stopped] -- C:\Windows\SysWow64\drivers\aspi32.sys -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.maxdome.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;<local>;*.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de/"
FF - prefs.js..extensions.enabledItems: {097d3191-e6fa-4728-9826-b533d755359d}:0.7.13
FF - prefs.js..extensions.enabledItems: {0545b830-f0aa-4d7e-8820-50a4629a56fe}:4.6.5
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.6
FF - prefs.js..extensions.enabledItems: hashcolouredtabs@bristol.ac.uk:0.4.23
FF - prefs.js..extensions.enabledItems: noia2_option@kk.noia:3.76
FF - prefs.js..extensions.enabledItems: {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}:3.76
FF - prefs.js..extensions.enabledItems: Office2007Black@JBBS:1.6.3
FF - prefs.js..extensions.enabledItems: {3fb63340-652a-11dd-ad8b-0800200c9a66}:3.5.200
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.socks_remote_dns: true
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\npPDFXCviewNPPlugin.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\Win32\npPDFXCviewNPPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files (x86)\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.732: C:\Program Files (x86)\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.732: C:\Program Files (x86)\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll File not found
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\Win32\npPDFXCviewNPPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\@vusion.com/WARPVideo,version=1.0.0: C:\Users\Sascha\AppData\Roaming\Vusion\npWARPVideoPlugin.410241.dll (Vusion, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\Sascha\AppData\Roaming\13001.024
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.17 21:27:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.08.20 20:50:30 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\Sascha\AppData\Roaming\13001.024
 
[2008.07.28 00:13:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sascha\AppData\Roaming\mozilla\Extensions
[2012.07.07 11:54:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\x85din64.default\extensions
[2012.03.29 20:56:12 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\x85din64.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.05.07 17:58:34 | 000,000,000 | ---D | M] (HashColouredTabs+) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\x85din64.default\extensions\hashcolouredtabs@bristol.ac.uk
[2012.03.17 11:06:50 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\Mozilla Firefox\extensions
[2012.06.29 21:51:19 | 000,084,634 | ---- | M] () (No name found) -- C:\USERS\SASCHA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\X85DIN64.DEFAULT\EXTENSIONS\{0545B830-F0AA-4D7E-8820-50A4629A56FE}.XPI
[2012.07.17 21:27:47 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[1999.12.31 17:00:00 | 000,166,680 | ---- | M] (Tracker Software Products Ltd.) -- C:\Program Files (x86)\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll
 
O1 HOSTS File: ([2012.08.18 16:15:57 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O2:64bit: - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg64.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4:64bit: - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (Acronis)
O4:64bit: - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4:64bit: - HKLM..\Run: [Windows Mobile-based device management] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe (AVM Berlin)
O4 - HKCU..\Run: [MobileDocuments] C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe (Apple Inc.)
O4 - HKCU..\Run: [RocketDock] C:\Program Files (x86)\RocketDock\RocketDock.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Local intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 1.7.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Java Plug-in 10.6.2)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EF236554-B32D-4E7D-9EDC-5BAC95D690D5}: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\boat.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\boat.jpg
O30:64bit: - LSA: Authentication Packages - (relog_ap) - C:\Windows\SysNative\relog_ap.dll (Acronis)
O30 - LSA: Authentication Packages - (relog_ap) - C:\Windows\SysWow64\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKCU\...com [@ = ComFile] -- Reg Error: Key error. File not found
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.20 21:12:49 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Sascha\Desktop\OTL.exe
[2012.08.20 21:00:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java
[2012.08.20 21:00:46 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe
[2012.08.20 21:00:38 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe
[2012.08.20 21:00:38 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe
[2012.08.20 21:00:38 | 000,095,208 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
[2012.08.20 20:50:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Oracle
[2012.08.20 20:50:30 | 000,821,736 | ---- | C] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll
[2012.08.19 11:10:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.19 11:10:01 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.08.19 11:10:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.08.18 16:25:20 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2012.08.18 16:25:20 | 000,000,000 | ---D | C] -- C:\Users\Sascha\AppData\Local\temp
[2012.08.18 16:18:43 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2012.08.18 16:06:44 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2012.08.18 16:06:44 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2012.08.18 16:06:44 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2012.08.18 16:06:08 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.08.18 16:05:34 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012.08.18 10:02:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hercules
[2012.08.18 10:01:08 | 000,000,000 | ---D | C] -- C:\Windows\OvtCam
[2012.08.18 10:00:41 | 000,172,928 | ---- | C] (OmniVision Technology Inc.) -- C:\Windows\SysNative\drivers\ov530vx.sys
[2012.08.18 10:00:41 | 000,139,264 | ---- | C] (Guillemot Corporation) -- C:\Windows\SysNative\drivers\camfilt2.sys
[2012.08.18 10:00:41 | 000,018,944 | ---- | C] (OmniVision Technologies Inc.) -- C:\Windows\SysWow64\msext534.ax
[2012.08.18 09:16:59 | 000,000,000 | ---D | C] -- C:\Users\Sascha\Documents\Hercules webcam
[2012.08.17 11:43:08 | 000,000,000 | ---D | C] -- C:\Users\Sascha\AppData\Roaming\Malwarebytes
[2012.08.17 11:42:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.17 11:40:39 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.08.17 11:11:43 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2012.08.17 11:11:42 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2012.08.17 11:11:42 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2012.08.17 11:11:42 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2012.08.17 11:11:41 | 002,312,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript9.dll
[2012.08.17 11:11:41 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\inetcpl.cpl
[2012.08.17 11:11:41 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\inetcpl.cpl
[2012.08.17 11:11:41 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2012.08.17 11:11:41 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2012.08.17 11:11:41 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieUnatt.exe
[2012.08.17 11:11:41 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieUnatt.exe
[2012.08.17 11:11:40 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.08.17 11:11:39 | 000,816,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.08.17 11:07:26 | 000,947,472 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msjava.dll
[2012.08.17 11:07:26 | 000,718,632 | ---- | C] (Guillemot) -- C:\Windows\SysWow64\WebCamPropertyWindow.dll
[2012.08.17 11:07:26 | 000,029,480 | ---- | C] (Guillemot Corporation S.A.) -- C:\Windows\SysWow64\libcmmn.dll
[2012.08.17 10:54:42 | 000,788,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\localspl.dll
[2012.08.17 10:54:42 | 000,623,616 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\localspl.dll
[2012.08.17 10:54:39 | 000,648,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\netapi32.dll
[2007.09.21 20:42:42 | 000,019,008 | ---- | C] (Windows (R) Server 2003 DDK provider) -- C:\Program Files (x86)\markfun.a64
[2007.08.21 20:49:28 | 000,017,912 | ---- | C] (Windows (R) 2000 DDK provider) -- C:\Program Files (x86)\markfun.w32
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.20 21:12:49 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Sascha\Desktop\OTL.exe
[2012.08.20 21:03:07 | 000,004,176 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.20 21:03:07 | 000,004,176 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.20 21:02:58 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.20 21:00:35 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\npDeployJava1.dll
[2012.08.20 21:00:35 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\deployJava1.dll
[2012.08.20 21:00:35 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaws.exe
[2012.08.20 21:00:35 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\javaw.exe
[2012.08.20 21:00:35 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\java.exe
[2012.08.20 21:00:35 | 000,095,208 | ---- | M] (Oracle Corporation) -- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
[2012.08.19 10:47:54 | 001,670,610 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.08.19 10:47:54 | 000,713,454 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.08.19 10:47:54 | 000,666,980 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.08.19 10:47:54 | 000,162,106 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.08.19 10:47:54 | 000,132,716 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.08.18 16:15:57 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2012.08.17 12:24:16 | 000,000,020 | ---- | M] () -- C:\Users\Sascha\defogger_reenable
[2012.08.17 11:17:48 | 000,389,296 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.07.31 16:40:29 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe
[2012.07.31 16:40:29 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2012.07.22 09:33:26 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore1cd67dc47ebcca1.job
 
========== Files Created - No Company Name ==========
 
[2012.08.18 16:06:44 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012.08.18 16:06:44 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012.08.18 16:06:44 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012.08.18 16:06:44 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012.08.18 16:06:44 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012.08.17 12:24:16 | 000,000,020 | ---- | C] () -- C:\Users\Sascha\defogger_reenable
[2012.08.17 11:07:26 | 000,037,672 | ---- | C] () -- C:\Windows\SysWow64\WebCamKSProxyPlugin.ax
[2012.07.22 09:33:26 | 000,001,106 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore1cd67dc47ebcca1.job
[2012.07.14 09:16:05 | 000,000,051 | ---- | C] () -- C:\Users\Sascha\AppData\Roaming\blckdom.res
[2012.05.15 02:21:50 | 000,423,744 | ---- | C] () -- C:\Windows\SysWow64\nvStreaming.exe
[2012.03.10 19:46:09 | 000,038,418 | ---- | C] () -- C:\Users\Sascha\AppData\Roaming\Microsoft Excel 97-2003.ADR
[2011.10.22 12:36:30 | 000,008,356 | ---- | C] () -- C:\Users\Sascha\overlay.ini
[2011.10.22 12:36:30 | 000,000,000 | ---- | C] () -- C:\Users\Sascha\vorlagen.ini
[2011.09.28 18:44:14 | 000,179,271 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2011.08.09 11:22:28 | 000,000,680 | ---- | C] () -- C:\Users\Sascha\AppData\Local\d3d9caps.dat
[2011.04.03 11:06:29 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2011.04.03 11:06:28 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.12.25 12:54:54 | 000,038,427 | ---- | C] () -- C:\Users\Sascha\AppData\Roaming\Kommagetrennte Werte (DOS).ADR
[2009.11.22 17:00:14 | 000,004,096 | -H-- | C] () -- C:\Users\Sascha\AppData\Local\keyfile3.drm
[2009.10.04 10:56:34 | 000,000,760 | ---- | C] () -- C:\Users\Sascha\AppData\Roaming\setup_ldm.iss
[2008.08.23 15:17:01 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008.07.30 18:42:11 | 000,000,094 | ---- | C] () -- C:\Users\Sascha\AppData\Local\fusioncache.dat
[2008.02.22 20:22:29 | 000,019,026 | ---- | C] () -- C:\Users\Sascha\AppData\Roaming\UserTile.png
[2008.02.14 15:28:56 | 000,000,029 | ---- | C] () -- C:\Program Files (x86)\version.ini
[2008.02.14 15:23:12 | 000,231,944 | ---- | C] () -- C:\Program Files (x86)\gwflash.exe
[2008.02.11 20:55:36 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.02.11 19:53:10 | 000,229,888 | ---- | C] () -- C:\Users\Sascha\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.11 00:29:45 | 000,000,732 | ---- | C] () -- C:\Users\Sascha\AppData\Local\d3d9caps64.dat
[2007.08.21 20:49:36 | 000,125,504 | ---- | C] () -- C:\Program Files (x86)\MarkFunDrv.dll
[2007.04.04 19:35:36 | 000,207,680 | ---- | C] () -- C:\Program Files (x86)\updateutility.exe
[2007.03.30 05:36:28 | 000,000,301 | ---- | C] () -- C:\Program Files (x86)\update.ini
[2007.03.02 05:48:50 | 000,240,448 | ---- | C] () -- C:\Program Files (x86)\gwf32.exe
[2006.11.24 00:47:50 | 000,207,680 | ---- | C] () -- C:\Program Files (x86)\BIOS_Run.exe
[2006.11.24 00:40:30 | 000,060,224 | ---- | C] () -- C:\Program Files (x86)\HUADRV.DLL
[2006.11.03 19:09:40 | 000,000,528 | ---- | C] () -- C:\Program Files (x86)\CONFIG.INI
[2006.03.07 16:22:08 | 000,000,268 | ---- | C] () -- C:\Users\Sascha\medcd.ini
[2005.04.27 20:40:26 | 000,006,800 | ---- | C] () -- C:\Program Files (x86)\W95_HUA.vxd

< End of report >
         
--- --- ---

Extras.txt:OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 20.08.2012 21:15:37 - Run 2
OTL by OldTimer - Version 3.2.58.1     Folder = C:\Users\Sascha\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,58 Gb Available Physical Memory | 64,58% Memory free
8,22 Gb Paging File | 6,49 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 232,88 Gb Total Space | 90,06 Gb Free Space | 38,67% Space Free | Partition Type: NTFS
 
Computer Name: SASCHA | User Name: Sascha | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.bat [@ = batfile] -- Reg Error: Key error. File not found
.cmd [@ = cmdfile] -- Reg Error: Key error. File not found
.com [@ = ComFile] -- Reg Error: Key error. File not found
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
https [open] -- Reg Error: Value error.
inffile [install] -- %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
https [open] -- Reg Error: Value error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = 59 79 7D 61 D8 74 C8 01  [binary data]
"VistaSp2" = 20 98 CC DA F8 ED C9 01  [binary data]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-1688558387-1665654493-2114607248-1000]
"EnableNotifications" = 1
"EnableNotificationsRef" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Sascha\AppData\Roaming\Vusion\WARPVideoStreamer.exe" = C:\Users\Sascha\AppData\Roaming\Vusion\WARPVideoStreamer.exe:*:Enabled:WARP Video Streamer -- (Vusion Inc.)
"C:\Users\Sascha\AppData\Roaming\Vusion\WARPVideoStreamer.exe" = C:\Users\Sascha\AppData\Roaming\Vusion\WARPVideoStreamer.exe:*:Enabled:WARP Video Streamer -- (Vusion Inc.)
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{01FEB348-1F0B-42E9-B8BF-5ADA6534F703}" = lport=1034 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4003 | 
"{034ED9F4-444A-4644-B7D1-BC28F5523862}" = lport=5721 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4002 | 
"{0420AC18-7CBF-4BA0-BD71-19E3E0EBCFEA}" = lport=1701 | protocol=17 | dir=in | app=system | 
"{2098639A-2F4C-474C-8558-58B52836C58E}" = lport=26675 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4006 | 
"{23C7BB96-1ED5-41FC-A6F3-0F6B60FB80D4}" = lport=6004 | protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\outlook.exe | 
"{2454D95A-11F6-41C8-B135-8C4AE65B92B2}" = lport=5678 | protocol=6 | dir=in | app=%systemroot%\windowsmobile\wmdhost.exe | 
"{2B9C6C68-5C50-4A2A-AE58-DD62C98B4248}" = lport=26675 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4006 | 
"{3B65BB79-5D45-48D8-A34A-9AFC6E69F4E6}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{40B1A31A-594A-468F-9B78-8CBF2ADD99AF}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{42305866-2081-4431-9513-450ABD05F714}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{46781C45-B254-4FD8-8FD4-660B455ABF34}" = lport=5721 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4002 | 
"{4BB70274-BB2B-45A0-86FA-593D63B23DCC}" = lport=3702 | protocol=17 | dir=in | app=c:\windows\system32\netproj.exe | 
"{63824B3A-FCA6-4B6B-8AB1-5D0459DCC39A}" = lport=1034 | protocol=6 | dir=in | name=@%systemroot%\windowsmobile\wmdc.exe,-4003 | 
"{8132A30E-F2EC-438F-944B-53CF9BDE9176}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{813AD462-8F51-4E28-970F-147E5D132662}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{82A37096-FFF7-4A4C-A298-AD8ECC486957}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{A073CDBA-9BAA-421D-A10E-A452CF4513C9}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{A13A0847-5285-4A69-B751-D0FA817D2AD8}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{A1E10A8B-5C82-48BF-B3FE-11B3A6B86219}" = lport=5678 | protocol=6 | dir=in | app=%systemroot%\windowsmobile\wmdhost.exe | 
"{A7FFB9CB-AF53-4F57-B4B8-62F2BB36B869}" = rport=3702 | protocol=17 | dir=out | app=c:\windows\system32\netproj.exe | 
"{AC0AD13B-2876-4FE5-9CDE-0E8DF42F505D}" = rport=1723 | protocol=6 | dir=out | app=system | 
"{CDC276DA-0C4E-44A6-B376-45695ACAF7CE}" = rport=1701 | protocol=17 | dir=out | app=system | 
"{CEFD0B54-06E0-431E-9556-09C13E2AAFC0}" = rport=5679 | protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{E4F795AC-F947-4F13-8249-A5B78131FC3B}" = lport=990 | protocol=6 | dir=in | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{ECC963D5-1969-4A12-A64C-01F0701694AF}" = lport=999 | protocol=6 | dir=in | app=%systemroot%\windowsmobile\wmdhost.exe | 
"{ECE17942-AA68-44D0-A86C-B68541FCB337}" = lport=999 | protocol=6 | dir=in | app=%systemroot%\windowsmobile\wmdhost.exe | 
"{F47D27BE-2EA7-4AA4-8706-D62F66CA04D2}" = lport=1723 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{035A6139-D476-44BF-B88A-33DADDF0FB43}" = dir=in | app=c:\program files (x86)\skype\phone\skype.exe | 
"{05E6CD76-5B6B-445B-9424-C9061BAB9C28}" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe | 
"{06C2ACF1-09A6-4EDD-8B55-A71C8EEA83FA}" = protocol=17 | dir=in | app=c:\windows\syswow64\lxdicoms.exe | 
"{0EAB51CC-3ACB-4CC3-A8A9-5DD6F9ECC787}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{1DBE9D5C-24F5-4D0B-B43E-D01865D0A87B}" = protocol=6 | dir=in | app=c:\windows\syswow64\lxdicoms.exe | 
"{20D1E1C3-D8BD-411D-AE99-F70D26DD5CB5}" = protocol=17 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\game.dat | 
"{2636295E-6BF4-4FA2-8F62-A4E117CCEECC}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{2767BACB-8246-4B22-A3C6-8821E09E62CC}" = protocol=6 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe | 
"{290768A3-8795-406C-A652-352462B218D8}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{36BB7278-17B0-4F70-A178-F03CB8E0CB07}" = protocol=17 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\runlauncher.bat | 
"{37D59EAF-7BB7-4CDE-86A2-8FA606917C36}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1199\agent.exe | 
"{3B490B68-46AC-4A42-80F0-148DC69285B6}" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\starcraft ii.exe | 
"{3CA4D84A-9D35-4C02-A888-1D27844B1B1B}" = protocol=17 | dir=in | app=c:\windows\syswow64\pnkbstrb.exe | 
"{43D83729-FC82-4D28-8FC6-0E0F1EC2CCAE}" = dir=in | app=c:\program files (x86)\itunes\itunes.exe | 
"{457C1282-4C1A-48AD-9C15-581DC16510A5}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxditime.exe | 
"{462D6A4A-CFD0-4F77-9D6A-2373E257B059}" = protocol=17 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe | 
"{483A9817-CFE0-42A1-B257-5B9332BEA6DE}" = protocol=17 | dir=in | app=c:\windows\system32\lxdicoms.exe | 
"{497FFB6D-0337-458D-8A3F-C727697BC99E}" = protocol=6 | dir=in | app=c:\windows\system32\lxdicfg.exe | 
"{4A8513D4-2699-4C98-8F12-77F2711C093D}" = protocol=6 | dir=in | app=c:\windows\syswow64\pnkbstra.exe | 
"{4F6EB377-13BA-497C-B9EE-E883BFF0CE49}" = protocol=6 | dir=in | app=c:\windows\system32\lxdicoms.exe | 
"{4FB4498C-C032-45A1-8418-A360EE0FBB6F}" = protocol=17 | dir=in | app=c:\windows\system32\lxdicoms.exe | 
"{53B56814-B6DB-4D48-A544-A9D607C67821}" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe | 
"{5690F8A8-FC3B-4966-B641-1510172ACF66}" = protocol=17 | dir=in | app=c:\windows\syswow64\lxdiih.exe | 
"{58110EE6-CF4C-4CC0-90D2-113E5EA88553}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{5D603AA9-BDB4-4EFD-82C5-A4230C44A67A}" = protocol=17 | dir=in | app=c:\windows\system32\lxdicfg.exe | 
"{5DF2BC37-AEB9-405E-95C9-CA5EF8A3B355}" = protocol=6 | dir=in | app=c:\windows\system32\lxdicoms.exe | 
"{5EC11C3E-2CC8-4CBC-9CB4-3320C70BE4BE}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
"{5FA06240-0528-4849-9ADC-AC34AA023BD0}" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\app4r.exe | 
"{60ECB7BB-4C92-430F-B7C3-828A13007143}" = protocol=6 | dir=in | app=c:\windows\syswow64\lxdiih.exe | 
"{615074BC-44BE-493A-A72C-B489AAB7BF2E}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxditime.exe | 
"{6B8D66A1-DC21-42D4-9814-FB8E3F214A2D}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{6C351460-07EC-4A7A-8A81-D73A302B4D83}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{6ED5F134-CE45-4B9F-A40A-BA9F4997ABF8}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{7C7810A7-DEB9-46CA-B03F-98A9A73A2178}" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\wireless\lxdiwpss.exe | 
"{85E821F3-3210-4A54-BD1F-3130441CA81F}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdijswx.exe | 
"{896199D9-3153-41DD-B8FA-67455DEBFDED}" = protocol=17 | dir=in | app=c:\windows\syswow64\pnkbstra.exe | 
"{896FB158-7116-469A-B165-53A666F39696}" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\wireless\lxdiwpss.exe | 
"{8F4A7EA1-2CFF-46BF-8B08-361C6306E06D}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office14\groove.exe | 
"{8F88C676-2BF7-4FEC-964B-DF16F1158C5E}" = protocol=6 | dir=in | app=c:\users\sascha\saved games\diablo iii\diablo iii.exe | 
"{93AC90E0-B8BE-4ADA-8712-C22ACA13EEEB}" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1225\agent.exe | 
"{992DF611-4671-4E00-B33F-BE0D12570517}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdipswx.exe | 
"{9F682E13-BCAE-467E-9F47-CF93E7FFA696}" = protocol=6 | dir=in | app=c:\windows\syswow64\pnkbstrb.exe | 
"{A050CCCA-45AB-46B3-8C6C-3827AFCCA8DF}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1199\agent.exe | 
"{A50F0F5C-27FB-4AAE-B885-A694D72E3C2E}" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\starcraft ii.exe | 
"{AC10684E-9EFF-4F40-BDE3-942D0B81DE7B}" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe | 
"{AC5BBE9F-BEEE-40B7-9ECD-DA0CCA0C0732}" = protocol=6 | dir=in | app=c:\program files (x86)\bonjour\mdnsresponder.exe | 
"{AF8AD85E-EE57-4058-99D9-B4F649565BA0}" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\app4r.exe | 
"{B0F10065-E669-4324-A0E5-BF8B13A895A2}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdijswx.exe | 
"{B13D066D-9C7F-40DC-911F-AAD6ED4860A4}" = dir=in | app=c:\program files (x86)\common files\apple\apple application support\webkit2webprocess.exe | 
"{C6A8033C-2B65-45E2-B2F0-0622BF046A89}" = protocol=17 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe | 
"{C7D64819-0C99-4D25-BA02-A0A1DD60E1CF}" = protocol=6 | dir=out | app=c:\windows\system32\netproj.exe | 
"{C7F632A2-98D6-44C1-97C9-ECB1BB3B67EE}" = protocol=6 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\game.dat | 
"{DB01FED5-4770-4345-B20E-B243DC095E45}" = protocol=17 | dir=in | app=c:\users\sascha\saved games\diablo iii\diablo iii.exe | 
"{E546747B-C2BC-4AF2-BF68-1F0256F4C6C1}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{E8C4B362-EA87-4F6C-BD35-D050933A6C7E}" = protocol=6 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\runlauncher.bat | 
"{EB89E420-53DB-4E3A-8409-2BBF5261B129}" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe | 
"{F10C986E-6C29-4894-8E3F-F168A2D308B3}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office14\onenote.exe | 
"{F741519D-E4A1-4CCF-B1A2-745046872ACC}" = protocol=6 | dir=in | app=c:\windows\system32\netproj.exe | 
"{FC69C478-EC0A-445B-8DF2-56A6EC716A8E}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdipswx.exe | 
"{FDE2FB08-5F5C-42B2-B6AE-1A0A7DA337E5}" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1225\agent.exe | 
"{FDF471FD-CA6D-4EF5-8523-F3F4909154C9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"TCP Query User{0AE43DFC-E125-425E-9DFE-1ECEB1989FA1}C:\program files (x86)\mseven software\mbackup\mbackup.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mseven software\mbackup\mbackup.exe | 
"TCP Query User{174740BF-2A3E-4DF9-A93C-543ACD8D2B72}C:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe | 
"TCP Query User{20998FCE-8B32-48FD-A98B-B34B927BDD28}C:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe | 
"TCP Query User{22015CD8-695D-428E-8F3D-8C3F1FEEDDA3}C:\windows\system32\spool\drivers\x64\3\lxdipswx.exe" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdipswx.exe | 
"TCP Query User{2A532DBA-16A0-4331-902A-D1D4ABC12916}C:\users\sascha\saved games\starcraft ii\versions\base18574\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base18574\sc2.exe | 
"TCP Query User{3C1D879C-B4B5-48F7-A567-33A21A392A95}C:\program files (x86)\icq6.5\icq.exe" = protocol=6 | dir=in | app=c:\program files (x86)\icq6.5\icq.exe | 
"TCP Query User{3C8D013E-293E-4B30-A0B9-12CD49884E76}C:\program files (x86)\gigabyte\@bios\gwflash.exe" = protocol=6 | dir=in | app=c:\program files (x86)\gigabyte\@bios\gwflash.exe | 
"TCP Query User{46F2CEC3-3384-4337-A08A-EFD41FE35479}C:\users\sascha\saved games\starcraft ii\support\blizzarddownloader.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\support\blizzarddownloader.exe | 
"TCP Query User{48C1AA8B-B52A-4F37-99CF-3745D9FDF392}C:\users\sascha\saved games\starcraft ii\versions\base18092\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base18092\sc2.exe | 
"TCP Query User{60B502B1-CC73-4F03-991D-67ECB0CF7415}C:\program files (x86)\winamp\winamp.exe" = protocol=6 | dir=in | app=c:\program files (x86)\winamp\winamp.exe | 
"TCP Query User{62161E42-A5AB-4F23-B06B-8EADFC9F4676}C:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe | 
"TCP Query User{6A85C5A6-E727-44C7-86A5-1CF3DB217CA3}C:\program files (x86)\lexmark 3500-4500 series\app4r.exe" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\app4r.exe | 
"TCP Query User{7306CAB3-DAD5-49D1-B5DA-461AABF148C9}C:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat" = protocol=6 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat | 
"TCP Query User{7D2381A1-8967-4214-9ABD-D678B97A5A96}C:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe" = protocol=6 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe | 
"TCP Query User{81C55A19-D77E-41E8-A7E3-6C530CD7EBFF}C:\programdata\battle.net\agent\agent.1040\agent.exe" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"TCP Query User{85558397-DDFC-4A6F-BB9C-B30B1ABD0799}C:\programdata\battle.net\agent\agent.1040\agent.exe" = protocol=6 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"TCP Query User{925A55F2-0BA7-4A55-93C2-F3A44B506E1B}C:\program files (x86)\gwflash.exe" = protocol=6 | dir=in | app=c:\program files (x86)\gwflash.exe | 
"TCP Query User{99035070-9F56-4B7B-BF35-765FC02715D0}C:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe | 
"TCP Query User{9F1CAF8F-10D7-4B70-9315-07540786CA3C}C:\program files (x86)\gigabyte\@bios\update.exe" = protocol=6 | dir=in | app=c:\program files (x86)\gigabyte\@bios\update.exe | 
"TCP Query User{A7740B6B-8CEA-469B-982A-3636E69F4B44}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
"TCP Query User{AC6CC4A1-8724-4182-9088-C9DCA49FC9A5}C:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe" = protocol=6 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe | 
"TCP Query User{AD4909B5-9242-4027-A393-7618A1590027}C:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat" = protocol=6 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat | 
"TCP Query User{AFCB1C1B-711F-4D8D-9C15-6D4D25063B34}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"TCP Query User{B63D5625-D8D0-4C09-AEF5-D7B9FA5A8042}C:\users\sascha\saved games\starcraft ii\versions\base19132\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19132\sc2.exe | 
"TCP Query User{B9D70DCF-5225-4FBD-8142-1F03E2A0CDFF}C:\users\sascha\saved games\starcraft ii\versions\base21029\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base21029\sc2.exe | 
"TCP Query User{C114830A-87BD-42F6-B1DD-A968F810C3CA}C:\users\sascha\appdata\roaming\vusion\warpvideostreamer.exe" = protocol=6 | dir=in | app=c:\users\sascha\appdata\roaming\vusion\warpvideostreamer.exe | 
"TCP Query User{D35FA364-E297-4808-97B3-A2968C927E3D}C:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe" = protocol=6 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe | 
"TCP Query User{D8563B1D-AB36-4BB6-98EC-92BB23580B48}C:\program files (x86)\gigabyte\@bios\gwflash.exe" = protocol=6 | dir=in | app=c:\program files (x86)\gigabyte\@bios\gwflash.exe | 
"TCP Query User{D940707E-097C-4685-9FEA-77DD8B5BD943}C:\program files (x86)\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files (x86)\google\google earth\plugin\geplugin.exe | 
"TCP Query User{F8582EC6-3C46-46DA-A7F4-34A17B3AC47B}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{05C5334F-1EE3-44B8-AAAD-E8476D99F823}C:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe | 
"UDP Query User{074141C5-5F9C-43A3-9B57-C091417158CB}C:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe" = protocol=17 | dir=in | app=c:\program files (x86)\steam\steamapps\common\batman2\binaries\win32\batmanac.exe | 
"UDP Query User{0D852BA6-1398-4B6B-9230-442C3861A7BB}C:\program files (x86)\gigabyte\@bios\gwflash.exe" = protocol=17 | dir=in | app=c:\program files (x86)\gigabyte\@bios\gwflash.exe | 
"UDP Query User{11CDBDE3-AC49-42D0-9D38-A73452DF7759}C:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdimon.exe | 
"UDP Query User{18B70607-3571-428B-90AB-1932171B5151}C:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe | 
"UDP Query User{226F8B6B-7B03-417D-A4E8-7E9C68618A6F}C:\users\sascha\saved games\starcraft ii\versions\base19132\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19132\sc2.exe | 
"UDP Query User{515DA4A0-D2C3-4506-B726-8335B2DABA8F}C:\program files (x86)\gwflash.exe" = protocol=17 | dir=in | app=c:\program files (x86)\gwflash.exe | 
"UDP Query User{57F9870F-CA50-4537-907A-10EC4FEC6B8F}C:\program files (x86)\winamp\winamp.exe" = protocol=17 | dir=in | app=c:\program files (x86)\winamp\winamp.exe | 
"UDP Query User{6043B92C-6F34-4F37-ACE0-313BF76E4EDB}C:\users\sascha\appdata\roaming\vusion\warpvideostreamer.exe" = protocol=17 | dir=in | app=c:\users\sascha\appdata\roaming\vusion\warpvideostreamer.exe | 
"UDP Query User{6AFC4364-3642-4F80-9E00-1CF6A000BFAA}C:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base17326\sc2.exe | 
"UDP Query User{6E013656-E545-4109-A4F2-47AF1C324A84}C:\program files (x86)\mseven software\mbackup\mbackup.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mseven software\mbackup\mbackup.exe | 
"UDP Query User{6F5C692D-0024-4A2B-BAE7-7E7B79F80A69}C:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base19679\sc2.exe | 
"UDP Query User{875E4394-D0CA-4211-A138-8E1AEDC2328B}C:\program files (x86)\gigabyte\@bios\gwflash.exe" = protocol=17 | dir=in | app=c:\program files (x86)\gigabyte\@bios\gwflash.exe | 
"UDP Query User{8B6C32E3-2F95-4F25-A3A4-F91B812E6D1E}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{90990454-1D4E-402E-A1AE-1B67149985EB}C:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat" = protocol=17 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat | 
"UDP Query User{91C7C42F-B95F-4033-87A9-EBED6C531B9E}C:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\lxdiamon.exe | 
"UDP Query User{92FE9FA5-A92F-4493-BC5F-FB57E6E3D5DE}C:\users\sascha\saved games\starcraft ii\versions\base18092\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base18092\sc2.exe | 
"UDP Query User{93DDB76B-1EA8-4626-8F83-42C4A3BD0B97}C:\program files (x86)\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files (x86)\mozilla firefox\firefox.exe | 
"UDP Query User{96B89077-B726-467D-94DB-F7F2076C7D49}C:\windows\system32\spool\drivers\x64\3\lxdipswx.exe" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\x64\3\lxdipswx.exe | 
"UDP Query User{9E454376-817D-47E2-80A2-1F2182BB4738}C:\programdata\battle.net\agent\agent.1040\agent.exe" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"UDP Query User{A1053F3D-7E9A-4F98-BFFE-877EEABA31E6}C:\programdata\battle.net\agent\agent.1040\agent.exe" = protocol=17 | dir=in | app=c:\programdata\battle.net\agent\agent.1040\agent.exe | 
"UDP Query User{AF818CB5-ABCE-41DB-BC51-E905D36EA15A}C:\program files (x86)\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files (x86)\google\google earth\plugin\geplugin.exe | 
"UDP Query User{BF4C44D9-F992-4A99-9E72-F51580AC5EAC}C:\users\sascha\saved games\starcraft ii\versions\base18574\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base18574\sc2.exe | 
"UDP Query User{C2F51E4B-F021-4AE7-8F88-AF828C974C94}C:\users\sascha\saved games\starcraft ii\versions\base21029\sc2.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\versions\base21029\sc2.exe | 
"UDP Query User{C8884781-02E6-46CB-96C2-46A7F2336254}C:\program files (x86)\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files (x86)\internet explorer\iexplore.exe | 
"UDP Query User{DCA9D644-365F-4A8B-8C95-67B618CBC6EF}C:\users\sascha\saved games\starcraft ii\support\blizzarddownloader.exe" = protocol=17 | dir=in | app=c:\users\sascha\saved games\starcraft ii\support\blizzarddownloader.exe | 
"UDP Query User{E457B34D-1658-4049-A541-7771040A3F01}C:\program files (x86)\lexmark 3500-4500 series\app4r.exe" = protocol=17 | dir=in | app=c:\program files (x86)\lexmark 3500-4500 series\app4r.exe | 
"UDP Query User{EA23B143-EA01-4299-A401-89284D1C2051}C:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat" = protocol=17 | dir=in | app=c:\program files (x86)\electronic arts\die schlacht um mittelerde ii\patchget.dat | 
"UDP Query User{EBFEAE95-3451-47F5-8434-E1D1EB4CA6AD}C:\program files (x86)\gigabyte\@bios\update.exe" = protocol=17 | dir=in | app=c:\program files (x86)\gigabyte\@bios\update.exe | 
"UDP Query User{FEF27774-BFE6-41AB-B786-CA8BCEB5212A}C:\program files (x86)\icq6.5\icq.exe" = protocol=17 | dir=in | app=c:\program files (x86)\icq6.5\icq.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{23170F69-40C1-2702-0457-000001000000}" = 7-Zip 4.57 (x64 edition)
"{3A8386F4-A9CC-4395-B9D2-C7E864260B51}" = Windows Mobile-Gerätecenter: Treiberupdate
"{41BC9E31-0D39-462E-8E4C-767B21A3B1C3}" = MobileMe Control Panel
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{6A76BEAF-6D1F-4273-A79B-DA8410A2E56B}" = Apple Mobile Device Support
"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"{6E8E85E8-CE4B-4FF5-91F7-04999C9FAE6A}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{7E69263C-626D-4C56-9CA1-3522D79FEB7F}" = Logitech Gaming Software 5.01
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{840A3BAA-4C68-4581-9C7A-6F8D6CF531B9}" = iTunes
"{8B485965-8EFE-464A-842F-CF8F18C3DFD7}" = iCloud
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{90140000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2010
"{90140000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2010
"{9B48B0AC-C813-4174-9042-476A887592C7}" = Windows Live ID Sign-in Assistant
"{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 301.42
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 301.42
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 301.42
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB" = NVIDIA 3D Vision Controller-Treiber 301.42
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.0213
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.8.15
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.3.16.0
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B6E3757B-5E77-3915-866A-CCFC4B8D194C}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F44F6BAB-6988-4E61-A4B2-73E749F56A65}" = Windows Mobile-Gerätecenter
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{FD686BCC-33E0-4990-BB88-3DAA8C29511E}" = O&O Defrag Free Edition
"CCleaner" = CCleaner
"KLiteCodecPack64_is1" = K-Lite Codec Pack (64-bit) v3.4.0
"Lexmark 3500-4500 Series" = Lexmark 3500-4500 Series
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"sp6" = Logitech SetPoint 6.32
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0339996A-1CC7-4FCD-8BE6-A32076E70272}" = Application Suite
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{122ADF8C-DDA1-480C-9936-C88F2825B265}" = Apple Application Support
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6
"{28184E01-D57A-4933-A09B-F65403F16D82}" = i-Cool
"{2A9F95AB-65A3-432c-8631-B8BC5BF7477A}" = Die Schlacht um Mittelerde™ II
"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer
"{3EE1008C-11A1-4F4F-8DB7-27573924DE78}" = DMIView B06.1227.01
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{41910260-4532-4734-8181-3E8AFDBB05D7}" = EasyBoost
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4CB0307C-565E-4441-86BE-0DF2E4FB828C}" = Microsoft Games for Windows Marketplace
"{53735ECE-E461-4FD0-B742-23A352436D3A}" = Logitech Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5C81B189-5456-40C4-9313-7FE6FA6DD64C}" = Office-Bibliothek
"{5F0EE12C-44B1-4FCB-87E3-4686C888774A}" = Hercules Classic Webcam Drivers
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}" = Acronis*True*Image*Home
"{6952F74E-2D2C-423A-8778-D67C1C6C1C5B}" = mBackup
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6B4AD1A9-E73A-4184-9D6B-072F8A3C5EBA}" = VoiceOver Kit
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{832D9DE0-8AFC-4689-9819-4DBBDEBD3E4F}" = Microsoft Games for Windows - LIVE Redistributable
"{8678BD65-D66E-48BB-8531-91D0EF8998A1}" = Classic Silver Drivers
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90120000-00B0-0409-0000-0000000FF1CE}" = Microsoft Save as PDF Add-in for 2007 Microsoft Office programs
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUSR_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUSR_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUSR_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0000-1000-0000000FF1CE}_Office14.PROPLUSR_{967EF02C-5C7E-4718-8FCB-BDC050190CCF}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002A-0407-1000-0000000FF1CE}_Office14.PROPLUSR_{594128C9-2CDF-43CE-8103-DC100CF013B6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUSR_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{91140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{91140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUSR_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{9580813D-94B1-4C28-9426-A441E2BB29A5}" = Counter-Strike: Source
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9FD6F1A8-5550-46AF-8509-271DF0E768B5}" = Dual-Core Optimizer
"{A48B9CD8-C2BA-4EC9-0081-7260D238C7CF}" = Need for Speed™ Most Wanted
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B2DC3F08-2EB2-49A5-AA24-15DFC8B1CB83}" = @BIOS 
"{C3C44248-B8F7-4B20-A5C7-994870B60F55}" = Hercules Webcam Station Evolution SE
"{C6579A65-9CAE-4B31-8B6B-3306E0630A66}" = Apple Software Update
"{C779648B-410E-4BBA-B75B-5815BCEFE71D}" = Safari
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{DA909E62-3B45-4BA1-8B58-FCAEBA4BCEC9}" = NVIDIA PhysX
"{DEAD07C6-D070-43AB-A60D-D9ABE55E296D}_is1" = JPEGCrops 0.7.5 beta
"{E6D208E1-1B27-476E-B2C6-348356281B49}" = abit AirPace Wi-Fi
"{E76FCE6B-9999-4250-8C75-B2DA4AD41268}" = Face_Wizard B07.0509.01
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{FA54AFB1-5745-4389-B8C1-9F7509672ED1}" = iPhone-Konfigurationsprogramm
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Ashampoo Burning Studio 2012_is1" = Ashampoo Burning Studio 2012 v.10.0.15
"Audacity_is1" = Audacity 2.0
"Audiograbber" = Audiograbber 1.83 SE 
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CDisplay_is1" = CDisplay 1.8
"Diablo III" = Diablo III
"EasyTune5Pro" = EasyTune5Pro
"ElsterFormular 13.0.0.8086p" = ElsterFormular
"Glary Utilities_is1" = Glary Utilities 2.43.0.1419
"Google Updater" = Google Updater
"InstallShield_{41910260-4532-4734-8181-3E8AFDBB05D7}" = EasyBoost
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.9.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Mp3tag" = Mp3tag v2.42
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
"OpenAL" = OpenAL
"PunkBusterSvc" = PunkBuster Services
"RocketDock_is1" = RocketDock 1.3.5
"SpeedFan" = SpeedFan (remove only)
"StarCraft II" = StarCraft II
"Steam App 57400" = Batman: Arkham City™ PC
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"WARPVideo" = WARP Video 2
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 19.08.2012 05:19:49 | Computer Name = Sascha | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Sascha\Desktop\esetsmartinstaller_enu.exe".
 Fehler in Manifest- oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche
 Komponentenversion steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.
Die
 widersprüchlichen Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
 
Error - 19.08.2012 05:19:53 | Computer Name = Sascha | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Sascha\Desktop\esetsmartinstaller_enu.exe".
 Fehler in Manifest- oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche
 Komponentenversion steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.
Die
 widersprüchlichen Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
 
Error - 19.08.2012 07:23:12 | Computer Name = Sascha | Source = EventSystem | ID = 4621
Description = 
 
Error - 19.08.2012 16:41:25 | Computer Name = Sascha | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung nvvsvc.exe, Version 8.17.13.142, Zeitstempel
 0x4fb21865, fehlerhaftes Modul nvvsvc.exe, Version 8.17.13.142, Zeitstempel 0x4fb21865,
 Ausnahmecode 0x40000015, Fehleroffset 0x000000000004eec5,  Prozess-ID 0x4c0, Anwendungsstartzeit
 01cd7e4afe2cbd2c.
 
Error - 19.08.2012 16:42:09 | Computer Name = Sascha | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Sascha\Desktop\esetsmartinstaller_enu.exe".
 Fehler in Manifest- oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche
 Komponentenversion steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.
Die
 widersprüchlichen Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
 
Error - 19.08.2012 17:19:29 | Computer Name = Sascha | Source = EventSystem | ID = 4621
Description = 
 
Error - 20.08.2012 14:35:14 | Computer Name = Sascha | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung nvvsvc.exe, Version 8.17.13.142, Zeitstempel
 0x4fb21865, fehlerhaftes Modul nvvsvc.exe, Version 8.17.13.142, Zeitstempel 0x4fb21865,
 Ausnahmecode 0x40000015, Fehleroffset 0x000000000004eec5,  Prozess-ID 0x4b0, Anwendungsstartzeit
 01cd7f028797c844.
 
Error - 20.08.2012 15:01:38 | Computer Name = Sascha | Source = EventSystem | ID = 4621
Description = 
 
Error - 20.08.2012 15:03:06 | Computer Name = Sascha | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung nvvsvc.exe, Version 8.17.13.142, Zeitstempel
 0x4fb21865, fehlerhaftes Modul nvvsvc.exe, Version 8.17.13.142, Zeitstempel 0x4fb21865,
 Ausnahmecode 0x40000015, Fehleroffset 0x000000000004eec5,  Prozess-ID 0x4b0, Anwendungsstartzeit
 01cd7f066ca860d7.
 
Error - 20.08.2012 15:12:26 | Computer Name = Sascha | Source = SideBySide | ID = 16842830
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Sascha\Downloads\Trojaner-Board\esetsmartinstaller_enu.exe".
 Fehler in Manifest- oder Richtliniendatei "" in Zeile .  Eine für die Anwendung erforderliche
 Komponentenversion steht in Konflikt mit einer anderen bereits aktiven Komponentenversion.
Die
 widersprüchlichen Komponenten sind:  Komponente 1: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_1509f852f40ee5cd.manifest.
Komponente
 2: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3.manifest.
 
[ System Events ]
Error - 20.08.2012 14:38:03 | Computer Name = Sascha | Source = Service Control Manager | ID = 7038
Description = 
 
Error - 20.08.2012 14:38:03 | Computer Name = Sascha | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 20.08.2012 15:02:48 | Computer Name = Sascha | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \SystemRoot\SysWow64\Drivers\StarOpen.SYS
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 20.08.2012 15:03:15 | Computer Name = Sascha | Source = Application Popup | ID = 1060
Description = Aufgrund der Inkompatibilität mit diesem System wurde \SystemRoot\SysWow64\Drivers\Aspi32.SYS
 nicht geladen. Wenden Sie sich an den Softwarehersteller, um eine kompatible Version
 des Treibers zu erhalten.
 
Error - 20.08.2012 15:04:47 | Computer Name = Sascha | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 20.08.2012 15:04:47 | Computer Name = Sascha | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 20.08.2012 15:04:47 | Computer Name = Sascha | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 20.08.2012 15:04:47 | Computer Name = Sascha | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 20.08.2012 15:06:02 | Computer Name = Sascha | Source = Service Control Manager | ID = 7038
Description = 
 
Error - 20.08.2012 15:06:02 | Computer Name = Sascha | Source = Service Control Manager | ID = 7000
Description = 
 
 
< End of report >
         
--- --- ---


Alt 21.08.2012, 06:34   #8
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Sascha

Von mir aus kannst du den CCleaner auch behalten, wenn du die Registry-Cleaning-Funktion in Zukunft nicht mehr benutzt. Er hat den Vorteil, dass du deinen PC von unnötigen Dateien bereinigen lassen kannst. Gegen das von dir jetzt genutzte Programm ist aber nichts zu sagen.

wir müssen eine Datei überprüfen:

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:
    ATTFilter
      
    C:\Users\Sascha\AppData\Roaming\blckdom.res
             
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 21.08.2012, 21:12   #9
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Christoph,

danke für Deinen Tipp

Die von Dir angegeben Datei kann weder über die Suchfunktion gefunden werden, noch wenn ich versuche den Pfad manuell, per klicken (also öffnen der einzelnen Ordner nach dem von Dir angegeben Pfad) einzugeben, es fehlt schlichtweg die "blckdom.res", sie befindet sich nicht im Ordner "Roaming".

Mache ich etwas falsch?

Alt 22.08.2012, 12:04   #10
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Sascha

Das schauen wir uns mal genauer an:
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
/md5start
blckdom.res
/md5stop
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Nichts und danach den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 22.08.2012, 21:28   #11
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hey Christoph

Hier das Ergebnis:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.08.2012 22:18:51 - Run 3
OTL by OldTimer - Version 3.2.58.1     Folder = C:\Users\Sascha\Desktop
64bit-Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,64 Gb Available Physical Memory | 66,06% Memory free
8,22 Gb Paging File | 6,64 Gb Available in Paging File | 80,84% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 232,88 Gb Total Space | 90,07 Gb Free Space | 38,68% Space Free | Partition Type: NTFS
 
Computer Name: SASCHA | User Name: Sascha | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
< MD5 for: BLCKDOM.RES  >
[2012.07.14 10:07:28 | 000,000,051 | ---- | M] () MD5=814C6771752E6D3FD43992E8ED9DD20A -- C:\Users\Sascha\AppData\Roaming\blckdom.res

< End of report >
         
--- --- ---

Alt 22.08.2012, 23:07   #12
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Sascha

die Datei scheint sauber zu sein, wir sollten sie aber trotzdem entfernen, nur um sicherzugehen.


Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:files
C:\Users\Sascha\AppData\Roaming\blckdom.res

:Commands
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 2

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
         


Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 3

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Schritt 4

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher, dass die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und dass diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool, welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich, bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart außerdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
  • Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z. B. deinFoto.jpg. oder (aus aktuellem Anlass) angebliche Rechnungen im ZIP- oder Exe-Formatexe
Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Alt 25.08.2012, 12:04   #13
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Christoph

Schritt 1 hat funktioniert, OTL hat die Datein vollständig entfernt, nur leider kann ich das erstellte Textdokument nicht mehr hier posten, weil durch Schritt 3 auch das auf meinem Desktop gespeicherte Textdokument entfernt wurde.

Schritt 2 hat nicht funktioniert, es erschien eine Fehlermeldung (siehe Anhang: "Combofix uninstall")

Schritt 3 hat geklappt.

Schritt 4 - vielen Dank für die hilfreichen Software-Tipps, soweit ich die empfohlenen Programme und Add Ons für Firefox noch nicht im Einsatz hatte, habe ich diese heruntergeladen und installiert.

Nochmals ein ganz dickes für die selbstlose Mühe und Geduld mit mir
Wenn ich Dir irgendetwas Gutes tun oder euch unterstützen kann lass es mich wissen. Natürlich werde ich euer Forum und eure Arbeit in meinem Bekanntenkreis wärmstens empfehlen.
Miniaturansicht angehängter Grafiken
deo0_sar.exe bei jedem Neustart (Win Vista x64)-combofix-uninstall.jpg  

Alt 25.08.2012, 12:12   #14
BigWilli
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



PS: Hab gerade den Link in Deiner Signatur entdeckt und euch eine kleine Spende zukommen lassen

Alt 27.08.2012, 13:31   #15
DerJazzer
/// Malwareteam
 
deo0_sar.exe bei jedem Neustart (Win Vista x64) - Standard

deo0_sar.exe bei jedem Neustart (Win Vista x64)



Hi Sascha

Sorry für die Verzögerung.

Danke für die Spende!
Das sorgt dafür, dass wir auch in Zukunft Hilfe anbieten können.

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Downloade dir bitte Combofix vom folgenden Downloadspiegel und speichere es auf dem Desktop.

Link 1

Drücke bitte die Windows + R-Taste. Gib folgendes in die Kommandozeile ein:
Code:
ATTFilter
%userprofile%\Desktop\Combofix.exe" /uninstall
         
Nun die eben deaktivierten Programme wieder aktivieren.

Sag mir bitte Bescheid, ob du Erfolg hattest
__________________
Keep Jazzing!

DerJazzer

Imperare sibi maximum imperium est. ©Seneca

Wenn du uns unterstützen möchtest | http://www.anaesthesist-werden.de/

Antwort

Themen zu deo0_sar.exe bei jedem Neustart (Win Vista x64)
anhang, antivirus, avira, befinden, dateien, dll, free, fund, geld, gelöscht, gesperrt, hallo zusammen, heute, hilfe!, meldung, modul, neustart, rundll, seite, suche, verschwunden, vista, win, zusammen



Ähnliche Themen: deo0_sar.exe bei jedem Neustart (Win Vista x64)


  1. Reduzierter Speicherplatz nach jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 20.12.2014 (17)
  2. Softwareupdater.Ui.exe-Meldung nach jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 16.11.2013 (13)
  3. Windows XP SP2 GVU-Trojaner-Befall bei jedem Neustart
    Log-Analyse und Auswertung - 07.11.2013 (9)
  4. SoftwareUpdater.UI.exe erscheint bei jedem Neustart.
    Log-Analyse und Auswertung - 25.10.2013 (29)
  5. Installationsaufforderung durch SoftwareUpdater bei jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 12.09.2013 (16)
  6. wssetup.exe von Perion Ltd. bei jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (7)
  7. Taskmanager nach jedem Neustart deaktiviert
    Log-Analyse und Auswertung - 27.12.2012 (15)
  8. PWS-Spyeye!conf bei jedem Neustart
    Log-Analyse und Auswertung - 03.02.2012 (12)
  9. Datenträgerreaktiverung - bei jedem Neustart , PROBLEM!
    Alles rund um Windows - 29.06.2011 (17)
  10. Backdoor.Bot ist nach jedem Neustart wieder da
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (29)
  11. Trojaner Dropper Gen der bei jedem Neustart wieder erscheint
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (1)
  12. Trojanerfund bei jedem Neustart? Twex.exe
    Log-Analyse und Auswertung - 04.02.2009 (26)
  13. Bifrose ist bei jedem Neustart wieder in der Regitry aktiv
    Mülltonne - 05.01.2009 (0)
  14. 2 Fehlermeldungen bei jedem neustart / startdrv.exe
    Log-Analyse und Auswertung - 10.08.2008 (0)
  15. Nach jedem Neustart wieder spyware
    Log-Analyse und Auswertung - 27.07.2008 (4)
  16. Mit jedem Neustart neue Spyware und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.07.2008 (1)
  17. Nach jedem Neustart sind sie wieder da !?!
    Log-Analyse und Auswertung - 16.03.2006 (7)

Zum Thema deo0_sar.exe bei jedem Neustart (Win Vista x64) - Hallo zusammen, auch bei mir hat sich heute die Bundespolizei gemeldet, der Geld überwiesen werden soll, allerdings ist die Meldung nach ca. 1 Sekunde wieder verschwunden und gesperrt war nur - deo0_sar.exe bei jedem Neustart (Win Vista x64)...
Archiv
Du betrachtest: deo0_sar.exe bei jedem Neustart (Win Vista x64) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.