Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Infizierung mit mehreren Trojanern

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.09.2012, 09:35   #1
Su1980
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



Hallo liebes Board,

auf meinen PC haben sich mehrer Trojaner eingenistet.


Avira hat folgende indentifizeirt:
TR/BHO.Gen C:users\*...*\AcroIEHelpe203.dll
TR/Spy.Farko.nu C:users\*...*\AddData\Roaming\AcroIEHelpe.dll
RKIT/Agent.dfif C:users\*...*\AppData\Roaming\BacroIEHelpe.dll

Log:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 30. August 2012 15:39

Es wird nach 4194651 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : *...*
Computername : *...*-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 10.08.2012 18:48:50
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 18:47:10
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 18:47:12
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 18:47:13
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:48:50
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:08:09
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 08:00:32
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:24:18
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:24:19
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:24:19
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:24:19
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:24:19
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:24:19
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:24:19
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:24:19
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:24:19
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 11:01:26
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 11:01:31
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 07:35:49
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 08:18:28
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 18:48:30
VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 18:48:31
VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 18:48:25
VBASE021.VDF : 7.11.39.207 165888 Bytes 14.08.2012 19:23:15
VBASE022.VDF : 7.11.40.9 156160 Bytes 16.08.2012 14:52:44
VBASE023.VDF : 7.11.40.49 133120 Bytes 17.08.2012 15:38:15
VBASE024.VDF : 7.11.40.95 156160 Bytes 20.08.2012 15:38:14
VBASE025.VDF : 7.11.40.155 181760 Bytes 22.08.2012 12:26:33
VBASE026.VDF : 7.11.40.205 203264 Bytes 23.08.2012 13:03:10
VBASE027.VDF : 7.11.41.29 188416 Bytes 27.08.2012 06:19:41
VBASE028.VDF : 7.11.41.87 250368 Bytes 30.08.2012 13:33:33
VBASE029.VDF : 7.11.41.88 2048 Bytes 30.08.2012 13:33:33
VBASE030.VDF : 7.11.41.89 2048 Bytes 30.08.2012 13:33:33
VBASE031.VDF : 7.11.41.94 52736 Bytes 30.08.2012 13:33:33
Engineversion : 8.2.10.150
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:44:21
AESCRIPT.DLL : 8.1.4.46 455034 Bytes 24.08.2012 13:04:43
AESCN.DLL : 8.1.8.2 131444 Bytes 26.03.2012 20:08:39
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 16:01:58
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.3.0.32 811382 Bytes 24.08.2012 13:04:34
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 14:36:21
AEHEUR.DLL : 8.1.4.94 5230967 Bytes 30.08.2012 13:33:55
AEHELP.DLL : 8.1.23.2 258422 Bytes 03.07.2012 18:24:23
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 13:03:14
AEEXP.DLL : 8.1.0.84 90485 Bytes 30.08.2012 13:33:56
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:44:18
AECORE.DLL : 8.1.27.4 201078 Bytes 07.08.2012 15:06:47
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 18:47:08
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 18:47:10
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 18:47:13
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 18:47:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 18:47:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 18:47:13
AVSMTP.DLL : 12.3.0.32 63480 Bytes 10.08.2012 18:48:50
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 18:47:12
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 10.08.2012 18:48:29
RCTEXT.DLL : 12.3.0.31 100088 Bytes 10.08.2012 18:48:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Donnerstag, 30. August 2012 15:39

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSTheme.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftservice.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\*...*\AppData\Roaming\AcroIEHelpe203.dll
[FUND] Ist das Trojanische Pferd TR/BHO.Gen

Die Registry wurde durchsucht ( '1849' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\ADBEPHSPCS4_LS4.7z
[WARNUNG] Dieses Archiv wird nicht unterstützt
C:\Users\*...*\AppData\Roaming\BAcroIEHelpe203.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.dfix
C:\Users\*...*\Documents\susi\Eigene Dateien\Downloads\Lidl_Fotos_Setup(2).exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\*...*\Documents\susi\Eigene Dateien\Downloads\Lidl_Fotos_Setup.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\*...*\Documents\susi\Eigene Dateien\Fritzbox\Firefox Setup 3.5.exe.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\*...*\Documents\WISO Mein Geld\MeinGeld(2).mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\MeinGeld.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\Backup\MeinGeld(2)~1.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\Backup\MeinGeld(2)~2.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Downloads\avira_free_antivirus_de(1).exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\*...*\AppData\Roaming\BAcroIEHelpe203.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.dfix
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}\> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_CLASSES_ROOT\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}\> wurde erfolgreich entfernt.
C:\Users\*...*\AppData\Roaming\AcroIEHelpe203.dll
[FUND] Ist das Trojanische Pferd TR/BHO.Gen
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2806034521-367804819-3896804988-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}> wurde erfolgreich repariert.


Ende des Suchlaufs: Donnerstag, 30. August 2012 16:53
Benötigte Zeit: 1:13:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38666 Verzeichnisse wurden überprüft
535341 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
535339 Dateien ohne Befall
4222 Archive wurden durchsucht
11 Warnungen
2 Hinweise
Anschließend habe ich vom Board Malwarebytes Anti-Malware heruntergeladen und den Scan laufen lassen:

Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.30.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
*...* :: *...*-PC [Administrator]

Schutz: Aktiviert

30.08.2012 18:08:48
mbam-log-2012-08-30 (18-08-48).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216662
Laufzeit: 3 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\*...*\AppData\Roaming\appConf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\*...*\AppData\Roaming\appConf32.exe (Backdoor.Agent) -> Löschen bei Neustart.
Als nächstes bin ich weiter Eurer Anleitung gefolgt und habe defogger ausgeführt.
Zu guter Letzt habe ich noch OTL heruntergeladen.

Log:
OTL.txt
Zitat:
OTL logfile created on: 30.08.2012 22:21:57 - Run 1
OTL by OldTimer - Version 3.2.59.1 Folder = C:\Users\*...*\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,75 Gb Total Physical Memory | 0,87 Gb Available Physical Memory | 49,86% Memory free
3,50 Gb Paging File | 2,21 Gb Available in Paging File | 63,19% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 288,90 Gb Total Space | 210,40 Gb Free Space | 72,83% Space Free | Partition Type: NTFS

Computer Name: *...*-PC | User Name: *...* | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.08.30 22:19:08 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Users\*...*\Desktop\OTL.exe
PRC - [2012.08.10 20:48:48 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.26 19:52:04 | 001,095,560 | ---- | M] (Spigot, Inc.) -- C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
PRC - [2012.07.26 19:40:56 | 000,794,560 | ---- | M] (Spigot, Inc.) -- C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.07.03 13:46:44 | 000,462,920 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.05.09 20:47:13 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.09 20:47:09 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE
PRC - [2009.09.17 14:05:00 | 000,656,624 | ---- | M] (SoftThinks) -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
PRC - [2009.09.08 23:12:51 | 000,116,104 | ---- | M] () -- C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
PRC - [2009.06.09 11:11:14 | 000,155,648 | ---- | M] (Stardock Corporation) -- C:\Programme\Dell\DellDock\DockLogin.exe
PRC - [2009.05.01 18:57:50 | 000,077,032 | ---- | M] (Entriq, Inc.) -- C:\Program Files (x86)\maxdome\DCBin\DCService.exe
PRC - [2009.03.20 03:03:00 | 001,904,640 | ---- | M] (AVM Berlin) -- C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
PRC - [2009.03.20 03:03:00 | 000,368,640 | ---- | M] (AVM Berlin) -- C:\Program Files (x86)\avmwlanstick\WlanNetService.exe


========== Modules (No Company Name) ==========


========== Services (SafeList) ==========

SRV:64bit: - [2009.08.18 03:36:20 | 000,203,264 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2008.02.19 09:12:32 | 000,565,928 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysNative\lxbkcoms.exe -- (lxbk_device)
SRV - [2012.07.26 19:40:56 | 000,794,560 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2012.07.19 16:32:12 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.10 22:37:18 | 004,419,392 | ---- | M] () [Auto | Running] -- c:\program files (x86)\common files\akamai/netsession_win_4f7fccd.dll -- (Akamai)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.05.09 20:47:13 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.09 20:47:09 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.07.07 19:31:08 | 000,195,336 | ---- | M] (Microsoft Corporation.) [On_Demand | Stopped] -- C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010.02.18 22:45:26 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.02.18 22:44:19 | 001,038,088 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe -- (FLEXnet Licensing Service 64)
SRV - [2009.09.17 14:05:00 | 000,656,624 | ---- | M] (SoftThinks) [Auto | Running] -- C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE -- (SftService)
SRV - [2009.09.08 23:12:51 | 000,116,104 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE -- (IJPLMSVC)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009.06.09 11:11:14 | 000,155,648 | ---- | M] (Stardock Corporation) [Auto | Running] -- C:\Programme\Dell\DellDock\DockLogin.exe -- (DockLoginService)
SRV - [2009.05.01 18:57:50 | 000,077,032 | ---- | M] (Entriq, Inc.) [Auto | Running] -- C:\Program Files (x86)\maxdome\DCBin\DCService.exe -- (Prosieben)
SRV - [2009.04.01 00:01:34 | 000,092,160 | ---- | M] (Andrea Electronics Corporation) [Auto | Running] -- C:\Programme\Realtek\Audio\HDA\AERTSr64.exe -- (AERTFilters)
SRV - [2009.03.20 03:03:00 | 000,368,640 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Program Files (x86)\avmwlanstick\WlanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2008.02.19 10:12:18 | 000,537,256 | ---- | M] ( ) [Auto | Running] -- C:\Windows\SysWOW64\lxbkcoms.exe -- (lxbk_device)


========== Driver Services (SafeList) ==========

DRV:64bit: - [2012.07.03 13:46:44 | 000,024,904 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2012.05.09 20:47:13 | 000,132,832 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.05.09 20:47:13 | 000,098,848 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.09.16 16:08:07 | 000,027,760 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2009.10.01 08:34:30 | 000,121,872 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV:64bit: - [2009.08.18 04:48:48 | 006,037,504 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag)
DRV:64bit: - [2009.08.06 14:43:58 | 000,320,040 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\k57nd60a.sys -- (k57nd60a)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.07.09 03:00:00 | 000,055,280 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\PxHlpa64.sys -- (PxHlpa64)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.05.05 20:00:28 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie)
DRV:64bit: - [2009.03.20 03:03:00 | 000,460,800 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\fwlanusb.sys -- (FWLANUSB)
DRV:64bit: - [2009.03.20 03:03:00 | 000,014,120 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\avmeject.sys -- (avmeject)
DRV:64bit: - [2008.06.27 08:51:10 | 000,088,632 | ---- | M] (Adobe Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\adfs.sys -- (adfs)
DRV:64bit: - [2007.08.21 15:32:24 | 000,047,680 | ---- | M] (Service & Quality Technology.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\Capt905c.sys -- (SQTECH905C)
DRV:64bit: - [2006.11.01 13:51:00 | 000,151,656 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WimFltr.sys -- (WimFltr)
DRV - [2012.08.17 23:26:48 | 000,025,584 | ---- | M] (PC-Doctor, Inc.) [Kernel | On_Demand | Stopped] -- c:\Programme\Dell Support Center\pcdsrvc_x64.pkms -- (PCDSRVC{1E208CE0-FB7451FF-06020200}_0)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
DRV - [2008.08.14 08:57:42 | 000,074,720 | ---- | M] (Adobe Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\SysWow64\drivers\adfs.sys -- (adfs)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {C22E293C-DCFC-4DA1-99AF-1B0B2F91790D}
IE:64bit: - HKLM\..\SearchScopes\{C22E293C-DCFC-4DA1-99AF-1B0B2F91790D}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {BE28C22E-F666-424d-B5FD-125C4AFEE34E}
IE - HKLM\..\SearchScopes\{8666D19C-8211-4E39-A8B3-3A1E6A4D21B3}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = hxxp://search.myheritage.com?orig=ds&q={searchTerms}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/USCON/8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.ask.com/?l=dis&o=15003
IE - HKCU\..\URLSearchHook: - No CLSID value found
IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {8666D19C-8211-4E39-A8B3-3A1E6A4D21B3}
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\..\SearchScopes\{6FBB6363-247F-4C1D-82F0-111C01AAF59A}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
IE - HKCU\..\SearchScopes\{8B7DDB9D-BE67-4343-9BEB-A1DEAEFE0389}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYDE&apn_uid=75DCBF90-F593-4EA4-967F-340B4C71ED6B&apn_sauid=CBDFB6C1-D96E-49C1-AF38-38341F9686DA
IE - HKCU\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = hxxp://search.myheritage.com?orig=ds&q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;127.0.0.1:9421;<local>

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://start.icq.com/"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:5.0
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.0
FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=827316&p="
FF - user.js - File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@canon.com/EPPEX: C:\Program Files (x86)\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.19 16:32:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.08.12 21:20:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\*...*\AppData\Roaming\14001.019 [2012.08.30 15:40:30 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.19 16:32:12 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins

[2010.10.08 20:37:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*...*\AppData\Roaming\mozilla\Extensions
[2010.10.08 20:37:38 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*...*\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.08.30 16:38:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\*...*\AppData\Roaming\mozilla\Firefox\Profiles\dvfulx4f.default\extensions
[2011.05.17 13:12:44 | 000,002,333 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\Mozilla\Firefox\Profiles\dvfulx4f.default\searchplugins\askcom.xml
[2012.08.24 15:23:04 | 000,000,947 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\Mozilla\Firefox\Profiles\dvfulx4f.default\searchplugins\icqplugin.xml
[2011.12.20 21:27:03 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.08.01 13:02:18 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM
[2012.08.01 13:02:18 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES (X86)\PDFFORGE TOOLBAR\FF
[2012.08.30 15:40:30 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\USERS\*…*\APPDATA\ROAMING\14001.019
[2012.07.19 16:32:12 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.02.18 19:39:44 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.18 19:39:44 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.02.18 19:39:44 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.18 19:39:44 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.18 19:39:44 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.18 19:39:44 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2 - BHO: (Canon Easy-WebPrint EX BHO) - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll (CANON INC.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Canon Easy-WebPrint EX) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Canon Easy-WebPrint EX) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll (CANON INC.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: statistik-bw.de ([www] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9D278B34-C1F2-4157-A6C1-6354B440B4F4}: DhcpNameServer = 10.72.0.72 10.72.0.73
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18 - Protocol\Handler\gopher - No CLSID value found
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{b8215baa-0523-11df-a6fe-00262d167302}\Shell - "" = AutoRun
O33 - MountPoints2\{b8215baa-0523-11df-a6fe-00262d167302}\Shell\AutoRun\command - "" = J:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

========== Files/Folders - Created Within 30 Days ==========

[2012.08.30 22:17:47 | 000,598,528 | ---- | C] (OldTimer Tools) -- C:\Users\*...*\Desktop\OTL.exe
[2012.08.30 17:57:51 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\Malwarebytes
[2012.08.30 17:57:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.30 17:57:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.30 17:57:40 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.08.30 17:57:40 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.08.30 15:50:50 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\QuickScan
[2012.08.30 15:40:30 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\14001.019
[2012.08.29 23:24:46 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\UAs
[2012.08.29 00:24:11 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\14001.018
[2012.08.29 00:23:47 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\xmldm
[2012.08.29 00:23:47 | 000,000,000 | ---D | C] -- C:\Users\*...*\AppData\Roaming\kock
[2012.08.24 15:22:04 | 000,000,000 | R--D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dell Support Center
[2012.08.24 15:22:02 | 000,000,000 | ---D | C] -- C:\ProgramData\PC-Doctor for Windows
[2012.08.24 15:04:43 | 000,000,000 | --SD | C] -- C:\Users\*...*\Documents\Eigene Datenquellen
[2012.08.18 14:40:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Games
[2012.08.09 18:56:30 | 000,000,000 | ---D | C] -- C:\Users\*...*\Documents\My Games
[2012.08.09 18:52:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unknown Horizons
[2012.08.01 13:02:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Spigot
[2012.08.01 13:02:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pdfforge Toolbar
[2012.08.01 13:02:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Application Updater
[2010.02.18 21:43:44 | 001,228,240 | ---- | C] (Adobe Systems Incorporated) -- C:\Users\*...*\ADBEPHSPCS4_LS4.exe
[2010.01.22 23:11:22 | 008,656,832 | ---- | C] (Dell, Inc. ) -- C:\Users\*...*\AppData\Roaming\DataSafeDotNet.exe
[2 C:\Users\*…*\AppData\Roaming\*.tmp files -> C:\Users\*...*\AppData\Roaming\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.08.30 22:19:08 | 000,598,528 | ---- | M] (OldTimer Tools) -- C:\Users\*...*\Desktop\OTL.exe
[2012.08.30 22:17:18 | 000,000,000 | ---- | M] () -- C:\Users\*...*\defogger_reenable
[2012.08.30 22:16:52 | 000,050,477 | ---- | M] () -- C:\Users\*...*\Desktop\Defogger.exe
[2012.08.30 22:09:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.30 18:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.30 18:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.30 18:19:43 | 1408,479,232 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.30 17:57:41 | 000,001,111 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.30 17:03:27 | 000,000,016 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\blckdom.res
[2012.08.30 16:39:09 | 000,198,288 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
[2012.08.30 16:39:09 | 000,007,424 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\BAcroIEHelpe204.dll
[2012.08.30 15:43:49 | 001,498,742 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.08.30 15:43:49 | 000,654,150 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.08.30 15:43:49 | 000,616,032 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.08.30 15:43:49 | 000,130,022 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.08.30 15:43:49 | 000,106,412 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.08.24 14:59:11 | 000,001,814 | ---- | M] () -- C:\Users\*...*\Desktop\Microsoft Office - Verknüpfung.lnk
[2012.08.19 16:52:10 | 002,953,736 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2 C:\Users\*...*\AppData\Roaming\*.tmp files -> C:\Users\*...*\AppData\Roaming\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.08.30 22:17:18 | 000,000,000 | ---- | C] () -- C:\Users\*...*\defogger_reenable
[2012.08.30 22:16:50 | 000,050,477 | ---- | C] () -- C:\Users\*...*\Desktop\Defogger.exe
[2012.08.30 17:57:41 | 000,001,111 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.30 16:39:09 | 000,198,288 | ---- | C] () -- C:\Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
[2012.08.30 16:39:09 | 000,007,424 | ---- | C] () -- C:\Users\*...*\AppData\Roaming\BAcroIEHelpe204.dll
[2012.08.29 00:24:01 | 000,000,016 | ---- | C] () -- C:\Users\*...*\AppData\Roaming\blckdom.res
[2012.08.24 14:59:11 | 000,001,814 | ---- | C] () -- C:\Users\*...*\Desktop\Microsoft Office - Verknüpfung.lnk
[2011.02.18 10:42:07 | 000,007,605 | ---- | C] () -- C:\Users\*...*\AppData\Local\resmon.resmoncfg
[2010.12.19 17:07:34 | 000,003,584 | ---- | C] () -- C:\Users\*...*\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.07 00:01:36 | 000,000,680 | RHS- | C] () -- C:\Users\*...*\ntuser.pol
[2010.03.05 21:33:32 | 000,010,231 | ---- | C] () -- C:\Users\*...*\Susanne*…*_Susi15_9_elster_2048.pfx
[2010.02.18 21:43:44 | 899,012,795 | ---- | C] () -- C:\Users\*...*\ADBEPHSPCS4_LS4.7z
[2010.01.19 20:54:39 | 000,003,396 | ---- | C] () -- C:\Users\*...*\AppData\Roaming\wklnhst.dat

========== LOP Check ==========

[2012.08.29 00:24:11 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\14001.018
[2012.08.30 15:40:30 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\14001.019
[2012.01.06 19:19:38 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Amazon
[2010.02.27 21:50:53 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Buhl Data Service
[2011.02.05 12:37:43 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Buhl Data Service GmbH
[2011.10.04 21:23:54 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Canon
[2010.02.27 21:43:45 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\elsterformular
[2010.01.22 22:54:18 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\FRITZ!
[2012.08.29 00:23:47 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\kock
[2011.05.26 16:46:16 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\PCDr
[2012.08.30 16:00:51 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\QuickScan
[2010.12.24 22:37:16 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\RavensburgerTipToi
[2010.01.19 20:54:40 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Template
[2010.10.08 20:37:38 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Thunderbird
[2012.08.29 23:24:46 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\UAs
[2010.03.27 16:39:48 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\Windows Live Writer
[2012.08.30 10:13:35 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\xmldm
[2010.03.08 11:30:18 | 000,000,506 | ---- | M] () -- C:\Windows\Tasks\Install_NSS.job
[2012.05.15 11:13:22 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



< End of report >
Extras.txt
Zitat:
OTL Extras logfile created on: 30.08.2012 22:21:57 - Run 1
OTL by OldTimer - Version 3.2.59.1 Folder = C:\Users\*…*\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,75 Gb Total Physical Memory | 0,87 Gb Available Physical Memory | 49,86% Memory free
3,50 Gb Paging File | 2,21 Gb Available in Paging File | 63,19% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 288,90 Gb Total Space | 210,40 Gb Free Space | 72,83% Space Free | Partition Type: NTFS

Computer Name: *…*-PC | User Name: *…* | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
http [open] -- "C:\Program Files\Firefox\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Firefox\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [CEWE FOTOSCHAU] -- "C:\Program Files (x86)\dm\dm-Fotowelt\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [dm-Fotowelt] -- "C:\Program Files (x86)\dm\dm-Fotowelt\dm-Fotowelt.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L"
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
http [open] -- "C:\Program Files\Firefox\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Firefox\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [CEWE FOTOSCHAU] -- "C:\Program Files (x86)\dm\dm-Fotowelt\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [dm-Fotowelt] -- "C:\Program Files (x86)\dm\dm-Fotowelt\dm-Fotowelt.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~2\Office12\ONENOTE.EXE "%L"
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{05F645EE-B2A0-4BE5-98FD-79A40AE2CA2C}" = lport=138 | protocol=17 | dir=in | app=system |
"{12D73327-E118-4BF3-8B9A-4CE69D62F794}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{13C62D92-79B3-4975-8385-2920238DFF6D}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{198ABF5C-9A3E-4BE2-B4BC-9D6518636CE5}" = lport=137 | protocol=17 | dir=in | app=system |
"{21F7EE9D-DE66-4273-8D23-677BDE477DA5}" = rport=445 | protocol=6 | dir=out | app=system |
"{330EA28F-15D1-400D-B4BF-7203AFE64459}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{332B86C1-BCFD-4D5A-9371-43931602D6E4}" = rport=138 | protocol=17 | dir=out | app=system |
"{4AC48EFE-8F31-49F1-8185-F4CC5E272C9E}" = lport=5353 | protocol=6 | dir=in | name=adobe csi cs4 |
"{5A64B2DA-F9A8-436D-A0D8-1C5EEF78D2D3}" = lport=2869 | protocol=6 | dir=in | app=system |
"{5BFC7082-C7C7-4330-97EE-8D1E4D650C10}" = rport=137 | protocol=17 | dir=out | app=system |
"{6150590B-4F90-48CD-99DF-EF72EB92D515}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{69133DA4-C183-4E00-92F8-CBA053C2F2FB}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{712CD3BF-698C-4A34-88BD-678DDED82F16}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{72976A00-D6E5-405F-B3D9-8A34ED257130}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{8EDBBD10-9212-427B-AE70-299BDE99DD37}" = lport=445 | protocol=6 | dir=in | app=system |
"{A6032CB3-503C-4F49-8286-F4286ED2E2DF}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{AE1C10A6-6FB5-4A95-AEBF-AA9BB6BBE266}" = lport=139 | protocol=6 | dir=in | app=system |
"{B3C6A65B-9D4D-421B-9888-1BB879CC7A26}" = rport=10243 | protocol=6 | dir=out | app=system |
"{C60C7403-2C36-4117-90DB-E22C2E6A2F03}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{D8B4B910-D279-4FFD-9B42-539A89E44E91}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{E57FB200-CC0F-4933-8F99-4E75DA0818F6}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{F320984D-FA3A-4B3B-BB88-4D8EFCED95CF}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{F3F7A86E-EEA3-4943-A35D-5E08CF1DBF9F}" = rport=139 | protocol=6 | dir=out | app=system |
"{FC372C8F-A313-4310-975F-CBCA131A6C79}" = lport=10243 | protocol=6 | dir=in | app=system |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{02EDEC61-CA7C-4854-9583-9E40F7DB7B4C}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{10211926-CEBE-432B-BA28-5B9A1A81FB6E}" = dir=in | app=c:\program files (x86)\windows live\sync\windowslivesync.exe |
"{1D1D42F2-785C-4C84-9A8D-9E738E6AF5C7}" = protocol=17 | dir=in | app=c:\program files (x86)\common files\adobe\cs4servicemanager\cs4servicemanager.exe |
"{1D3A5EA0-C788-4D14-A1E9-158616ACE091}" = protocol=6 | dir=out | app=system |
"{2F620FA3-1B33-431F-B73C-D836724E6A08}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{31AB0760-E91A-489A-A25A-592679E57F91}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{3794E711-6930-4493-9943-8353990EAB2B}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{4C1AD930-2E95-4FB2-BF6E-C5BC8E963701}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{5700F16C-FAD2-43B2-8DBA-4D9409EE4701}" = protocol=6 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe |
"{69918B98-D194-4D8C-AAA2-ADC863356C12}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{6ED7F3CE-AE3D-4F9E-A0F8-CC9DA4D8FC80}" = protocol=6 | dir=in | app=c:\users\*…*\appdata\local\akamai\netsession_win.exe |
"{71587964-FE85-49E5-A56C-7F7E1FE20336}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{88C6E21F-2DE4-4D31-9D8C-C18704AE6305}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd dx\powerdvd.exe |
"{8F8E1F2B-CC0C-4DCC-848B-0A387272FF8E}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{93C2A075-AA7F-4D97-B92E-7CB966FE4960}" = dir=in | app=c:\program files (x86)\cyberlink\powerdvd dx\pdvddxsrv.exe |
"{9D7AB280-F1A0-4FA9-BC0C-665A901BB57E}" = protocol=17 | dir=in | app=c:\windows\system32\lxbkcoms.exe |
"{A1927B99-D6BE-412F-86FD-D0200DC87315}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{A57E142D-43C3-4740-8E25-32DBDBD7665A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{A59BC88C-10DE-4E06-A17E-291328D84986}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{AD268451-32AE-4B9B-8789-DBF35E1093FE}" = protocol=6 | dir=in | app=c:\windows\system32\lxbkcoms.exe |
"{AF7C6CD2-D8A7-4C03-9332-3EE708AB51D9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{AFF36D9E-941A-4DCB-A4D2-279C1E4203FF}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{C5F6C41F-564E-4372-AFAC-012F9A8ACA55}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{CB2B6D39-4FFC-483B-97A5-75821ACD1FA6}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{CE5D2DBC-698A-49CE-9F16-697382DF884F}" = protocol=17 | dir=in | app=c:\windows\syswow64\lxbkcoms.exe |
"{D2BCED5B-9D77-4691-9531-10F429BC1DBC}" = protocol=17 | dir=in | app=c:\program files (x86)\microsoft office\office12\onenote.exe |
"{DBF1B568-B4C5-4C3E-A720-4AC16C5F082A}" = protocol=6 | dir=in | app=c:\windows\syswow64\lxbkcoms.exe |
"{DF84E97A-2FF4-4890-A785-DF3ADDDB9ED1}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{E12C4F89-0DBE-430C-90EB-B7F193EFE900}" = protocol=17 | dir=in | app=c:\users\*…*\appdata\local\akamai\netsession_win.exe |
"{E19D6898-AFDC-4C8B-968D-3B584D7ACB51}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe |
"{EB326644-3620-4E57-A8F2-B0403D450BF5}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{F31CFF28-3693-4FA7-97E6-2A095F76E177}" = protocol=6 | dir=in | app=c:\program files (x86)\common files\adobe\cs4servicemanager\cs4servicemanager.exe |
"TCP Query User{31DE9171-BA28-410D-843D-677744BD7881}C:\program files (x86)\sopcast\sopcast.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\sopcast.exe |
"TCP Query User{5758CDED-D986-4ECB-AA40-5572FF943C5A}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe |
"TCP Query User{6C80FF6B-AB5E-425D-BFA3-A4B31FB7DB64}C:\users\*…*\appdata\local\akamai\netsession_win.exe" = protocol=6 | dir=in | app=c:\users\*…*\appdata\local\akamai\netsession_win.exe |
"TCP Query User{7F2B05A1-67E4-454A-90EF-4D133ED6141E}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe |
"TCP Query User{86C46A2C-13E5-4EC7-B37E-6751CE5246D3}C:\program files (x86)\sopcast\sopcast.exe" = protocol=6 | dir=in | app=c:\program files (x86)\sopcast\sopcast.exe |
"TCP Query User{FC1C8F6D-58D6-4B1B-81D4-6CDDAF73B365}C:\program files\firefox\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\firefox\mozilla firefox\firefox.exe |
"UDP Query User{108B053A-E70E-46A8-8267-11AE8E3FDA34}C:\program files (x86)\sopcast\sopcast.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\sopcast.exe |
"UDP Query User{8CE38129-2527-4ED2-BF24-70F495E13927}C:\program files (x86)\sopcast\sopcast.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\sopcast.exe |
"UDP Query User{A4F2D91D-67EF-4317-9114-0D5E9DD6FF13}C:\program files\firefox\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\firefox\mozilla firefox\firefox.exe |
"UDP Query User{BEC5F887-A021-4795-A2E6-CB73E87B0867}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe |
"UDP Query User{EE79AD40-DECD-4BF3-B7F4-DDEE6CE03312}C:\users\*…*\appdata\local\akamai\netsession_win.exe" = protocol=17 | dir=in | app=c:\users\*…*\appdata\local\akamai\netsession_win.exe |
"UDP Query User{F5D8848E-A5D2-4581-896D-C6B4E514C264}C:\program files (x86)\sopcast\adv\sopadver.exe" = protocol=17 | dir=in | app=c:\program files (x86)\sopcast\adv\sopadver.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP2700_series" = Canon iP2700 series Printer Driver
"{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java(TM) 6 Update 14 (64-bit)
"{295CFB7C-A57E-4313-93E7-68E7CE1D0332}" = Adobe WinSoft Linguistics Plugin x64
"{2D74E972-5A85-44DC-9193-8A302BA8C181}" = Photoshop Camera Raw_x64
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{6631325A-9B1B-4EE7-8E64-8CC4A6F10643}" = Adobe Fonts All x64
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{8875A1C0-6308-4790-8CF6-D34E89880052}" = Adobe Linguistics CS4 x64
"{887797BF-37A5-4199-B0C9-0D38D6196E9A}" = Adobe Anchor Service x64 CS4
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8C8D673B-20FB-43E6-BCB7-9B3F78F2E762}" = Adobe Type Support x64 CS4
"{8DAA31EB-6830-4006-A99F-4DF8AB24714F}" = Adobe CSI CS4 x64
"{8EBA8727-ADC2-477B-9D9A-1A1836BE4E05}" = Dell Edoc Viewer
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{90BA8112-80B3-4617-A3C1-BD2771B60F74}" = Adobe CMaps x64 CS4
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A3454894-144A-4D80-B605-C128FE0D7329}" = Adobe Drive CS4 x64
"{D285FC5F-3021-32E9-9C59-24CA325BDC5C}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729
"{D40172D6-CE2D-4B72-BF5F-26A04A900B7B}" = Adobe Photoshop CS4 (64 Bit)
"{DFFABE78-8173-4E97-9C5C-22FB26192FC5}" = Adobe PDF Library Files x64 CS4
"{E06357A3-5F44-B1AE-F4BA-9DAC26A209C9}" = ccc-utility64
"{E60B7350-EA5F-41E0-9D6F-E508781E36D2}" = Dell Dock
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"CANONIJINBOXADDON100" = Canon Inkjet Printer Driver Add-On Module
"CCleaner" = CCleaner
"Lexmark X1100 Series" = Lexmark X1100 Series
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"PC-Doctor for Windows" = Dell Support Center

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{02F0B8AE-7501-4333-AFBE-6BAABFEC7637}" = WISO Steuer-Sparbuch 2011
"{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4
"{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{098727E1-775A-4450-B573-3F441F1CA243}" = kuler
"{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4
"{0CC1DAFB-40C8-4903-953D-471E541477C7}" = WISO Steuer-Sparbuch 2012
"{0D29B7E9-CDFF-807D-1D4E-FFB77D809836}" = CCC Help Italian
"{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4
"{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}" = Adobe Setup
"{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4
"{0ED7EE95-6A97-47AA-AD73-152C08A15B04}" = Dell DataSafe Local Backup
"{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4
"{13766F76-6C8C-4E57-A9F3-3212D1C6E0D1}" = Dell DataSafe Online
"{144D9816-818D-C36E-33A0-889A19C5EDA6}" = CCC Help Portuguese
"{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4
"{16D0F2D2-242C-4885-BEF1-4B1655C141AE}" = Bing Bar
"{16E16F01-2E2D-4248-A42F-76261C147B6C}" = Adobe Drive CS4
"{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB
"{18BED011-2EEF-1148-E90C-D6556565B2EC}" = CCC Help Polish
"{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20C2435C-5B06-2E12-5087-116D8EF658B8}" = CCC Help Korean
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2511D82C-2688-41C2-ABF8-AF237795989B}" = pdfforge Toolbar v6.2
"{26791563-0BDF-1FBE-CC21-994A09559CCE}" = Catalyst Control Center Graphics Previews Common
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 22
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{39F6E2B4-CFE8-C30A-66E8-489651F0F34C}" = Adobe Media Player
"{3A25676C-038C-504A-FA32-F971B36BF7EE}" = Catalyst Control Center Graphics Previews Vista
"{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3B8FF075-F41B-89DD-41F7-B90A6A01B8F8}" = Catalyst Control Center Graphics Full New
"{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4
"{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{44453D07-5BDB-45F8-E3DF-20A7F76407D0}" = CCC Help Czech
"{466E1C7A-AEAF-2F55-26E2-A727B761AAB0}" = CCC Help Dutch
"{46B70DEB-97B3-4E38-B746-EC16905E6A8F}" = WISO Sparbuch 2010
"{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50ED6ABB-078C-8B17-1181-DC6DDB4E52DC}" = Catalyst Control Center InstallProxy
"{56E55229-CBE7-211E-0CD1-AB3712AF177A}" = CCC Help Danish
"{5CE2D957-59C2-4489-481E-2E38EAE59762}" = CCC Help Spanish
"{5DEB2BA0-0E1F-D5CB-A0C4-F738590BE973}" = Catalyst Control Center Core Implementation
"{61AF34EF-B0A4-4664-975B-81904824EB1C}" = WISO Mein Geld 2011 Professional
"{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4
"{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support
"{6675371D-22CD-F426-DC4C-9DDF594D0BBE}" = CCC Help Chinese Traditional
"{67F0E67A-8E93-4C2C-B29D-47C48262738A}" = Adobe Device Central CS4
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD DX
"{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK
"{6839108F-BC82-30BC-776F-D635EDA2B3D4}" = CCC Help Russian
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B1ADEE1-1595-82C4-6FB9-97B65F68E9EE}" = CCC Help Swedish
"{6B206787-2964-D9D8-A1F6-7D98B6BCD7F9}" = CCC Help Hungarian
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{73EFFD76-009E-A554-AA1F-106DBE475525}" = CCC Help French
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{775FCAEB-C804-02B9-135F-D9A189A1CCDC}" = CCC Help English
"{77D41B26-31DE-4EBA-F974-26D67B728FDB}" = CCC Help Turkish
"{7DB9F1E5-9ACB-410D-A7DC-7A3D023CE045}" = Dell Getting Started Guide
"{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4
"{833FE2B0-DCD7-8995-6374-F69F1A84055F}" = CCC Help German
"{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4
"{83d96ed0-98aa-4515-8ddc-816f3efdd104}" = MyDSC2
"{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8D0BED50-BD2B-5EBA-7F04-5513F1B9EC74}" = CCC Help Thai
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002A-0000-1000-0000000FF1CE}_HOMESTUDENTR_{664655D8-B9BB-455D-8A58-7EAF7B0B2862}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002A-0407-1000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4
"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{98C7AEBC-350A-52D6-6886-76FB98C6A503}" = Catalyst Control Center Graphics Full Existing
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A33E7B0C-B99C-4EC9-B702-8A328B161AF9}" = Roxio Burn
"{A69D7B32-2BE9-42BF-B576-69B5E0FF7394}" = Catalyst Control Center - Branding
"{A9668246-FB70-4103-A1E3-66C9BC2EFB49}" = Dell DataSafe Local Backup - Support Software
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{B29AD377-CC12-490A-A480-1452337C618D}" = Connect
"{B2E47DE7-800B-40BB-BD1F-9F221C3AEE87}" = Roxio Burn
"{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4
"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{BE6F906F-9F86-5CED-E122-8C6A162295B8}" = Skins
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4
"{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw
"{D1E89604-DFBE-2DF8-BE82-A0076107AA32}" = CCC Help Finnish
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E4848436-0345-47E2-B648-8B522FCDA623}" = Adobe Photoshop CS4
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{E50D9AC2-EB3C-3161-FF97-4E800D106D0E}" = CCC Help Norwegian
"{E65DADC9-D6B1-6706-41DE-FA19149869E5}" = Catalyst Control Center Graphics Light
"{E948B551-08DB-4163-8995-8C43B03D1B19}" = maxdome Download Manager 4.1.300.78
"{EBF60699-3D2E-6677-D504-5B4846171C8E}" = ccc-core-static
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F4044E58-9707-2918-1DA9-D3E400F0B699}" = CCC Help Japanese
"{F70ACEA1-05C5-6D98-9C0C-F3AD818E1E33}" = CCC Help Chinese Standard
"{F835D378-5073-8C86-70EF-9A3B739F9897}" = CCC Help Greek
"{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4
"{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All
"{FFD3A1EB-F550-3309-7AFE-17E4BB778423}" = Catalyst Control Center Localization All
"7-Zip" = 7-Zip 4.65
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe_faf656ef605427ee2f42989c3ad31b8" = Adobe Photoshop CS4
"Akamai" = Akamai NetSession Interface Service
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Avira AntiVir Desktop" = Avira Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"AVMWLANCLI" = AVM FRITZ!WLAN
"Canon iP2700 series Benutzerregistrierung" = Canon iP2700 series Benutzerregistrierung
"CANONIJPLM100" = Canon Inkjet Printer/Scanner/Fax Extended Survey Program
"CanonMyPrinter" = Canon Utilities My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"dm-Fotowelt" = dm-Fotowelt
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"Easy-WebPrint EX" = Canon Easy-WebPrint EX
"ElsterFormular 11.2.0.4074" = ElsterFormular
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"Mozilla Thunderbird 14.0 (x86 de)" = Mozilla Thunderbird 14.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"PhoTagsExpress" = PhoTags Express
"Ravensburger tiptoi" = Ravensburger tiptoi
"Rossmann Fotowelt Software" = Rossmann Fotowelt Software 4.12.1
"Sierra Utilities" = Sierra Utilities
"SopCast" = SopCast 3.4.0
"VLC media player" = VLC media player 1.1.11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WISO Mein Geld 2011 Professional" = WISO Mein Geld 2011 Professional

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Akamai" = Akamai NetSession Interface

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 25.10.2011 14:42:49 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 25.10.2011 14:44:26 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 09:18:08 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 09:18:08 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 09:19:31 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 12:40:44 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 12:40:44 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 12:42:27 | Computer Name = *…*-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error - 26.10.2011 13:35:36 | Computer Name = *…*-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\Program Files
(x86)\Common Files\Adobe AIR\Versions\1.0\Adobe AIR.dll". Fehler in Manifest- oder
Richtliniendatei "c:\Program Files (x86)\Common Files\Adobe AIR\Versions\1.0\Adobe
AIR.dll" in Zeile 3. Der Wert "MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR"
des "version"-Attributs im assemblyIdentity-Element ist ungültig.

Error - 26.10.2011 13:36:31 | Computer Name =*…*-PC | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files
(x86)\windows live\photo gallery\MovieMaker.Exe". Fehler in Manifest- oder Richtliniendatei
"c:\program files (x86)\windows live\photo gallery\WLMFDS.DLL" in Zeile 8. Die
im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
überein. Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition:
WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1". Verwenden Sie
das Programm "sxstrace.exe" für eine detaillierte Diagnose.

[ Media Center Events ]
Error - 24.01.2012 11:49:24 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 16:49:24 - Fehler beim Herstellen der Internetverbindung. 16:49:24
- Serververbindung konnte nicht hergestellt werden..

Error - 24.01.2012 11:49:33 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 16:49:29 - Fehler beim Herstellen der Internetverbindung. 16:49:29
- Serververbindung konnte nicht hergestellt werden..

Error - 24.01.2012 12:49:41 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 17:49:41 - Fehler beim Herstellen der Internetverbindung. 17:49:41
- Serververbindung konnte nicht hergestellt werden..

Error - 24.01.2012 12:49:49 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 17:49:46 - Fehler beim Herstellen der Internetverbindung. 17:49:46
- Serververbindung konnte nicht hergestellt werden..

Error - 25.01.2012 08:22:42 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 13:22:42 - Fehler beim Herstellen der Internetverbindung. 13:22:42
- Serververbindung konnte nicht hergestellt werden..

Error - 25.01.2012 08:22:49 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 13:22:47 - Fehler beim Herstellen der Internetverbindung. 13:22:47
- Serververbindung konnte nicht hergestellt werden..

Error - 01.02.2012 14:05:03 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 19:05:03 - Fehler beim Herstellen der Internetverbindung. 19:05:03
- Serververbindung konnte nicht hergestellt werden..

Error - 01.02.2012 14:05:13 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 19:05:08 - Fehler beim Herstellen der Internetverbindung. 19:05:08
- Serververbindung konnte nicht hergestellt werden..

Error - 01.02.2012 15:05:23 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 20:05:22 - Fehler beim Herstellen der Internetverbindung. 20:05:23
- Serververbindung konnte nicht hergestellt werden..

Error - 01.02.2012 15:05:31 | Computer Name = *…*-PC | Source = MCUpdate | ID = 0
Description = 20:05:28 - Fehler beim Herstellen der Internetverbindung. 20:05:28
- Serververbindung konnte nicht hergestellt werden..

[ System Events ]
Error - 30.08.2012 04:05:15 | Computer Name = *…*-PC | Source = VDS Basic Provider | ID = 33554433
Description =

Error - 30.08.2012 04:05:15 | Computer Name = *…*-PC | Source = VDS Basic Provider | ID = 33554433
Description =

Error - 30.08.2012 04:12:47 | Computer Name = *…*-PC | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter

Error - 30.08.2012 04:12:47 | Computer Name = *…*-PC | Source = atikmdag | ID = 43029
Description = Display is not active

Error - 30.08.2012 09:30:46 | Computer Name = *…*-PC | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter

Error - 30.08.2012 09:30:46 | Computer Name = *…*-PC | Source = atikmdag | ID = 43029
Description = Display is not active

Error - 30.08.2012 12:19:47 | Computer Name = *…*-PC | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter

Error - 30.08.2012 12:19:47 | Computer Name = *…*-PC | Source = atikmdag | ID = 43029
Description = Display is not active

Error - 30.08.2012 16:09:45 | Computer Name = *…*-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst Wlansvc erreicht.

Error - 30.08.2012 16:09:53 | Computer Name = *…*-PC | Source = atikmdag | ID = 43029
Description = Display is not active


< End of report >
Ich konnte bisher noch keine Auswirkungen auf meinen PC erkennen. Ich bekomme aber von AVIRA so bald ich online bin, laufend neue Fundmeldungen, z.B jetzt eben RKIT/Agent.dfjh C:users\*...*\AcroIEHelpe204.dll

Über Hilfe wäre ich sehr dankbar.

Alt 03.09.2012, 11:09   #2
markusg
/// Malware-holic
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



hi
ersetze *** durch deinen nutzernamen sonst läuft das script nicht

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
[2012.08.30 16:39:09 | 000,198,288 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
[2012.08.30 16:39:09 | 000,007,424 | ---- | M] () -- C:\Users\*...*\AppData\Roaming\BAcroIEHelpe204.dll
[2012.08.29 00:24:11 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\14001.018
[2012.08.30 15:40:30 | 000,000,000 | ---D | M] -- C:\Users\*...*\AppData\Roaming\14001.019

 :Files
C:\Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 04.09.2012, 07:16   #3
Su1980
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



Hallo,

vielen Dank für die schnelle Hilfe.
ich habe OTL wie beschrieben ausgeführt:

LOG:
Zitat:
All processes killed
Error: Unable to interpret <Code:> in the current context!
Error: Unable to interpret <---------> in the current context!
========== OTL ==========
C:\Users\*...*\AppData\Roaming\AcroIEHelpe204.dll moved successfully.
File C:\Users\*...*\AppData\Roaming\BAcroIEHelpe204.dll not found.
C:\Users\*...*\AppData\Roaming\14001.018\components folder moved successfully.
C:\Users\*...*\AppData\Roaming\14001.018 folder moved successfully.
Folder C:\Users\*...*\AppData\Roaming\14001.019\ not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: *...*
->Flash cache emptied: 1520 bytes

User: Lea
->Flash cache emptied: 914 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: *...*
->Temp folder emptied: 275939 bytes
->Temporary Internet Files folder emptied: 5513542 bytes
->Java cache emptied: 37643276 bytes
->FireFox cache emptied: 108229114 bytes
->Flash cache emptied: 0 bytes

User: *...*
->Temp folder emptied: 308175 bytes
->Temporary Internet Files folder emptied: 49357715 bytes
->FireFox cache emptied: 4300708 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7882 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85230 bytes
RecycleBin emptied: 353489519 bytes

Total Files Cleaned = 533,00 mb

Error: Unable to interpret <---------> in the current context!

OTL by OldTimer - Version 3.2.59.1 log created on 09042012_075544

Files\Folders moved on Reboot...
C:\Users\*...*\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Der Upload der Movedfiles hat problemlos geklappt.
__________________

Alt 04.09.2012, 11:26   #4
markusg
/// Malware-holic
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



#danke
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.09.2012, 12:11   #5
Su1980
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



ja, leider tue ich das.

Avira hat zwischenzeitlich schon wieder einen neuen Fund:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 4. September 2012 08:26

Es wird nach 4209499 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : *...*
Computername : *...*-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 10.08.2012 18:48:50
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 18:47:10
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 18:47:12
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 18:47:13
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:48:50
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 20:08:09
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 08:00:32
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:24:18
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 18:24:19
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 18:24:19
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 18:24:19
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 18:24:19
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 18:24:19
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 18:24:19
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 18:24:19
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 18:24:19
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 11:01:26
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 11:01:31
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 07:35:49
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 08:18:28
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 18:48:30
VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 18:48:31
VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 18:48:25
VBASE021.VDF : 7.11.39.207 165888 Bytes 14.08.2012 19:23:15
VBASE022.VDF : 7.11.40.9 156160 Bytes 16.08.2012 14:52:44
VBASE023.VDF : 7.11.40.49 133120 Bytes 17.08.2012 15:38:15
VBASE024.VDF : 7.11.40.95 156160 Bytes 20.08.2012 15:38:14
VBASE025.VDF : 7.11.40.155 181760 Bytes 22.08.2012 12:26:33
VBASE026.VDF : 7.11.40.205 203264 Bytes 23.08.2012 13:03:10
VBASE027.VDF : 7.11.41.29 188416 Bytes 27.08.2012 06:19:41
VBASE028.VDF : 7.11.41.87 250368 Bytes 30.08.2012 13:33:33
VBASE029.VDF : 7.11.41.147 236544 Bytes 03.09.2012 06:53:44
VBASE030.VDF : 7.11.41.148 2048 Bytes 03.09.2012 06:53:44
VBASE031.VDF : 7.11.41.156 41984 Bytes 03.09.2012 06:53:45
Engineversion : 8.2.10.150
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 19:44:21
AESCRIPT.DLL : 8.1.4.46 455034 Bytes 24.08.2012 13:04:43
AESCN.DLL : 8.1.8.2 131444 Bytes 26.03.2012 20:08:39
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 16:01:58
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37
AEPACK.DLL : 8.3.0.32 811382 Bytes 24.08.2012 13:04:34
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 14:36:21
AEHEUR.DLL : 8.1.4.94 5230967 Bytes 30.08.2012 13:33:55
AEHELP.DLL : 8.1.23.2 258422 Bytes 03.07.2012 18:24:23
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 13:03:14
AEEXP.DLL : 8.1.0.84 90485 Bytes 30.08.2012 13:33:56
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 19:44:18
AECORE.DLL : 8.1.27.4 201078 Bytes 07.08.2012 15:06:47
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 18:47:08
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 18:47:10
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 18:47:13
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 18:47:09
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 18:47:09
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 18:47:13
AVSMTP.DLL : 12.3.0.32 63480 Bytes 10.08.2012 18:48:50
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 18:47:12
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 10.08.2012 18:48:29
RCTEXT.DLL : 12.3.0.31 100088 Bytes 10.08.2012 18:48:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Dienstag, 4. September 2012 08:26

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1923' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Program Files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.dat
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\ADBEPHSPCS4_LS4.7z
[WARNUNG] Dieses Archiv wird nicht unterstützt
C:\Users\*...*\Documents\susi\Eigene Dateien\Downloads\Lidl_Fotos_Setup(2).exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\*...*\Documents\susi\Eigene Dateien\Downloads\Lidl_Fotos_Setup.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\*...*\Documents\susi\Eigene Dateien\Fritzbox\Firefox Setup 3.5.exe.part
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\*...*\Documents\WISO Mein Geld\MeinGeld(2).mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\MeinGeld.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\Backup\MeinGeld(2)~1.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Documents\WISO Mein Geld\Backup\MeinGeld(2)~2.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Downloads\avira_free_antivirus_de(1).exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\*...*\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\_OTL\MovedFiles\09042012_075544\C_Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Farko.nv

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\09042012_075544\C_Users\*...*\AppData\Roaming\AcroIEHelpe204.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Farko.nv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55b6434e.qua' verschoben!


Ende des Suchlaufs: Dienstag, 4. September 2012 13:04
Benötigte Zeit: 1:13:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

37373 Verzeichnisse wurden überprüft
499001 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
499000 Dateien ohne Befall
3850 Archive wurden durchsucht
11 Warnungen
1 Hinweise


Alt 04.09.2012, 17:52   #6
markusg
/// Malware-holic
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________
--> Infizierung mit mehreren Trojanern

Alt 05.09.2012, 07:01   #7
Su1980
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



Guten Morgen,

ja ich nutze den PC für onlinebanking, einkäufe, sonstige zahlungsabwicklungen. Beruflich nutze ich den PC fast gar nicht, bzw ist das schon ein paar Wochen her.

Was hat das für Auswirkungen?

Alt 06.09.2012, 09:37   #8
Su1980
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



kann ich davon ausgehen, dass der Rechner wieder sauber ist? Sind noch irgendwelche Schritte notwendig?

Vielen Dank schon mal für die Hilfe...

Alt 06.09.2012, 16:23   #9
markusg
/// Malware-holic
 
Infizierung mit mehreren Trojanern - Standard

Infizierung mit mehreren Trojanern



nein.
rufe die bank an, lasse onlinebanking sperren.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Infizierung mit mehreren Trojanern
7-zip, bingbar, browser, canon, desktop, error, firefox, flash player, geld, google, helper, home, install.exe, intranet, logfile, mozilla, office 2007, pdfforge toolbar, plug-in, programm, realtek, registry, richtlinie, rkit/agent.dfif, rkit/agent.dfjh, rundll, security, senden, sierra, software, stick, svchost.exe, tr/bho.gen, tr/spy.farko.nu, trojaner, verweise, warnung, windows, wiso, wlansvc



Ähnliche Themen: Infizierung mit mehreren Trojanern


  1. Ausstattung von mehreren PCs mit AV Programm
    Antiviren-, Firewall- und andere Schutzprogramme - 22.08.2015 (12)
  2. Win XP: Infektion mit mehreren Trojanern
    Log-Analyse und Auswertung - 28.04.2014 (33)
  3. Windows 7: Befall von mehreren Trojanern/Viren -Win64/Conedex.B + C + I, Win64/Sirefef.AZ+BJ
    Log-Analyse und Auswertung - 15.02.2014 (86)
  4. Windows 7 - mit mehreren Viren & Trojanern infiziert
    Log-Analyse und Auswertung - 27.12.2013 (13)
  5. PC mit mehreren Trojanern verseucht
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (2)
  6. BKA-Infizierung
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (14)
  7. Infizierung mit Sirefef.AH
    Log-Analyse und Auswertung - 17.01.2013 (17)
  8. Sound Pop-ups Infizierung
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (1)
  9. Problem mit mehreren Viren/Trojanern
    Log-Analyse und Auswertung - 31.01.2011 (10)
  10. Probleme mit mehreren Trojanern
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (22)
  11. WINXP mit mehreren Trojanern verseucht!?
    Plagegeister aller Art und deren Bekämpfung - 05.05.2009 (8)
  12. Systemabsturz bei mehreren programmen
    Log-Analyse und Auswertung - 26.12.2008 (1)
  13. Fund in mehreren Programmen
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (8)
  14. Wie gehe ich mit der infizierung um?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2008 (8)
  15. windows in mehreren teilen
    Alles rund um Windows - 19.02.2008 (11)
  16. TR/PSW.LineaX.X Infizierung
    Plagegeister aller Art und deren Bekämpfung - 26.01.2006 (9)
  17. Hotbar Infizierung
    Plagegeister aller Art und deren Bekämpfung - 01.11.2005 (4)

Zum Thema Infizierung mit mehreren Trojanern - Hallo liebes Board, auf meinen PC haben sich mehrer Trojaner eingenistet. Avira hat folgende indentifizeirt: TR/BHO.Gen C:users\*...*\AcroIEHelpe203.dll TR/Spy.Farko.nu C:users\*...*\AddData\Roaming\AcroIEHelpe.dll RKIT/Agent.dfif C:users\*...*\AppData\Roaming\BacroIEHelpe.dll Log: Zitat: Avira Free Antivirus Erstellungsdatum der Reportdatei: Donnerstag, - Infizierung mit mehreren Trojanern...
Archiv
Du betrachtest: Infizierung mit mehreren Trojanern auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.